网络嗅探(sniffer)入侵渗透的探讨.docVIP

网络嗅探（sniffer）入侵渗透的探讨 技术本身是没有错的，错误产生于人。网络安全性的分析可以被用于加强安全性、加强网络的自由度，也可以被入侵者用于窥探他人隐私、任意篡改数据、进行网上诈骗活动。 这里，我们讨论网络嗅探器（sniffer）在广义黑客领域的应用和网络管理中的应用。 一、嗅探器（Sniffer）攻击原理 Sniffer既可以是硬件，也可以是软件，它用来接收在网络上传输的信息。网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等（也可以是其中几种协议的联合）。放置Sniffer的目的是使网络接口（在这个例子中是以太网适配器）处于杂收模式（promiscuous mode），从而可从截获网络上的内容。 嗅探器与一般的键盘捕获程序（Key Capture）不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的——将以太网卡设置成杂收模式。 ⒈关于以太网（Ethernet） Ethernet是由Xerox的Palo Aito研究中心（有时也称为PARC）发明的。下面简介一下信息在网络（这里为以太网）上的传输形式。 数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。 帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。 每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器（这一点于Internet地址系统比较相似）。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧。 Sniffer就是这样的硬件或软件，能够“听”到（而不是忽略）在网上传输的所有的信息。在这种意义上，每一个机器，每一个路由器都是一个Sniffer（或者至少可以说它们可以成为一个Sniffer）。这些信息就被储存在介质上，以备日后检查时用。 Sniffer可以是（而且通常是）软件和硬件的联合体，软件可以是普通的网络分析器带有比较强的debug功能，或者就是一个真正的Sniffer。 Sniffer必须是位于准备进行Sniffer工作的网络上的，它可以放在网络段中的任何地方。 Sniffer成为一种很大的危险，因为： 它们可以捕获口令； 它们可以截获机密的或专有的信息； 它们可以被用来攻击相邻的网络或者用来获取更高级别的访问权限。 用Sniffer获取信息 下面是利用Windows平台上的sniffer工具EtherPeek进行的信报监听结果。让我们分析一下这些数据（为避免不必要的麻烦，其中数据经修改完成）。 1.匿名Ftp信报分析 Flags: 0x00 Status: 0x00 Packet Length:74 Timestamp: 19:11:21.743000 01/18/2000 Raw Packet Data（原始信报数据） .惈纇.RT*.洲..E. 00 90 ab c0 68 00 52 54 ab 15 d6 de 08 00 45 00 [0-15] .8..@. .)R(1.. 00 38 10 09 40 00 20 06 29 52 a2 69 28 31 ca c8 [16-31] *..*...f锚..*?P. 8c 02 04 b3 00 15 00 66 c3 aa 00 04 f0 3f 50 18 [32-47] .+T..USER anony 22 0a 2b 54 00 00 55 53 45 52 20 61 6e 6f 6e 79 [48-63] mous 6d 6f 75 73 0d 0a 00 00 00 00 下面是该程序作的解码： Flags: 0x00 Status: 0x00 Packet Length:74 Timestamp: 19:11:21.743000 01/18/200