❶ Sniffer是什麼
Sniffer,中文譯為嗅探器,是一種威脅極大的被動攻擊工具。其功能包括監視網路狀態、數據流動情況以及網路上傳輸的信息。尤其當信息以明文形式在網路中傳輸時,使用嗅探器可以輕松進行攻擊。通過將網路介面設置為監聽模式,可以截獲網上傳輸的信息。黑客常用此法來截獲用戶口令,有報道指出,某骨幹網路的路由器曾被黑客攻破,嗅探到了大量用戶口令。
要深入理解Sniffer的工作原理,首先需要了解區域網設備的基本概念。數據在網路中以幀的形式傳輸,幀由幾個部分組成,各部分負責不同功能。幀通過特定的網路驅動程序進行封裝,通過網卡發送至網線,再由目的機器接收。接收端的乙太網卡將接收到的幀轉發給操作系統,系統隨後對其進行處理。在此過程中,嗅探器可能引發安全問題。
每個區域網工作站都具有唯一的硬體地址,代表網路上的機器。當用戶發送數據包時,這些數據包會廣播到區域網上的所有機器。一般情況下,只有目的地機器會響應這些數據包,其餘機器則忽略。如果工作站的網路介面處於混雜模式,它就能捕獲網路上所有數據包和幀。
Sniffer程序通過將網路適配卡設置為混雜模式來監聽網路上的信息。混雜模式使網卡能夠接收網路上所有信息包,而不僅僅與本地主機相關的數據包。要實現這一點,系統需要支持BPF或SOCKET一PACKET。然而,通常情況下,網路硬體和TCP/IP堆棧不支持接收與本地計算機無關的數據包。因此,網卡必須設置為混雜模式,繞過標準的TCP/IP堆棧。激活這種模式需要root許可權,通常需要Bpfilter偽設備的支持。
基於Sniffer模式,可以分析各種信息包並描述網路結構和使用的機器。由於它能捕獲同一網段上傳輸的數據包,因此存在捕獲密碼、各種信息和秘密文檔等未加密信息的可能性。這成為黑客常用的擴大戰果的方法。
Sniffer分為軟體和硬體兩種。軟體Sniffer如NetXray、Packetboy、Net monitor等,優點在於物美價廉,易於學習使用,但也存在局限性,無法抓取網路上所有傳輸,某些情況下難以了解網路故障和運行情況。硬體Sniffer通常稱為協議分析儀,價格較高。
實際應用中,Sniffer主要用於獲取口令或用戶名。黑客在攻陷一台主機並獲得root許可權後,會在主機上安裝Sniffer軟體,監聽乙太網設備上傳送的數據包,尋找包含「username」或「password」的包。一旦截獲密碼,黑客可立即進入目標主機。若Sniffer運行在路由器或有路由功能的主機上,可監控大量數據。
Sniffer屬於第M層次的攻擊,即只有在攻擊者已進入目標系統的情況下才能使用。除了獲取口令或用戶名,Sniffer還能獲取更多其他信息,如重要信息和金融數據。它幾乎能捕獲任何在乙太網上傳輸的數據包。
作為一種復雜的攻擊手段,Sniffer通常只有黑客老手才能使用。對於網路新手來說,即使成功編譯並運行Sniffer,也難以獲得有用信息。因為網路上的信息流量很大,不加選擇地接收所有包並從中找到所需信息非常困難。長時間監聽還可能導致放置Sniffer的機器硬碟爆滿。