資源描述:
《實(shí)驗(yàn)二嗅探器sniffer的應(yīng)用》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1�����、實(shí)驗(yàn)二嗅探器sniffer的應(yīng)用一���、實(shí)驗(yàn)?zāi)康模憾?、?shí)驗(yàn)閃容三�、實(shí)驗(yàn)條件四、實(shí)驗(yàn)過程五����、結(jié)果及其分析sniffer英文原意:用舁吸毐者,嗅探器��。Sniffer,屮文可以翻譯為嗅探器����,是一種基于被動(dòng)偵聽原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式��,討以監(jiān)視M絡(luò)的狀態(tài)����、數(shù)裾流動(dòng)悄況以及網(wǎng)絡(luò)上傳輸?shù)男畔?�。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸吋,便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊�。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式,便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@����,Sniffer技術(shù)常常被黑客們用來截獲用戶的口令,掘說某個(gè)骨丁?網(wǎng)絡(luò)的路由器網(wǎng)段曾經(jīng)被黑客攻入����,并嗅探到大量的用戶口令。但實(shí)際上Sniffer技術(shù)被廣泛地
2�����、應(yīng)用于咧絡(luò)故障診斷��、協(xié)議分析�����、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個(gè)領(lǐng)域���。一���、Sniffer原理1.網(wǎng)絡(luò)技術(shù)與設(shè)備簡(jiǎn)介在講述Sniffer的概念之前���,首先需要講述局域網(wǎng)設(shè)備的一些基本概念。數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)?�,幀由兒部分組成���,不同的部分執(zhí)行不同的功能����。幀通過特定的稱為M絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型�����,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上����,通過網(wǎng)線到達(dá)它們的目的機(jī)器,在目的機(jī)器的一端執(zhí)行相反的過程����。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀,并吿訴操作系統(tǒng)幀已到達(dá)��,然活對(duì)其進(jìn)行存儲(chǔ)����。就是在這個(gè)傳輸和接收的過程中,嗅探器會(huì)帶來安全方而的問題����。每一個(gè)在局域網(wǎng)(LAN)上的工作站
3、都有其?硬件地址��,這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器(這一點(diǎn)與Internet地址系統(tǒng)比較相似當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)����,這些數(shù)據(jù)包就會(huì)發(fā)送到LAN上所冇可用的機(jī)器。如果使川Hub/即基于共亨網(wǎng)絡(luò)的情況下�,網(wǎng)絡(luò)上所冇的機(jī)器都可以"聽"到通過的流員,但對(duì)不屈于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說�����,工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)�,而是簡(jiǎn)單地忽略這些數(shù)據(jù))。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式(關(guān)于混雜模式的概念會(huì)在后而解釋)���,那么它就可以捕獲網(wǎng)絡(luò)上所宥的數(shù)據(jù)包和幀��。但是現(xiàn)代網(wǎng)絡(luò)常常采用交換機(jī)作為M絡(luò)連接設(shè)備樞紐����,在通常怙況下,交換機(jī)不會(huì)讓網(wǎng)絡(luò)屮每—臺(tái)主機(jī)偵聽到其他主機(jī)的通訊��,因此S
4���、niffer技術(shù)在這吋必須結(jié)合網(wǎng)絡(luò)端門鏡像技術(shù)進(jìn)行配合�����。而衍生的安全技術(shù)則通過ARP欺騙來變相達(dá)到交換網(wǎng)絡(luò)中的偵聽�����,2.網(wǎng)絡(luò)監(jiān)聽原理Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(NIC,—般為以太網(wǎng)卡)置為雜亂(promiscuous)模式狀態(tài)的工具��,一旦網(wǎng)卡設(shè)置為這種模式��,它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包�,普通的情況下�����,網(wǎng)卡只接收和自己的地址有關(guān)的信息包����,即傳輸?shù)奖镜刂鳈C(jī)的信息包�,要使Sniffer能接收并處理這種方式的信息�,系統(tǒng)盂要支持BPF,Linux卜盂耍支持SOCKET—PACKET。但一般情況不�����,網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或齊發(fā)送與本地計(jì)
5��、算機(jī)無關(guān)的數(shù)據(jù)包�,所以��,為丫繞過標(biāo)準(zhǔn)的TCP/IP堆棧����,網(wǎng)卡就必須設(shè)罝為我們剛開始講的混雜模式。一般怙況下����,要激活這種方式,內(nèi)核必須支持這種偽設(shè)備Bpfilter����,而且需耍root權(quán)限來運(yùn)行這種程序���,所以sniffer需要root身份安裝,如果只是以本地用戶的身份進(jìn)入了系統(tǒng)�,那么不可能喚探到root的密碼,因?yàn)椴荒苓\(yùn)行Sniffer�。也冇基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN����,F(xiàn)R)甚至光網(wǎng)絡(luò)(POS、FiberChannel)的監(jiān)聽技術(shù)���,這吋候略微不同于以太網(wǎng)絡(luò)上的捕獲概念�,其中通常會(huì)引入TAP(測(cè)試介入點(diǎn))這類的硬件沒備來進(jìn)行數(shù)據(jù)采集��。1.Sniffer的分類Sniffer分
6��、為軟件和硬件兩種��,軟件的Sniffer冇SnifferPro����、NetworkMonitor、PacketBone等,其優(yōu)點(diǎn)是易于安裝部署����,易于學(xué)習(xí)使川,同吋也場(chǎng)于交流;缺點(diǎn)是無法抓取網(wǎng)絡(luò)上所冇的傳輸,某些情況下也就無法真正丫解網(wǎng)絡(luò)的故障和運(yùn)行情況��。硬件的Sniffer通常稱為協(xié)議分析儀,一般都是商業(yè)性的����,價(jià)格也比較昂貴�,但會(huì)其備支持各類擴(kuò)展的鏈路捕獲能力以及高性能的數(shù)據(jù)丈吋捕獲分析的功能?�;谝蕴W(wǎng)絡(luò)嗅探的Sniffer只能抓取一個(gè)物理網(wǎng)段內(nèi)的包����,就是說,你和監(jiān)聽的目標(biāo)屮間不能冇路由或其他屏蔽廣播包的設(shè)備��,這一點(diǎn)很重要�。所以,對(duì)一般撥號(hào)上網(wǎng)的用戶來說�����,是不可能利川Snif
7、fer來竊聽到其他人的通信內(nèi)容的��,2.網(wǎng)絡(luò)監(jiān)聽的目的當(dāng)一個(gè)黑客成功地攻陷了一臺(tái)主機(jī)�,并拿到了root權(quán)限,而且還想利用這臺(tái)主機(jī)去攻擊同一(物理)M段上的其他主機(jī)時(shí)��,他就會(huì)在這臺(tái)主機(jī)上安裝Sniffer軟件�����,對(duì)以太M設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽����,從而發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包��,就把它存到一個(gè)LOg文件屮去����。通常設(shè)罝的這些條件足包含字“username”或“password”的包,這樣的包里W通常冇黑客感興趣的密媽之類的東西�����。一旦黑客截獲得了某臺(tái)主機(jī)的密碼,他就會(huì)立刻進(jìn)入這臺(tái)主機(jī)���。如果Sniffer運(yùn)行在路由器上或有路由功
