.有关sn
fer及snfer
含义sn
fers(嗅探器)几乎和
ernet有样久历史了.Snfer是种常用收集有用数据思路方法
这些数据可以是用户帐号和密码可以是些商用机密数据等等
随着Internet及电子商务日益普及,Internet安全也越来越受到重视在Internet安全隐患中扮演重要角色的Snfer以受到越来越大关注所以今天我要向大家介绍下介绍Snfer以及如何阻止snfer 大多数
黑客仅仅为了探测内部网上主机并取得控制权只有那些"雄心勃勃"黑客为了控制整个网络才会安装特洛伊木马和后门
并清除记录他们经常使用手法是安装snfer在内部网上
黑客要想迅速获得大量账号(包括用户名和密码)最为有效手段是使用 "snfer" 这种思路方法要求运行Snfer 主机和被监听主机必须在同个以太网段上故而在外部主机上运行snfer是没有效果再者必须以root身份使用snfer 才能够监听到以太网段上数据流谈到以太网snfer就必须谈到以太网snfing那么什么是以太网sn
fer呢? 以太网sn
fing是指对以太网设备上传送数据包进行侦听发现感兴趣包如果发现符合条件包就把它存到个log文件中去通常设置这些条件是包含"username"或"password"包它
目是将网络层放到promiscuous模式从而能干些事情Promiscuous模式是指网络上所有设备都对总线上传送数据进行侦听并不仅仅是它们自己数据根据第 2章中有关对以太网工作原理基本介绍可以知道:个设备要向某目标发送数据时它是对以太网进行广播个连到以太网总线上设备在任何时间里都在接受数据不过只是将属于自己数据传给该计算机上应用利用这
点可以将台计算机网络连接设置为接受所有以太网总线上数据从而实现snfersn
fer通常运行在路由器或有路由器功能主机上这样就能对大量数据进行监控snfer属第 2层次攻击通常是攻击者已经进入了目标系统然后使用snfer这种攻击手段以便得到更多信息sn
fer除了能得到口令或用户名外还能得到更多其他信息比如个其他重要信息在网上传送金融信息等等snfer几乎能得到任何以太网上传送数据包黑客会使用各种思路方法获得系统控制权并留下再次侵入后门以保证snfer能够执行在Solaris 2.x平台上snfer 通常被安装在/usr/bin 或/dev目录下黑客还会巧妙修改时间使得snfer看上去是和其它系统同时安装大多数以太网sn
fer在后台运行将结果输出到某个记录文件中黑客常常会修改ps使得系统管理员很难发现运行snfer以太网sn
fer将系统网络接口设定为混合模式这样它就可以监听到所有流经同以太网网段数据包不管它接受者或发送者是不是运行 snfer主机 将用户名、密码和其它黑客感兴趣数据存入log文件黑客会等待段时间 ----- 比如周后再回到这里下载记录文件讲了这么多
那么到底我们可以用什么通俗话来介绍snfer呢?计算机网络和电话电路区别
计算机网络是共享通讯通道共享意味着计算机能够接收到发送给其它计算机信息捕获在网络中传输数据信息就称为snfing(窃听)以太网是现在应用最广泛
计算机连网方式以太网协议是在同回路向所有主机发送数据包信息数据包头包含有目标主机正确地址般情况下只有具有该地址主机会接受这个数据包如果台主机能够接收所有数据包而不理会数据包头内容这种方式通常称为"混杂" 模式由于在
个普通网络环境中帐号和口令信息以明文方式在以太网中传输 旦入侵者获得其中台主机root权限并将其置于混杂模式以窃听网络数据从而有可能入侵网络中所有计算机句话snfer就是个用来窃听黑客手段和工具2、sn
fer工作原理通常在同
个网段所有网络接口都有访问在物理媒体上传输所有数据能力而每个网络接口都还应该有个硬件地址该硬件地址区别于网络中存在其他网络接口硬件地址同时每个网络至少还要个广播地址(代表所有接口地址)在正常情况下个合法网络接口应该只响应这样两种数据帧:1、帧
目标区域具有和本地网络接口相匹配硬件地址2、帧
目标区域具有"广播地址"在接受到上面两种情况
数据包时nc通过cpu产生个硬件中断该中断能引起操作系统注意然后将帧中所包含数据传送给系统进步处理而sn
fer就是种能将本地nc状态设成(promiscuous)状态软件Software当nc处于这种"混杂"方式时该nc具备"广播地址"它对所有遭遇到每个帧都产生个硬件中断以便提醒操作系统处理流经该物理媒体上每个报文包(绝大多数nc具备置成 promiscuous方式能力)可见
snfer工作在网络环境中底层它会拦截所有正在网络上传送数据并且通过相应软件Software处理可以实时分析这些数据内容进而分析所处网络状态和整体布局值得注意是:snfer是极其安静它是种消极安全攻击通常sn
fer所要关心内容可以分成这样几类:1、口令
我想这是绝大多数非法使用sn
fer理由snfer可以记录到明文传送userid和passwd.就算你在网络传送过程中使用了加密数据snfer记录数据样有可能使入侵者在家里边吃肉串边想办法算出你算法2、金融帐号
许多用户很放心在网上使用自己
信用卡或现金帐号然而snfer可以很轻松截获在网上传送用户姓名、口令、信用卡号码、截止日期、帐号和pin.3、偷窥机密或敏感
信息数据通过拦截数据包
入侵者可以很方便记录别人的间敏感信息传送或者干脆拦截整个email会话过程4、窥探低级
协议信息这是很可怕
事我认为通过对底层信息协议记录比如记录两台主机的间网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接字节顺序号码等这些信息由非法入侵人掌握后将对网络安全构成极大危害通常有人用snfer收集这些信息只有个原因:他正在进行次欺诈(通常 ip地址欺诈就要求你准确插入tcp连接字节顺序号,这将在以后整理文章中指出)如果某人很关心这个问题那么snfer对他来说只是前奏今后问题要大得多(对于高级hacker而言我想这是使用snfer唯理由吧)2.sn
fer工作环境sn
ffer就是能够捕获网络报文设备嗅探器正当用处在于分析网络流量,以便找出所关心网络中潜在问题例如,假设网络某段运行得不是很好,报文发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确问题判断嗅探器在功能和设计方面有很多区别
有些只能分析种协议而另些可能能够分析几百种协议般情况下大多数嗅探器至少能够分析下面协议:1.标准以太网
2.TCP/IP
3.IPX
4.DECNet
嗅探器通常是软硬件
结合专用嗅探器价格非常昂贵另方面免费嗅探器虽然不需要花什么钱但得不到什么支持嗅探器和
般键盘捕获区别键盘捕获捕获在终端上输入键值而嗅探器则捕获真实网络报文嗅探器通过将其置身于网络接口来达到这个目——例如将以太网卡设置成杂收模式(为了理解杂收模式是如何回事先解释局域网是如何工作)数据在网络上是以很小
称为帧(Ftame)单位传输帧由好几部分组成区别部分执行区别功能(例如以太网前12个字节存放是源和目地址这些位告诉网络:数据来源和去处以太网帧其他部分存放实际用户数据、TCP/IP报文头或IPX报文头等等)帧通过特定
称为网络驱动软件Software进行成型然后通过网卡发送到网线上通过网线到达它们目机器在目机器端执行相反过程接收端机器以太网卡捕获到这些帧并告诉操作系统帧到达然后对其进行存储就是在这个传输和接收过程中嗅探器会造成安全方面问题每
个在LAN上工作站都有其硬件地址这些地址唯地表示着网络上机器(这点于Internet地址系统比较相似)当用户发送个报文时这些报文就会发送到LAN上所有可用机器在
般情况下网络上所有机器都可以“听”到通过流量但对不属于自己报文则不予响应(换句话说工作站A不会捕获属于工作站B数据而是简单忽略这些数据)如果某在工作站
网络接口处于杂收模式那么它就可以捕获网络上所有报文和帧如果个工作站被配置成这样方式它(包括其软件Software)就是个嗅探器嗅探器可能造成
危害:1.嗅探器能够捕获口令
2.能够捕获专用
或者机密信息3.可以用来危害网络邻居
安全或者用来获取更高级别访问权限事实上
如果你在网络上存在非授权嗅探器就以为着你系统已经暴露在别人面前了(大家可以试试天行2嗅探功能)般我们只嗅探每个报文前200到300个字节用户名和口令都包含在这部分中这是我们关心真正部分工人也可以嗅探给定接口上所有报文如果有足够空间进行存储有足够那里进行处理话将会发现另些非常有趣东西……简单
放置个嗅探器宾将其放到随便什么地方将不会起到什么作用将嗅探器放置于被攻击机器或网络附近这样将捕获到很多口令还有个比较好思路方法就是放在网关上如果这样话就能捕获网络和其他网络进行身份鉴别过程这样方式将成倍地增加我们能够攻击范围篇文章: 4款主流杀毒软件Software病毒库备份篇文章: Foxmail专用数据备份恢复软件Software
最新评论