sniffer基本原理与防范措施.docVIP

sniffer基本原理与防范措施 　　摘 要：本文主要了sniffer工作的基本原理和sniffer的工作环境，然后根据其工作特点提出三点何防御Sniffer攻击，分别是合理的规划网络，使用检测工具和注意网络异常情况，最后得出结论，据网络环境和实际条件的不同，可以灵活采取各种检测防范措施，最大限度地减小sniffer的威胁 　　关键词：嗅探器；基本原理；防御攻击 　　中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2014） 06-0000-01 　　sniffer（嗅探器）就是指能够在网络上捕获网络信息的设备，网络技术人员往往要借助它找出网络中的问题，这时sniffer又被称为网络协议分析仪。然而黑客也可以利用它截获网络上的通信信息，例如，获取其他用户的帐号及密码等重要信息。 　　一、sniffer的基本工作原理 　　sniffer用英文翻译的意思为“嗅探器”，而sniffer也可以这样比喻卧底。它就象进入敌人内部的卧底一样。不断地将敌方的情报送出来。 　　sniffer一般运行在路由器或有路由器功能的主机上。这样就可以达到监控大量数据的目的。它的运行平台也比较多。如Linux、Lanpatrol、Lanwatch、netmon等。sniffer属于第二层次（即数据链路层）的攻击。一般是攻击者进入目标系统。然后利用sniffer来得到更多的信息。（如用户名、口令、银行帐户、密码等等），它几乎能得到以太网上传送的任何数据包。通常sniffer程序只需要看到一个数据包的前200到350个字节的数据。就可以得到用户名和密码等信息。由此可见这种攻击手段是非常危险的。 　　通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：（1）帧的目标区域具有和本地网络接口相匹配的硬件地址。（2）帧的目标区域具有“广播地址”。 　　在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。 　　而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种混杂方式时，该nc具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成promiscuous方式的能力） 　　可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。 　　二、sniffer的工作环境 　　snifffer就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器来作出精确的问题判断。 　　嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议： 　　TCP/IP和IPX，嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的。 　　数据在网络上是以很小的称为帧（Ftame）的单位传输的帧由好几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它就是一个嗅探器。 　　嗅探器可能造成的危害：（1）嗅探器能够捕获口令；（2）能够捕获专用的或者机密的信息；（3）可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。 　　事实上，如果你在网络上存在非授