经典嗅探攻击--Sniffer Protable

8.2  "广播型"网络环境下的嗅探

在前面提到的两种网络环境中，相对而言，"广播型"网络环境下的嗅探是最容易进行的。因为它几乎不需要攻击者掌握任何高深的技术，就能够利用一些简单的工具来完成嗅探。

有许多图形化的嗅探软件的操作都很简单。一些软件用来完成某些具有特殊目的的嗅探操作，如专用于嗅探局域网中MSN聊天信息的MSN Sniffer等；另一些软件则用于安装在主机上，进行远程嗅探，如Raw Sniffer等。此外，还有一些专业的嗅探工具，如Sniffer Portable等。

8.2.1  经典嗅探攻击--Sniffer Protable

Sniffer Protable是由NAI公司出品的。NAI公司是世界著名的网络安全维护机构，其Sniffer Portable产品是网络管理员进行网络协议分析的必备软件，对普通"广播型"网络环境中的嗅探攻击来讲，更方便易用。

1．Sniffer Protable的基本设置

安装运行Sniffer Portable时，可能需要卸载用户系统中已安装的"QoS"网络协议，在安装结束时选择"Uninstall the QoS Packet Scheduler Service"复选框即可，如图8-3所示。

第一次运行时需要选择用来进行嗅探的网卡。如果有多块网卡，就选择用来连接局域网的网卡，如图8-4所示。

（点击查看大图）图8-3  卸载"QoS"协议

（点击查看大图）图8-4  选择嗅探网卡

2．设置嗅探协议

进入主界面后（见图8-5），选择的【捕获】→【定义过滤器】命令，在弹出对话框的"地址"选项卡中可以设置局域网内所要嗅探的主机及要嗅探的协议等。

假设进行嗅探的主机IP地址为"192.168.1.11"，要嗅探与局域网中所有其他主机的流量，可以在"地址类型"下拉列表框中选择"IP"选项，在地址列表第一栏中输入主机的IP地址"192.168.1.11"，在另一栏中输入"任意的"，Dir处的方向设置为收发均进行监听，如图8-6所示。

（点击查看大图）图8-5  Sniffer Protale主界面

（点击查看大图）图8-6  设置嗅探协议

切换到"高级"选项卡，可以选择要嗅探的网络协议，如常见的FTP、Telnet和HTTP等，都可以在"常用协议"→"IP"→"TCP"下进行选择，如图8-7所示。

还可以设置捕获数据包的大小，以过滤掉无用的数据。下面以嗅探Telnet协议密码为例：设置"监听协议"为"TELNET"，设置"数据包大小"为"Equal55"，设置"数据包类型"为"常规"，如图8-8所示。

（点击查看大图）图8-7  选择嗅探的网络协议

（点击查看大图）图8-8  过滤无用的数据

3．嗅探Telnet协议密码

设置完毕后返回程序主窗口，按【F10】键即可开始嗅探本机与其他主机进行的所有数据交换，如图8-9所示。当有人在局域网中通过Telnet下载，或登录主机输入用户名和密码时，都会被Sniffer Protale截取记录。

（点击查看大图）图8-9  开始嗅探

按【F9】键，可以停止嗅探并显示嗅探结果。在嗅探结果中单击"解码"标签，切换到结果列表，可以在"摘要"列中看到每行都对应一个输入字符，如图8-10所示，并可以从中发现Telnet协议的用户名和密码。

（点击查看大图）图8-10  捕获的Telnet密码