sniffer介绍

     Sniffer ,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。 Sniffer 技术常常被黑客们用来截获用户的口令,据说某个骨干网络的 路由器 网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上 Sniffer 技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
  本文将详细介绍 Sniffer 的原理和应用。
  一、 Sniffer 原理
   1 .网络技术与设备简介
  在讲述 Sniffer 的概念之前,首先需要讲述局域网设备的一些基本概念。
  数据在网络上是以很小的称为帧( Frame )的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。
  每一个在局域网( LAN )上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与 Internet 地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到 LAN 上所有可用的机器。
  如果使用 Hub/ 即基于共享网络的情况下,网络上所有的机器都可以 到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站 A 不会捕获属于工作站 B 的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。
  但是现代网络常常采用交换机作为网络连接设备枢纽,在通常情况下,交换机不会让网络中每一台主机侦听到其他主机的通讯,因此 Sniffer 技术在这时必须结合网络端口镜像技术进行配合。而衍生的安全技术则通过 ARP 欺骗来变相达到交换网络中的侦听。
   2 .网络监听原理
   Sniffer 程序是一种利用以太网的特性把网络适配卡( NIC ,一般为以太网卡)置为杂乱( promiscuous )模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
  普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使 Sniffer 能接收并处理这种方式的信息,系统需要支持 BPF Linux 下需要支持 SOCKET PACKET 。但一般情况下,网络硬件和 TCP IP 堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的 TCP IP 堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备 Bpfilter ,而且需要 root 权限来运行这种程序,所以 sniffer 需要 root 身份安装,如果只是以本地用户的身份进入了系统,那么不可能唤探到 root 的密码,因为不能运行 Sniffer
  也有基于无线网络、广域网络 (DDN, FR) 甚至光网络 (POS Fiber Channel) 的监听技术,这时候略微不同于以太网络上的捕获概念,其中通常会引入 TAP ( 测试介入点 ) 这类的硬件设备来进行数据采集。
   3. Sniffer 的分类
   Sniffer 分为软件和硬件两种,软件的 Sniffer Sniffer Pro Network Monitor PacketBone 等,其优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的 Sniffer 通常称为协议分析仪,一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。
  基于以太网络嗅探的 Sniffer 只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用 Sniffer 来窃听到其他人的通信内容的。
   4 .网络监听的目的
  当一个 黑客 成功地攻陷了一台主机,并拿到了 root 权限,而且还想利用这台主机去攻击同一(物理)网段上的其他主机时,他就会在这台主机上安装 Sniffer 软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。如果发现符合条件的包,就把它存到一个 LOg 文件中去。通常设置的这些条件是包含字 “username” “password” 的包,这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码,他就会立刻进入这台主机。
  如果 Sniffer 运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
   Sniffer 属于第 M 层次的攻击。就是说,只有在攻击者已经进入了目标系统的情况下,才能使用 Sniffer 这种攻击手段,以便得到更多的信息。
   Sniffer 除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。 Sniffer 几乎能得到任何在以太网上传送的数据包。
二、 Sniffer 的商业应用
   Sniffer Network General 公司注册为商标,这家公司以出品 Sniffer Pro 系列产品而知名。目前最新版本为 Sniffer Portable 4.9 ,这类产品通过网络嗅探这一技术方式,对数据协议进行捕获和解析,能够大大帮助故障诊断和网络应用性能的分析鉴别。
   Network General 已经被 NetScout 公司收购。
 三、 Sniffer 的扩展应用
   1 、专用领域的 Sniffer
   Sniffer 被广泛应用到各种专业领域,例如 FIX ( 金融信息交换协议 ) MultiCast( 组播协议 ) 3G ( 第三代移动通讯技术 ) 的分析系统。其可以解析这些专用协议数据,获得完整的解码分析。
   2 、长期存储的 Sniffer 应用
  由于现代网络数据量惊人,带宽越来越大。采用传统方式的 Sniffer 产品很难适应这类环境,因此诞生了伴随有大量硬盘存储空间的长期记录设备。例如 nGenius Infinistream 等。
   3 、易于使用的 Sniffer 辅助系统
  由于协议解码这类的应用曲高和寡,很少有人能够很好的理解各类协议。但捕获下来的数据却非常有价值。因此在现代意义上非常流行如何把协议数据采用最好的方式进行展示,包括产生了可以把 Sniffer 数据转换成 Excel BoneLight 类型的应用和把 Sniffer 分析数据进行图形化的开源系统 PacketMap 等。这类应用使用户能够更简明地理解 Sniffer 数据。

你可能感兴趣的:(职场,休闲,sniffer)