辽宁辽环认证中心
下载贤集网APP入驻自媒体
Sniffer简介
Sniffer是一种常用的收集有用数据方法,这些数据可以是用户
的帐号和密码,可以是一些商用机密数据等等。
什么是以太网sniffing?
以太网sniffing是指对以太网设备上传送的数据包进行侦听,发
现感兴趣的包。如果发现符合条件的包,就把它存到一个log文件中
去。通常设置的这些条件是包含字"username"或"password"的包。
它的目的是将网络层放到promiscuous模式,从而能干些事情。Promiscuous
模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅
仅是它们自己的数据。根据第二章中有关对以太网的工作原理的基本
介绍,可以知道:一个设备要向某一目标发送数据时,它是对以太网
进行广播的。一个连到以太网总线上的设备在任何时间里都在接受数
据。不过只是将属于自己的数据传给该计算机上的应用程序。
利用这一点,可以将一台计算机的网络连接设置为接受所有以太
网总线上的数据,从而实现sniffer。
sniffer通常运行在路由器,或有路由器功能的主机上。这样就
能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击
者已经进入了目标系统,然后使用sniffer这种攻击手段,以便得到
更多的信息。
sniffer除了能得到口令或用户名外,还能得到更多的其他信息,
比如一个其他重要的信息,在网上传送的金融信息等等。sniffer几
乎能得到任何以太网上的传送的数据包。
有许多运行与不同平台上的sniffer程序。
Linux tcpdump
DOS ETHLOAD、The Gobbler、LanPatrol、LanWatch、Netmon、Netwatch、
Netzhack
上面的这些程序,可以从互连网上找到。
使用sniffer程序或编写一个功能强大的sniffer程序需要一些网
络方面的知识。因为如果没有恰当的设置这个程序,根本就不能从大
量的数据中找出需要的信息。
通常sniffer程序只看一个数据包的前200-300个字节的数据,就
能发现想口令和用户名这样的信息。
怎样在一个网络上发现一个sniffer
简单的一个回答是你发现不了。因为他们根本就没有留下任何痕
迹。
只有一个办法是看看计算机上当前正在运行的所有程序。但这通
常并不可靠,但你可以控制哪个程序可以在你的计算机上运行。
在Unix系统下使用下面的命令:
ps -aux
或:
ps -augx
这个命令列出当前的所有进程,启动这些进程的用户,它们占用CPU
的时间,占用内存的多少等等。
在Windows系统下,按下Ctrl+Alt+Del,看一下任务列表。不过,
编程技巧高的Sniffer即使正在运行,也不会出现在这里的。
另一个方法就是在系统中搜索,查找可怀疑的文件。但可能入侵
者用的是他们自己写的程序,所以都给发现sniffer造成相当的困难
。
还有许多工具,能用来看看你的系统会不会在promiscuous模式
。从而发现是否有一个sniffer正在运行。
