浅谈Sniffer攻击

　　Sniffer（嗅探器）几乎与Internet有一样发展历史了，Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的账户和密码，可以是一些商用机密数据等等。随着Internet及电子商务的日益普及，Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要角色之一的Sniffer受到越来越大的关注，所以今天我们一起来学习Sniffer。
　　1、Sniffer含义
　　大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些“雄心勃勃”的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装Sniffer。
　　在内部网上，黑客要想迅速获得大量的账号(包括用户名和密码)，最为有效的手段是使用 "Sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行Sniffer是没有效果的。再者，必须以root的身份使用Sniffer 程序，才能够监听到以太网段上的数据流。谈到以太网Sniffer，就必须谈到以太网Sniffing。
　　以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发现符合条件的包，就把它存到一个log文件中去。通常设置的这些条件是包含字"username"或"password"的包。它的目的是将网络层放到promiscuous模式，从而能干些事情。
　　Sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。Sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用Sniffer这种攻击手段，以便得到更多的信息。
　　Sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个其他重要的信息，在网上传送的金融信息等等。Sniffer几乎能得到任何以太网上的传送的数据包。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证Sniffer能够执行。在Solaris 2.x平台上，Sniffer 程序通常被安装在/usr/bin 或/dev目录下。黑客还会巧妙的修改时间，使得Sniffer程序看上去是和其它系统程序同时安装的。
　　大多数以太网Sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使得系统管理员很难发现运行的Sniffer程序。
　　以太网Sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行Sniffer的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。
　　讲了这么多，还是回归正题，来介绍Sniffer吧。
　　计算机网络与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。
　　以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式。
　　由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输， 一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。
　　一句话，sniffer就是一个用来窃听的黑客手段和工具。
　　2、sniffer攻击的工作原理
　　通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。(代表所有的接口地址)，在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：
　　1）帧的目标区域具有和本地网络接口相匹配的硬件地址。
　　2）帧的目标区域具有"广播地址"。
　　在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。
　　而sniffer就是一种能将本地nc状态设成(promiscuous)状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。(绝大多数的nc具备置成 promiscuous方式的能力)。
　　可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

　　3、Sniffer的工作环境
　　snifffer就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
　　嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：
　　1）标准以太网
　　2）TCP/IP
　　3）IPX
　　4）DECNet
　　嗅探器通常是软硬件的结合。专用的嗅探器价格非常昂贵。另一方面，免费的嗅探器虽然不需要花什么钱，但得不到什么支持。
　　嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。(为了理解杂收模式是怎么回事，先解释局域网是怎么工作的)。
　　数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。(例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。
　　帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。
　　每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器(这一点于Internet地址系统比较相似)。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。
　　在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应(换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据)。
　　如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它(包括其软件)就是一个嗅探器。
　　嗅探器可能造成的危害：
　　1）嗅探器能够捕获口令
　　2）能够捕获专用的或者机密的信息
　　3）可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限
　　4、怎么发现Sniffer攻击
　　在UNIX系统下可以使用下面的命令:ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。在Windoos系统下，可以按下Ctrl+Alt+Del键，查看任务列表。不过，编程技巧高的Sniffer攻击即使正在运行，也不会出现在这里。
　　另一个方法就是在系统中搜索，查找可怀疑的文件。但人侵者用的可能是他们自己写的程序，所以这给发现Sniffer攻击造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式，从而发现是否有一个Sniffer攻击正在运行。 但在网络情况下要检测出哪一台主机正在运行Sniffer攻击是非常困难的，因为Sniffer攻击是一种被动攻击软件，它并不对任何主机发出数据包，而只是静静地运行着，等待着要捕获的数据包经过。
　　5、抵御 Sniffer攻击
　　虽然发现一个Sniffer攻击是非常困难的，但是我们仍然有办法抵御Sniffer攻击的嗅探攻击。既然Sniffer攻击要捕获我们的机密信息，那我们干脆就让它捕获，但事先要对这些信息进行加密，黑客即使捕捉到了我们的机密信息，也无法解密，这样，Sniffer攻击就失去了作用。
　　黑客主要用Sniffer攻击来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击攻击的协议。
　　SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户/服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。
　　SSH后来发展成为F-SSH，提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP的网络通信提供了通用的最强的加密。如果某个站点使用F-SSH，用户名和口令就不再重要了。目前，还没有人突破过这种加密方法。即使是Sniffer攻击，收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。
　　另一种抵御Sniffer攻击攻击的方法是使用安全的拓扑结构。因为Sniffer攻击只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer攻击窃听到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击 一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里，或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器(Hub)的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听。
　　所有的问题都归结到信任上面。计算机为了和其他计算机进行通信，它就必须信任那台计算机。系统管理员的工作就是决定一个方法，使得计算机之间的信任关系很小。这样，就建立了一种框架，告诉你什么时候放置了一个Sniffer攻击，它放在哪里，是谁放的等等。
　　如果局域网要和Internet相连，仅仅使用防火墙是不够的。人侵者已经能从一个防火墙后面扫描，并探测正在运行的服务。应该关心的是一旦人侵者进人系统，他能得到些什么。你必须考虑一条这样的路径，即信任关系有多长。举个例子，假设你的Web服务器对计算机A是信任的，那么有多少计算机是A信任的呢?又有多少计算机是受这些计算机信任的呢?一句话，就是确定最小信任关系的那台计算机。在信任关系中，这台计算机之前的任何一台计算机都可能对你的计算机进行攻击并成功。你的任务就是保证一旦出现Sniffer攻击，它只对最小范围有效。
　　Sniffer往往是在攻击者侵人系统后使用的，用来收集有用的信息。因此，防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试，防止安全隐患。同时要控制拥有相当权限的用户的数量，因为许多攻击往往来自网络内部。
　　6、防止 Sniffer的工具 Antisnff
　　Antisniff是由著名黑客组织(现在是安全公司了)L0pht开发的工具，用于检测本地网络是否有机器处于混杂模式(即监听模式)。
　　一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说，了解哪台机器正处于混杂模式以作进一步的调查研究是非常重要的。
　　Antisniff 1.X版运行在以太网的Windows NT系统中，并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。这些测试方法与其操作系统本身无关。
　　Antisniff运行在本地以太网的一个网段上。如果在非交换式的C类网络中运行，Antisniff能监听整个网络;如果网络交换机按照工作组来隔离，则每个工作组中都需要运行一个Antisniff。原因是某些特殊的测试使用了无效的以太网地址，另外某些测试需要进行混杂模式下的统计(如响应时间、包丢失率等)。
　　Antisniff的用法非常简便，在工具的图形界面中选择需要进行检查的机器，并且指定检查频率。对于除网络响应时间检查外的测试，每一台机器会返回一个确定的正值或负值。返回的正值表示该机器正处于混杂模式，这就有可能已经被安装了Sniffer。
　　对于网络响应时间测试的返回值，建议根据第一次返回的数值计算标准值，然后再对在flood和非flood两次测试时返回的结果有较大变化的机器进行检查。一旦这些机器退出混杂模式返回到正常操作模式下，Antisniff的下一次测试将会记录到混杂模式和非混杂模式的差值(正值)。
　　应该周期性地运行Antisniff，具体周期值根据不同的站点、不同的网络负荷、测试的机器数量和网站策略等而有所不同。
　　以上就是对Sniffer攻击的介绍，望你能有所收获。如果你想浏览更多的内容，不妨登陆课课家教育或关注公众号【课课家IT精品课程】。