一個嗅探器是一台設備,一個軟件或硬件,它可以獲取網絡上傳輸的任何信息。嗅探器通過
將網絡接口(以太網接口)置為混雜模式去捕獲網絡上的通信。采用混雜模式可以讓網絡上
的一台工作站監聽所有的通信,不僅僅是它們自己的。
Sniffer工具
linsniffer(http://agape.trilidun.org/hack/network-sniffers/linsniffer.c):是
一個簡單的嗅探器,其目的是捕獲用戶名和口令。采用linsniffer的書出來偷取口令和紀
錄普通通信的效果非常好,但它不適合於更詳細的分析。
Linux_sniffer(http://www.ryanspc.com/sniffers/linux_sniffer.c):提供更詳細一
些的輸出,而且比較容易使用。
hunt(http://www.ryanspc.com/sniffers/hunt-1.3.tgz):輸出可讀性強,較少的原始
數據。Hunt支持一下功能:(1)允許你指定感興趣的特定連接,而不是監聽並紀錄所有的
信息;(2)能夠檢測已經建立的連接;(3)提供欺騙工具;(4)攔截活動回話。
sniffit(http://reptile.rug.ac.be/~coder/sniffit/sniffit.Html):允許你更廣范圍
內監視多台主機的不同端口的不同的數據包。是一個非常好的工具。
Sniffers的安全風險
Sniffers表明了高水平的風險:它們能捕獲口令字,可以捕獲秘密的或私人信息;突
破相鄰網絡的安全限制或者越過存取控制。
防御Sniffer攻擊
為了捕獲一個Sniffer,你必須確定網絡上的任何接口工作在混雜模式。可以采用
ifconfig和ifstatus來做到這一點。
ifconfig:是一個配置網絡接口參數的配置工具,可以快速的檢測本地主機的網絡接口
是否工作在混雜模式。
ifstatus:檢查系統上的所有網絡接口,報告任何處於調試或混雜模式的網絡接口。
ifconfig和ifstatus是一個在本地主機上檢測sniffer的很好的工具,但是在一個
大型的網絡中,我們需要一種工具可以跨越子網檢測sniffer。一種是采用
NEPED(http://metalab.unc.edu/pub/Linux/distributions/trinux/src/neped.c).NEPED
可以在一個字網上檢測一個Sniffer的活動不過NETPED由一個限制:他僅工作在2.0.36及
以前的內核上。
預防Sniffer的安全方法
選擇“好”(難於破解和猜測)的口令字,並經常修改;總是采用加密傳輸等。
決論:Sniffer帶來的相當大的安全風險,主要是因為它們難以檢測。防御Siffer的
最佳方法只采用安全的網絡拓撲結構並采用高強度的加密傳輸。
