认识黑客入侵的利器 嗅探软件逐个了解pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范认识黑客入侵的利器 嗅探软件逐个了解

认识黑客入侵的利器 嗅探软件逐个了解


2008/10/7 9:17:52 编辑:佚名 来源:admin 

嗅探器(也称网络net分析器)是种能够察看网络net传输、将其解码并为网管提供可用的数据信息的一种软件。 网管可以能够使用它提供的数据信息来诊断网络net存就在的问题。 而恶意用户还会利用嗅探器来从网络net上获取存储就在文本中的密码。 下面列举一些常用的专用嗅探器:NAI嗅探器(商用)、Wireshark(以前叫Ethereal, 是一种Linux, Windows以及其他平台上使用的开发源码的图形用户界面的嗅探器)、TCPDump(开放源码命令行嗅探器, 就在Unix类的操作系统system上使用, 如Linux或者FreeBSD), 还是有它的Windows版——WinDump。

  最先是我们我自己来说明一下一些网络net可以说是知识。 大多数的以太网都是一根总线的拓扑结构, 使用同轴电缆或者双绞线和hub连通。 网络net上的所有节点(电脑计算机和其他设备)都可以能够可以通过同样的线路通信, 并且使用称为载波监听多路访问/冲突检测(CSMA/CD)的方案依次发送send数据信息。 您可以能够把CSMA/CD看作是就在一个很吵闹的宴会中的两人对话, 您有请求需要等一会儿, 等别人说话的间歇才有机会发言。 网络net上的所有节点都有我自己唯一的MAC(媒体访问控制)地址, 他们使用该地址互相发送send信息包。 通常, 节点只会关注目的地是我自己的MAC地址的那些信息包。 但是如果网卡被布置设置成混杂模式的话, 那它就一定会察看它连载的线路上的所有数据信息包。

  为了减少冲突数量、降低嗅探不属于某节点的数据信息的有可能性, 大多数网络net都使用了交换机。 就在网络net中, hub是种无源设备, 它会将接收到的所有传输发送send到它的所有端口。 而交换机则察看它所连载的所有节点的MAC地址以及所就在端口, 之后把那些数据信息包只发给它的目标节点。 交换机很大很大降低了网路中的冲突数量, 增大了网络net的吞吐量。 理论上, 使用交换机的网络net中, 每个节点只能收到广播消息(发给局域网上所有电脑计算机的消息)以及特意发送send给它的MAC地址的数据信息包, 还是有偶尔出现的不知道目标地址的数据信息包。 但是即便就在局域网中使用交换机, 它还是有有可能被人使用某些交换机上的镜像端口而嗅探(这些镜像端口本来是网管分析网络net问题时使用的), 嗅探者可以能够误导交换机使其将数据信息映射给所有端口或者使用一种称为ARP病毒的技术(后面会详细讲到)。

  上面讲述的是以太网络net的一些可以说是知识, 而WiFi(801.11a/801.11b/801.11g/801.11n)则与之完全不同。 wilan局域网很像使用hub的以太局域网。 局域网中所有电脑计算机都能看到发送send给别的电脑计算机的数据信息, 但通常他们可以能够布置设置成忽略这些信息。 (事实上, 比这复杂, 但是我篇幅有限, 就不详细讲那错综复杂的80.211网络net了)。 但如果网卡是布置设置成混杂模式的话, 那么它就将不会忽略发送send给其他电脑计算机的数据信息, 而是会察看这些数据信息, 允许使用嗅探器的用户看到附就在同一个访问点的发送send给其他用户的数据信息。 混杂模式就在Windows和Linux(或者其他类似Unix的操作系统system)的有线网卡上运行得很有效, 但是并不是所有的wilan网卡都能很好地支持该模式(比如Intel的叫做IPW2200的Centrino 802.11g芯片)。 如果嗅探器的网卡不支持混杂模式, 那么嗅探者就得把它附到wilan网络net的WAP(wilan接入点)上才能看到其他数据信息。 如果攻击者使用的是Linux(或者类似Unix的操作系统system), 如果网卡支持的话, 它有可能可以能够使用监听模式。 就在监听模式下, wilan网卡直接监听wilan电波中的原始信息包而无需WAP的辅助。 从攻击者角度看, 监听模式的好处是:由于不有请求需要WAP, 他们的活动系列将不会留下任意一个痕迹, 也不用就在网络net上发送send数据信息包。

  由于WiFi网络net使用的安全协议各有不同, 因此嗅探WiFi网络net变得愈加复杂。 如果您的网卡支持混杂模式并且您能使用WEP(也就是说您知道WEP密钥)连载到wilan网络net, 您就可以能够嗅探几乎所有您想要获得的信息。 如果网络net使用的是WPA, 就没那么容易了, 因为即便您知道密码, 您也不一定能解码那些您没有参与的网络net对话中的所有数据信息。 但是, 您却有有可能来进行ARP病毒攻击或者使用其它的MitM(有人参与其中)攻击, 从而获得数据信息路由。

  网管们应当提醒一定要注意嗅探器的很多合法用途。 网管可以能够用它们找出网络net上出问题的电脑计算机, 比如占用太多带宽, 网络net布置设置错误或者正就在运行恶意软件等等。 我觉得它们就在找出黑客攻击方面非常有用, 我可以能够用它们嗅探我自己的服务器找出那些不正常的传输。 学会用嗅探器来找出网络net的问题的话, 每个系统system管理员都能很好地完成我自己的工作, 我推荐您们使用Wireshark, 因为它是无偿的、跨平台的并且能够去寻找到大量的相关资料(可以能够从本文结尾的链接中去寻找到更多信息)。

  那些想要绕过安全措施的人也可以能够用嗅探器。 很多流行的应用协议把登陆凭证(用户名和密码)以纯文本的形式传递或者使用加密性差的形式传送。 这些不安全的协议包括FTP、Telnet、POP3、SMTP还是有HTTP可以说是验证。 这种情况下应尽量使用替代它们的SFTP, SSH(安全保护套件), 以及HTTPS(SSL)。 也许您很难从FTP协议切换到别的协议, 因为使用像SFTP这样更安全的协议的客户端并不一定总是有。 较新版本的Windows(命令行的ftp.exe以及图形用户界面形式的浏览器)都支持FTP客户端, 但是您也可以能够下载支持SFTP的Filezilla和PSFTP的无偿客户端。 有些嗅探器拥有很强的提取密码的能力, 比如Cain, Dsniff以及Ettercap。 这三个都是无偿或者开放源码的。 Cain只支持Windows而Dsniff和Ettercap通常就在Unix环境中运行, 但也有相应的Windows版本。
  ARP欺骗/ARP病毒

  ARP是指地址解析协议, 它允许网络net将IP地址解析成MAC地址。 可以说是上, ARP是这样工作的:当某个使用局域网IP的主机想要与另一台主机联络的时候, 它有请求需要那台主机的MAC地址。 最先是, 它会查询我自己的ARP缓存(想要查看您的ARP缓存, 就在命令行中输入ARP), 看看是否已经知道那台主机的MAC地址, 如果没有, 它会发出广播ARP请求, 询问谁拥有我正就在找的主机的IP地址? 如果拥有该地址的主机收到该ARP请求, 它就一定会用我自己的MAC地址响应, 于是两台主机就可以能够使用IP来进行对话了。 通常, 就在像以太网这样使用Hub或者801.11b标准的总线网络net中, 所有NICs(网络net接口卡)为混杂模式的主机都能收到所有的传输, 但是就在使用交换机的网络net中却有所不同。 交换机会查看发送send给它的数据信息, 并只把数据信息包传给它的目标MAC地址所属主机。 使用交换机的网络net更安全一些并且能够提高网速, 因为它只把数据信息包发给有请求需要去的地方。 但是仍然有突破这种网络net的方法。 使用Arpspoof(Dsniff的部分功能), Ettercap或者Cain我们我自己就可以能够欺骗局域网中的其他主机, 告诉它们, 我们我自己就是它们要找的那个主机, 把它们传输可以通过我们我自己来转发。

  即便是使用交换机的网络net, 攻击者也可以能够很容易地从恢复启动CD中使用Dsniff或者Ettercap, 来来进行ARP欺骗并将传输转为可以通过它们来来进行。 这些必备工具甚至能够全自动解析出用户名和密码, 这给使用者提供极大的便利。 如果攻击者就在网关和FTP服务器之间来进行ARP欺骗, 那么它就能嗅探传输并就在用户试图从站点外获取数据信息的时候提取用户名和密码, 使用SMTP和POP3也是一样。 即便是用SFTP、SSL以及SSH, 仍然可以能够用Ettercap嗅探密码, 因为该必备工具可以能够代理那些类型的连载。 用户有可能会收到警告说, 他们试图获得的服务器的公共密钥已经被修改, 或者有可能不合法, 但是我们我自己中有多少人只是将那些信息关闭而根本不读呢?

  图1中的图片PHOTO说明了ARP欺骗/ARP病毒怎么才能工作的。 可以说是上, 攻击者跟Alan的电脑说, 他就是Brain的电脑, 反之亦然。 这样, 攻击者把Alan和Brain之间的网络net传输全部接收过来了。 一旦攻击者就在两个节点之间来进行了ARP欺骗, 他就可以能够用任意一个他中意的必备工具来进行嗅探(TCPDump、Wireshark、Ngrep等等)。 就在网关和电脑之间来进行ARP欺骗的话, 攻击者可以能够看到电脑正就在发送send和从网上接收的所有数据信息。 本文中我只会讲到怎么才能使用这些必备工具。

  使用Dsniff和Ettercap快速演示ARP欺骗

  让我们我自己从Dug Song的、支持Dsniff的ARPspoof程序现在开始吧。 我使用的Unix版本, 但是您可以能够去寻找到Win32版本的。 运行Dsniff最不复杂的方法就是从恢复启动CD启动。 最先是您应该确定包转发已经启动, 不然我们我自己的机器会丢弃所有我们我自己想要嗅探的主机之间的传输, 导致服务无响应。 我用的一些必备工具会全自动来进行这项工作(比如Ettercap), 但是保险起见, 您也许会真的希望我自己来做这件事。 根据记录操作系统system的不同, 您可以能够使用如下的命令:

  Linux:

  echo 1 > /proc/sys/net/ipv4/ip_forward

  BSD:

  sysctl -w net.inet.ip.forwarding=1

  现就在您的电脑计算机将把转发所有的传输, 现就在您可以能够现在开始ARP欺骗了。 我们我自己假设您想要嗅探一个主机和网关之间的所有传输, 这样您就可以能够看到它发送send到网络net上的所有数据信息。 如果想要获得双向的所有传输, 您应当使用如下2个命令行:

  arpspoof -t 192.168.1.1 192.168.1.2 & >/dev/null

  arpspoof -t 192.168.1.2 192.168.1.1 & >/dev/null

  “& >/dev/nul”部分是为了使它就在终端运行起来更容易, 但是为了debug, 您有可能想要忽略它。 现就在您可以能够使用您想要的任意一个套件来嗅探连载。 新手的话, 我推荐使用Dsniff, 它支持ARPspoof来嗅探纯文本密码。 用Dsniff现在开始嗅探, 您只需退出到命令窗口并输入:

  dsniff

  Dsniff去寻找到用户名和密码后, 它会将它们显示就在屏幕上。 如果您想要查看所有其他传输, 我推荐您使用TCPDump或者 Wireshark。 如果想要停止stopARP欺骗, 输入如下命令:

  killall arpspoof

  这会关闭上面启动的2个Arpspoof。

  另一个很棒的必备工具是Ettercap, 它相当于ARP病毒和密码嗅探界的瑞士军刀。 我通常就在非互动模式中使用它, 但是默认情况下它的交互界面非常友好, 使用起来很方便。 如果您想要使用Ettercap来来进行ARP病毒, 您可以能够使用下面示范的命令例句。 如果我们我自己的目标是网络net上的所有主机, 想要嗅探每个节点之间的所有传输, 我们我自己可以能够用下列命令:

  ettercap -T -q -M ARP // //

  您应当谨慎的使用上面那段命令, 因为如果把一个大网络net中所有的传输都可以通过一台很慢的电脑计算机的话, 那么这很有有可能使整个网络net连载瘫痪。

我们我自己可以能够找个替罪羊, 来看看Ip地址为192.168.1.1的主机, 我们我自己可以能够使用如下命令:


  ettercap -T -q -M ARP /192.168.1.1/ //

  如果192.168.1.1是网关, 我们我自己应该可以能够看到所有的输出传输。 下面是这些命令行选择中项的功能:

  -T 告诉Ettercap使用文字界面, 我最中意这个选择中项, 因为GUI模式太复杂了。

  -q 让Ettercap安静些, 换句话说就是少些冗长的文字报告。

  -M 让Ettercap我们我自己想要使用的MITM(人参与其中)方式, 本例中是ARP病毒。

  其他必备工具

  我还想说很多其他的必备工具。 最先是就是Cain, 这个Windows用户会觉得很好用。 总之, 它功能强大, 操作不复杂。

  如果您中意漂亮的图形界面, Cain就是您很好的选择中之一。 它不像Ettercap那么多选择中项, 但是很酷也有很多Windows附加功能。

  还是有为了查看特定内容的特意的嗅探器。 Driftnet能够分析出人们上网看到的图片PHOTO。

  这些也是嗅探器比如P0f, 它让您被动得知网络net传输的操作系统system。

  上面说的只是众多特意的嗅探器中的一小部分, 只只是冰山的一角。

  减轻嗅探攻击的危害

  人们可以能够使用不少方法来缓解嗅探攻击的危害:

  1.不使用像HTTp验证以及Telnet这些不安全的协议。 事实上, 您应当嗅探我自己的网络net, 看看这些必备工具都列出了哪些能提取的密码。

  2.如果您不得不使用不安全的协议, 那您最好能把敏感信息加密后再传送出去。

  3.察看临界工作站和服务器之间的静态ARP表。 这种方法不易维持, 但是可以能够限制arp欺骗。

  4.运行ARPWatch等软件来检测您的网络net物理地址, 看看它是不是变成指向嗅探器的了。

  5.运行Sniffdet和Sentinel来检测网卡是否出于混杂模式, 是否运行了嗅探软件。

  6.让从外部进入您的设备的、使用Wi-Fi的笔记本使用VPN来连载到网络net。

  7.锁住工作站, 这样用户就再也不能够安装嗅探软件或者像Knoppix那样从CD运行嗅探软件。

  8.把员工工作站和服务器与公共终端隔离到不同的局域网中。

  真的希望这篇文章能给您提供些许协助。

相关文章
  • 到目前为止人类对外星人的认识也假说
  • 王者荣耀仅用一天时间就上王者,这个人你们肯定都认识!
  • 正确认识iphone的虚拟home按键
  • 气蛤蟆,带大家认识千奇百怪的青蛙
  • 李威姚笛是怎么认识的 姚笛绯闻男友李威个人资料微博
  • 杨威老婆杨云个人资料微博 杨云杨威是怎么认识的 其儿子杨阳洋照片
  • 撒贝宁李白怎么认识的 其女友李白为什么退出五洲唱响乐团
  • 蒋欣叶祖新结婚照 蒋欣和叶祖新差几岁 怎么认识的
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图