Sniffer 常見(jiàn)問(wèn)題集(
??-???
技術(shù)的東東2006-03-23
看很多朋友問(wèn)起這個(gè),就把我知道的一些轉(zhuǎn)出來(lái)。
Sniffer?常見(jiàn)問(wèn)題集(FAQ)
發(fā)布日期:?2000-1-15?
內(nèi)容:?
--------------------------------------------------------------------------------
?
By?backend?<backend@antionline.org>;
http://www.nsfocus.com/
????
本文是ISS公司在幾年前發(fā)布的一份Sniffer?FAQ。雖然里面涉及的技術(shù)可能相對(duì)陳舊了一些,但仍然可作為入門級(jí)文檔。希望這份
Sniffer?FAQ能夠幫助管理員們對(duì)網(wǎng)絡(luò)監(jiān)聽及解決方法有一個(gè)較為清楚的認(rèn)識(shí)。Sniffer已成為當(dāng)今互聯(lián)網(wǎng)上最常見(jiàn)的主機(jī)入侵手段之一。
????在綠盟網(wǎng)絡(luò)安全月刊中,我還將陸續(xù)介紹Sniffer、Sniffer的克星——Anti-Sniffer和Anti-Sniffer的克星——Anti?Anti-Sniffer。希望對(duì)這方面有興趣的朋友如果有些什么好資料或建議,請(qǐng)與我聯(lián)系。
FAQ目錄:
???*??什么是sniffer及其工作原理
???*??哪里可以得到sniffer
???*??如何監(jiān)測(cè)主機(jī)正在竊聽(sniffed)
???*??阻止sniffer
????????o??主動(dòng)集線器
????????o??加密
????????o??Kerberos
????????o??一次性口令技術(shù)
????????o??非混雜模式網(wǎng)絡(luò)接口設(shè)備
-------------------------------------------------------------------------------
什么是sniffer及其工作原理
????與電話電路不同,計(jì)算機(jī)網(wǎng)絡(luò)是共享通訊通道的。支持每對(duì)通訊計(jì)算機(jī)獨(dú)占通道的交換機(jī)/集線器仍然過(guò)于昂貴。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為sniffing(竊聽)。
????
以太網(wǎng)是現(xiàn)在應(yīng)用最廣泛的計(jì)算機(jī)連網(wǎng)方式。以太網(wǎng)協(xié)議是在同一回路向所有主機(jī)發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標(biāo)主機(jī)的正確地址。一般情況下只有具有該地
址的主機(jī)會(huì)接受這個(gè)數(shù)據(jù)包。如果一臺(tái)主機(jī)能夠接收所有數(shù)據(jù)包,而不理會(huì)數(shù)據(jù)包頭內(nèi)容,這種方式通常稱為“混雜”模式。
????由于在一個(gè)普通的網(wǎng)絡(luò)環(huán)境中,帳號(hào)和口令信息以明文方式在以太網(wǎng)中傳輸,一旦入侵者獲得其中一臺(tái)主機(jī)的root權(quán)限,并將其置于混雜模式以竊聽網(wǎng)絡(luò)數(shù)據(jù),從而有可能入侵網(wǎng)絡(luò)中的所有計(jì)算機(jī)。
-------------------------------------------------------------------
哪里可以得到sniffer
????Sniffer是黑客們最常用的入侵手段之一。例如Esniff.c,是一個(gè)小巧的工具,運(yùn)行在SunOS平臺(tái),可捕獲所有telnet、ftp、rloing會(huì)話的前300個(gè)字節(jié)內(nèi)容。這個(gè)由Phrack開發(fā)的程序已成為在黑客中傳播最廣泛的工具之一。
????你可以在經(jīng)過(guò)允許的網(wǎng)絡(luò)中運(yùn)行Esniff.c,了解它是如何有效地危及本地機(jī)器安全。
????以下是一些也被廣泛用于調(diào)試網(wǎng)絡(luò)故障的sniffer工具:
??????*??Etherfind?on?SunOs
??????*??Snoop?on?Solaris?2.x?and?SunOs
??????*??Tcpdump
??????*??Packetman,?Interman,?Etherman,?Loadman
????商用sniffer:
??????*??Network?General.
??????????Network?General開發(fā)了多種產(chǎn)品。最重要的是Expert?Sniffer,
??????????它不僅僅可以sniff,還能夠通過(guò)高性能的專門系統(tǒng)發(fā)送/接收數(shù)
??????????據(jù)包,幫助診斷故障。還有一個(gè)增強(qiáng)產(chǎn)品"Distrbuted?Sniffer?
??????????System"可以將UNIX工作站作為sniffer控制臺(tái),而將sniffer?
??????????agents(代理)分布到遠(yuǎn)程主機(jī)上。
???*??Microsoft's?Net?Monitor
??????????對(duì)于某些商業(yè)站點(diǎn),可能同時(shí)需要運(yùn)行多種協(xié)議——NetBEUI、
??????????IPX/SPX、TCP/IP、802.3和SNA等。這時(shí)很難找到一種sniffer幫助
??????????解決網(wǎng)絡(luò)問(wèn)題,因?yàn)樵S多sniffer往往將某些正確的協(xié)議數(shù)據(jù)包當(dāng)
??????????成了錯(cuò)誤數(shù)據(jù)包。Microsoft的Net?Monitor(以前叫Bloodhound)
??????????可以解決這個(gè)難題。它能夠正確區(qū)分諸如Netware控制數(shù)據(jù)包、NT?
??????????NetBios名字服務(wù)廣播等獨(dú)特的數(shù)據(jù)包。(etherfind只會(huì)將這些數(shù)
??????????據(jù)包標(biāo)識(shí)為類型0000的廣播數(shù)據(jù)包。)這個(gè)工具運(yùn)行在MS?Windows
??????????平臺(tái)上。它甚至能夠按MAC地址(或主機(jī)名)進(jìn)行網(wǎng)絡(luò)統(tǒng)計(jì)和會(huì)話
??????????信息監(jiān)視。只需簡(jiǎn)單地單擊某個(gè)會(huì)話即可獲得tcpdump標(biāo)準(zhǔn)的輸出。
??????????過(guò)濾器設(shè)置也是最為簡(jiǎn)單的,只要在一個(gè)對(duì)話框中單擊需要監(jiān)視的
??????????主機(jī)即可。
--------------------------------------------------------------------
如何監(jiān)測(cè)主機(jī)正在竊聽(sniffed)
????要監(jiān)測(cè)只采集數(shù)據(jù)而不對(duì)任何信息進(jìn)行響應(yīng)的竊聽設(shè)備,需要逐個(gè)仔細(xì)檢查以太網(wǎng)上所有物理連接。
????不可能通過(guò)遠(yuǎn)程發(fā)送數(shù)據(jù)包或ping就可以檢查計(jì)算機(jī)是否正在竊聽。
????
一個(gè)主機(jī)上的sniffer會(huì)將網(wǎng)絡(luò)接口置為混雜模式以接收所有數(shù)據(jù)包。對(duì)于某些UNIX系統(tǒng),通過(guò)監(jiān)測(cè)到混雜模式的網(wǎng)絡(luò)接口。雖然可以在非混雜模式下運(yùn)
行sniffer,但這樣將只能捕獲本機(jī)會(huì)話。入侵者也可能通過(guò)在諸如sh、telnet、rlogin、in.telnetd等程序中捕獲會(huì)話,并將用
戶操作記錄到其它文件中。這些都可能通過(guò)監(jiān)視tty和kmem等設(shè)備輕易發(fā)現(xiàn)。只有混雜模式下的sniffing才能捕獲以太網(wǎng)中的所有會(huì)話,其它模式只
能捕獲本機(jī)會(huì)話。
????對(duì)于SunOS、NetBSD和其它BSD?Unix系統(tǒng),如下命令:
?????"ifconfig?-a"
????會(huì)顯示所有網(wǎng)絡(luò)接口信息和是否在混雜模式。DEC?OSF/1和IRIX等系統(tǒng)需要指定設(shè)備。要找到系統(tǒng)中有什么網(wǎng)絡(luò)接口,可以運(yùn)行如下命令:
?????#?netstat?-r
?????Routing?tables
?????Internet:
?????Destination??????Gateway????????????Flags?????Refs?????Use??Interface
?????default??????????iss.net????????????UG??????????1????24949??le0
?????localhost????????localhost??????????UH??????????2???????83??lo0
????然后通過(guò)如下命令檢查每個(gè)網(wǎng)絡(luò)接口:
?????#ifconfig?le0
?????le0:?flags=8863
?????????????inet?127.0.0.1?netmask?0xffffff00?broadcast?255.0.0.1
????入侵者經(jīng)常會(huì)替換ifconfig等命令來(lái)避開檢查,因此一定要檢查命令程序的校驗(yàn)值。
????在ftp.cert.org:/pub/tools/的cpm程序(SunOS平臺(tái))可以檢查接口是否有混雜模式標(biāo)記。
????對(duì)于Ultrix系統(tǒng),使用pfstat和pfconfig命令也可能監(jiān)測(cè)是否有sniffer運(yùn)行。
????????pfconfig指定誰(shuí)有權(quán)限運(yùn)行sniffer。
????????pfstat顯示網(wǎng)絡(luò)接口是否處于混雜模式。
????這些命令只在sniffer與內(nèi)核存在鏈接時(shí)有效。而在缺省情況,sniffer是沒(méi)有與內(nèi)核鏈接的。大多數(shù)的Unix系統(tǒng),例如Irix、Solaris、SCO等,都沒(méi)有任何標(biāo)記來(lái)指示是否處于混雜模式,因此入侵者能夠竊聽整個(gè)網(wǎng)絡(luò)而卻無(wú)法監(jiān)測(cè)到它。
????通常一個(gè)sniffer的記錄文件會(huì)很快增大并填滿文件空間。在一個(gè)大型網(wǎng)絡(luò)中,sniffer明顯加重機(jī)器負(fù)荷。這些警告信息往往能夠幫助管理員發(fā)現(xiàn)sniffer。建議使用lsof程序搜索訪問(wèn)數(shù)據(jù)包設(shè)備(如SunOS的/dev/nit)的程序和記錄文件。
------------------------------------------------------------------
阻止sniffer
????主動(dòng)式集線器只向目標(biāo)地址主機(jī)發(fā)送數(shù)據(jù)包,從而使混雜模式sniffer失效。它僅適用于10Base-T以太網(wǎng)。(注:這種現(xiàn)在已在計(jì)算機(jī)市場(chǎng)消失。)
????只有兩家廠商曾生產(chǎn)過(guò)主動(dòng)式集線器:
???*??3Com
???*??HP
隨著交換機(jī)的成本和價(jià)格的大幅度降低,交換機(jī)已成為非常有效的使sniffer失效的設(shè)備。目前最常見(jiàn)的交換機(jī)在第三層(網(wǎng)絡(luò)層)根據(jù)數(shù)據(jù)包目標(biāo)地址進(jìn)行轉(zhuǎn)發(fā),而不太采取集線器的廣播方式,從而使sniffer失去了用武之地。
------------------------------------------------------------------
加密
????目前有許多軟件包可用于加密連接,從而使入侵者即使捕獲到數(shù)據(jù),但無(wú)法將數(shù)據(jù)解密而失去竊聽的意義。
????以下是以前常用的一些軟件包
???*??deslogin
??????coast.cs.purdue.edu:/pub/tools/unix/deslogin?.
???*?swIPe
?????ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/
???*?Netlock
-----------------------------------------------------------------
Kerberos
????Kerberos
是另一個(gè)加密網(wǎng)絡(luò)中帳號(hào)信息的軟件包。它的缺點(diǎn)是所有帳號(hào)信息都存放在一臺(tái)主機(jī)中,如果該主機(jī)被入侵,則會(huì)危及整個(gè)網(wǎng)絡(luò)安全。另外配置它也不是一件簡(jiǎn)單的
事情。Kerberos包括流加密rlogind和流加密telnetd等,它可以防止入侵者捕獲用戶在登錄完成后所進(jìn)行的操作。
????Kerberos?FAQ可從ftp站點(diǎn)rtfm.mit.edu中得到:
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
------------------------------------------------------------------
一次性口令技術(shù)
????S/key
和其它一次性口令技術(shù)一樣,使竊聽?zhēng)ぬ?hào)信息失去意義。S/key的原理是遠(yuǎn)程主機(jī)已得到一個(gè)口令(這個(gè)口令不會(huì)在不安全的網(wǎng)絡(luò)中傳輸),當(dāng)用戶連接時(shí)會(huì)獲
得一個(gè)“挑戰(zhàn)”(challenge)信息,用戶將這個(gè)信息和口令經(jīng)過(guò)某個(gè)算法運(yùn)算,產(chǎn)生正確的“響應(yīng)”(response)信息(如果通訊雙方口令正確
的話)。這種驗(yàn)證方式無(wú)需在網(wǎng)絡(luò)中傳輸口令,而且相同的“挑戰(zhàn)/響應(yīng)”也不會(huì)出現(xiàn)兩次。S/key可從以下網(wǎng)址得到:ftp:
//thumper.bellcore.com/pub/nmh/skey
????還有一種一次性口令技術(shù)是ID卡系統(tǒng)。每個(gè)授權(quán)用戶都有一個(gè)產(chǎn)生用于訪問(wèn)各自帳號(hào)的數(shù)字號(hào)碼的ID卡。如果沒(méi)有這個(gè)ID卡,不可能猜出這個(gè)數(shù)字號(hào)碼。
????以下是提供這類解決方案的公司資料:
Secure?Net?Key?(SNK)
Digital?Pathways,?Inc.
201?Ravendale?Dr.?Mountainview,?Ca.
97703-5216?USA
Phone:?415-964-0707?Fax:?(415)?961-7487
Secure?ID
Security?Dynamics,
One?Alewife?Center
Cambridge,?MA?02140-2312
USA?Phone:?617-547-7820
Fax:?(617)?354-8836
Secure?ID?uses?time?slots?as?authenication?rather?than?challenge/response.
ArKey?and?OneTime?Pass
Management?Analytics
PO?Box?1480
Hudson,?OH?44236
Email:?fc@all.net
Tel:US+216-686-0090?Fax:?US+216-686-0092
WatchWord?and?WatchWord?II
Racal-Guardata
480?Spring?Park?Place
Herndon,?VA?22070
703-471-0892
1-800-521-6261?ext?217
CRYPTOCard
Arnold?Consulting,?Inc.
2530?Targhee?Street,?Madison,?Wisconsin
53711-5491?U.S.A.
Phone?:?608-278-7700?Fax:?608-278-7701
Email:?Stephen.L.Arnold@Arnold.Com
CRYPTOCard?is?a?modern,?SecureID-sized,?SNK-compatible?device.
SafeWord
Enigma?Logic,?Inc.
2151?Salvio?#301
Concord,?CA?94520
510-827-5707?Fax:?(510)827-2593
For?information?about?Enigma?ftp?to:?ftp.netcom.com?in?directory
/pub/sa/safeword
Secure?Computing?Corporation:
2675?Long?Lake?Road
Roseville,?MN?55113
Tel:?(612)?628-2700
Fax:?(612)?628-2701
debernar@sctc.com
----------------------------------------------------------------
非混雜模式網(wǎng)絡(luò)接口設(shè)備
????以前,大多數(shù)IBM?DOS兼容機(jī)器的網(wǎng)卡都不支持混雜模式,所以無(wú)法進(jìn)行sniffing。但DOS已退出計(jì)算機(jī)網(wǎng)絡(luò)舞臺(tái),對(duì)于現(xiàn)在計(jì)算機(jī)市場(chǎng)中的網(wǎng)絡(luò)接口設(shè)備,請(qǐng)向供應(yīng)商查詢是否為非混雜模式設(shè)備(即不支持混雜模式)。
<<?完?>;>;