sniffer pro 用法介绍.docVIP

sniffer pro 用法介绍 Sniffer Pro方面的资料以及教程！ 　　一.有关sniffer及sniffer的含义 sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数 据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。随着 Internet及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全 隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍 一下介绍Sniffer以及如何阻止sniffer。　　 大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些雄心勃勃的黑 客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的 手法是安装sniffer。 　　在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手 段是使用 sniffer 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必 须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。再者，必须以 root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。谈到以太网 sniffer，就必须谈到以太网sniffing。 那么什么是以太网sniffer呢?　　 以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发 现符合条件的包，就把它存到一个log文件中 去。通常设置的这些条件是包含字username或password的包。它的目的是将网络层 放到promiscuous模式，从而能干些事情。 Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是 它们自己的数据。根据第二章中有关对以太网的工作原理的基本介绍，可以知道：一个 设备要向某一目标发送数据时,它是对以太网进行广播的。一个连到以太网总线上的设 备在任何时间里都在接受数据。不过只是将属于自己的数据传给该计算机上的应用程 序。 　　利用这一点，可以将一台计算机的网络连接设置为接受所有以太 网总线上的数据，从而实现sniffer。 　　sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进 行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用 sniffer这种攻击手段，以便得到更多的信息。 　　sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个其他重 要的信息，在网上传送的金融信息等等。sniffer几乎能得到任何以太网上的传送的数 据包。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证 sniffer能够执行。在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin 或 /dev目录下。黑客还会巧妙的修改时间，使得sniffer程序看上去是和其它系统程序同 时安装的。 大多数以太网sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修 改ps程序，使得系统管理员很难发现运行的sniffer程序。 　　以太网sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到所 有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主 机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时 ----- 比如一周后，再回到这里下载记录文件。 讲了这么多，那么到底我们可以用什么通俗的话来介绍sniffer呢？ 计算机网络与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接 收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃 听）。 　　以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机 发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的 主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容， 这种方式通常称为混杂 模式。 　　由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输， 一 旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有 可能入侵网络中的所有计算机。 一句话，sniffer就是一个用来窃听的黑客手段和工具。 二、sniffer的工作原理 　　通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力， 而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接 口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在 正常情况下，一个合法的