包嗅探:嗅探工具检测预防方法

1 。 导言:


  Share  
|


包嗅探器是一个程序,其中监测网络流量穿过你的电脑。 包嗅探器运行于你的个人电脑已接驳上互联网用一个调制解调器,可以告诉你,你目前的ip地址以及ip地址的网络服务器,其地盘你来访。
你可以去看,联合国所有加密的数据旅社从你的电脑,上网。 这包括口令和其他敏感的数据,是不是有担保的,由加密。 把一包嗅探器对路由器在互联网上,你可以观看所有网络流量通过即路由器。 这包括绝对是任何人的数据刚好驶经该路由器。
嗅探器基本上是数据截取节目。 他们的工作,因为以太网是围绕着一个原则分担。 大多数网络都采用什么是被称为广播技术,这意味着每一个讯息传送由一个网络上的计算机可以读取任何其他电脑网络。 在实践中,所有其他电脑中,除一人,其中信息是指,将不理会这项讯息。 不过,电脑,可向接受讯息,即使他们是不是意味着对他们来说,通过一个嗅探器。
一嗅探器通常是被动的,它只会收集数据。 因此,它变得非常难以察觉的嗅探器。 当安装了一台电脑,一个嗅探器会产生一些少量的交通,虽然,因此无法检测。

2 。 工作的包嗅探器

包嗅探器工程,从每一个数据包发送,在网络中,其中包括包并不打算为自己。 做到这一点,是在以各种方式。 这些嗅探方法,将介绍如下。 嗅探器的工作,也有不同的类型而网络,他们在

共享以太网:
在一个共享的以太网环境中,所有主机都连接到相同总线,并互相竞争,为带宽。 在这种环境中包是指一机在收到所有其他机器。 因此,任何机器,在这样的环境摆在混杂模式将能够捕获数据包的意思为其他机器,因此,可以听取各交通网络。

交换式以太网:
一个乙太网路环境,使宿主是连接到一个交换机而不是一个枢纽,是所谓的交换式以太网。 开关保持一个表,记录每台计算机的mac地址,并提供数据包目的地为特定的机器,以港口上说,机相连。 交换机是一种智能设备发送数据包到目的地计算机只和不播出的所有机器上的网络,如在以前的案例。 这种交换式以太网环境的用意是为更好的网络性能,但作为一个附加的好处是,一台机器在混杂模式将不会在这里工作。 由于这一点,大多数网络管理员以为嗅探器不工作,在交换机上的一个环境。

3 。 利用数据包嗅探器

嗅探节目中发现有两种形式。 商业信息包嗅探器,是用来帮助维持网络,而地下包嗅探器被黑客获得未经授权的访问远程主机。 下面列出一些常见用途的嗅探程序:

•寻找清晰的文本用户名和密码,从网络。
•转换的交通网络,为人类可读形式。
•网络分析,以找出瓶颈。
•网络入侵检测系统,以监测攻击。

使用嗅探器,在一个不合法的方式被认为是一个被动攻击。 它没有直接接口或连接到任何其他系统上的网络。 不过,电脑说,嗅探器是安装在可已经失密使用的主动攻击。 被动性质的嗅探器,是什么使得侦破这些这么难。 下面的清单说明几个原因入侵者正在使用嗅探器对网络:

  • 捕捉清晰的文本用户名和密码
  • 妥协的专有信息
  • 捕捉与回放ip语音电话交谈
  • 映射网络
  • 被动操作系统指纹

显然,这些都是被非法使用一个嗅探器,除非你是一个穿透测试仪,其工作就是要找到这些类型的弱点,并报告他们的一个组织。 为吸发生,一个入侵者必须首先获得了通信电缆的系统都感兴趣。 这意味着对同一共享网段,或者窃听到某处电缆之间的路径通信。 如果入侵者是不是身在目标系统或通信接入点,还存在着如何嗅出网络流量。 这些措施包括:

  • 打破成了靶子电脑和安装远程控制嗅探软件。
  • 打入通信接入点,如互联网服务提供商( isp ) ,并安装嗅探软件。
  • 定位/找到一个系统在互联网服务供应商已经有嗅探软件安装。
  • 利用社会工程学获得物理接入互联网服务供应商安装了一个包嗅探器。
  • 有知情共犯在目标计算机组织或互联网服务供应商安装嗅探器。
  • 重定向通信采取走出一条包括入侵者的计算机。

4 。 嗅探工具

  • 网络分析工具软件:网络分析工具软件是一个强大的工具,使我们能够监听网络封包,并提出一些统计分析出那些垃圾场。 一个主要的缺点是,以网络分析工具软件是大小单位的档案载有文字输出。 但网络分析工具软件,使我们能够精确地看到所有的交通,使我们创造的统计监测脚本。
  • sniffit :鲁棒包嗅探器具有良好的过滤。
  • 醚:免费网络协议分析仪为unix和windows 。 它允许你检查数据,从一个活生生的网络,或是从捕捉档案保留在磁盘上。
  • 亨特:主要目标是寻找项目,是开发工具,以开发著名的弱点,在tcp / ip协议套件。
  • dsniff : dsniff是一个收集工具网络审计和渗透测试。 dsniff , filesnarf , mailsnarf , msgsnarf , urlsnarf和webspy被动地监测网络,为有趣的数据(密码,电子邮件,档案等) 。 arpspoof , dnsspoof , macof方便截取网络流量通常无法攻击(为例,由于层- 2切换) 。 sshmitm和webmitm实施积极的猴子在该中攻击重定向的ssh和https届利用弱绑定在特设公匙基建。

5 。 嗅探方法

有三种类型的嗅探方法。 有的工作方法,在非交换网络,而其他工作,在交换式网络。 该嗅探方法是:基于ip嗅探,陆委会基于嗅探,和arp协议为基础的嗅探。

5.1基于ip嗅探

这是原有的包嗅探。 它把网路卡到混杂模式的嗅探和所有数据包匹配ip地址过滤器。 一般情况下, ip地址过滤并非如此,它能够捕捉到的所有包。 这种方法只有在非交换式网络。

5.2陆委会基于嗅探

这种方法是可行的批示精神网卡到混杂模式的嗅探和所有数据包匹配mac地址过滤器。

5.3 arp协议为基础的嗅探
这种方法是可行的有点不同。 它不把网路卡到混杂模式。 这是没有必要的,因为arp的数据包将发送给我们。 出现这种情况是因为arp协议是无国籍人士。 正因为如此,嗅闻可以做一个交换网。 履行这种嗅探,你首先要毒害的arp cache1的两个主持人说,你想闻,确定自己的其他主机的连接。 一旦arp的快取记忆体中毒,两个主机开始,他们的联系,而是要送交通直接向其他东道国获得发给我们。 接着,我们日志的交通,并将其转发给真正的用意是东道国在另一边的连接。 这就是所谓的一名男子在该中间人攻击。

6 。 检测一包嗅探器

从理论上讲,这是不可能检测嗅探节目,因为他们是被动的:他们只是收集数据包,他们不发送任何事情。 然而,在实践中有时是有可能发现嗅探节目。
一般概况的检测方法

6.1平法

伎俩用在这里是要发出一个平要求与ip地址的疑犯机,但不是它的mac地址。 理想的情况下,没有机器应该看到这个包,因为每个以太网适配器将拒绝它,因为它并不符合自己的mac地址。 如果怀疑机器正在运行一个嗅探器,它会回应,因为它没有拒绝包的一个不同的目的地mac地址。 这是一个古老的方法,并不再可靠。
最"包嗅探器" ,运行正常的机器,正常tcp / ip栈。 这意味着,如果你发送请求到这些机器,他们将作出回应。 诀窍在于发出一个请求ip地址的机器,而不是它的以太网适配器。

6.2 arp的方法

该arp的方法是相类似的平方法,而是一种arp的包是用来代替。 最简单的arp的方法传递一个arp的一个非广播地址。 如果一台机器回应这种arp协议的ip地址,那么它必须在混杂模式。
更改这一技术利用了这一事实,即仪器"快取" arps 。 每个arp的载有完整的资料,这两个寄件人以及所期望的目标信息。 或者换句话说,当我发出一个单一的arp向广播地址,我,包括我自己的ip到以太网地址映射。 每个人,否则就钢丝回忆,这方面的资料,为下几分钟。 因此,你可以作这样的事情,派一个非广播的arp ,然后播出平。 任何人回应你的平而不arping你只能得势mac地址从一个闻过的arp帧。 (使双重肯定,可以用不同的源mac地址在平) 。

6.3 dns的方法

许多嗅探程序并不自动反向域名系统查找关于ip地址,他们看到的。 因此,一个混杂模式,可以发现通过观看,为dns的交通,它所产生的。
这种方法能检测双源机器和能遥控。 你需要监测来袭反向域名系统查找关于dns服务器,在你的组织。 简单地做了平扫整个公司对机器说,是众所周知的不存在。 任何人做反向域名解析查找这些地址正在试图查找ip地址出现的arp包,其中只有嗅探节目做的。

6.4源路径法

另一种方法牵涉配置源路线资料内的ip头。 这可以用来探测数据包嗅探器等,附近部分。

  • 创造一个平包的,但把一个松散的开源路线,迫使它由另一台机器,同时部分。 这种机器应该有路由残疾人,这样才不会在事实上转发给目标。
  • 如果你得到回应的话,那就是有可能的对象闻过包过铁丝网。
  • 在回应, doublecheck有关的ttl实地了解,如果它'回来后,由于嗅探(而不是被改为正确)

在松散的源路由,一个选择是添加到ip头。 路由器会不顾目的地ip地址,而是推进到下一ip地址,在源路由选择。 这意味着,当你发送数据包,你可以说"请把包anoushka ,但它的路线,通过雅利安第一" 。
在这种情况下,无论是"雅利安人"和" anoushka "关于部分。 雅利安人并不路线,因此,就放弃了包收到时。 所以, " anoushka " ,只能回应,如果她有闻过包,从丝。
关于小康机会雅利安确实干线(在这种情况下anoushka会回应) ,然后的ttl领域,可以用来验证anoushka回应时,从路由通过雅利安人,或直接回答。

6.5诱饵法

而平及arp的方法只有工作,对本地网,诱骗方法作品无处不在。
既然有这么多协议,让"纯文本"的口令,黑客而言筛选机寻找那些密码,诱骗方法简单地满足这一需要。 它简单地设立一个客户和服务于任何一方的网络,客户端运行一个脚本,以登录到服务器上使用的telnet ,流行, imap的,或者一些其他的纯文本文件议定书。 服务器已被配置成具有特殊账户,有没有真正的权利,或服务器是完全虚拟(在这种情况下,该帐户不存在) 。

6.6东道国方法

当黑客闯入你的系统,他们往往会留下监听程式在该背景,以嗅出密码和用户帐户小康铁丝网。 这些通常是内嵌(作为一个木马) ,在其他节目,所以只有这样,才能找到,如果是这样运行的是查询界面,以了解他们是否正在运行在混杂模式。

6.7潜伏期方法

这种方法是基于这样的假设:大多数嗅探器做一些解析。 简而言之,在该方法中,大量的数据被发送对网络中,犯罪嫌疑人机器pinged前及比赛期间的数据水浸。 如果机器是在混杂模式,它会解析数据,增加负荷。 因此,它将需要额外的时间,以回应市民的平包。 这种差异在响应时间,可以用来当作显示与否不是一台机器,是在混杂模式。 一点值得注意的是,可能会造成数据包的延迟,因为该负荷对电线,造成假阳性结果。
这是一个更邪恶的方法。 一方面,它可以显着降低了网络性能。 在另一方面,它可以'盲'包嗅探器,派出太多的交通。
这种方法的职能,派出了大量的网络流量,对丝。 这不会影响非滥交的机器,但产生了巨大影响嗅探机器,特别是那些解析应用层协议的密码。 简单地坪机器前负荷,并在负载测试的差异响应时间可以表示,如果机是根据负荷。
其中一个问题,这一技术是包可延迟纯粹是因为负荷对电线,这可能病例timeouts ,因此假阳性结果。 在另一方面,许多嗅探节目是"用户模式" ,而坪,是回应了在"内核模式" ,因此,独立的cpu负荷就一台机器,从而造成假阴性结果。

6.8贸发报告(时域反射)

1贸发报告基本上是雷达为丝。 它发出一个脉冲了铁丝网,然后图反思说,回来了。 一个专家可以看看图中的反应,并计算出,如果有任何装置附着在铁丝不应该。 他们还告诉大致情况,在距离沿导线,塔所在地。
这可以探测硬件的数据包嗅探器可能附着在钢丝,但属于完全沉默,否则。 使用中继卫星将使用了大量工作,昔日的甜言蜜语,乙太网路,以探测吸血鬼水龙头,但这些天星拓扑,它们被用来很少。 但也存在otdr的设备,但,这是真的只为真正的偏执狂。

6.9枢纽灯

你可以手动检查枢纽灯,看看是否有任何联系,你不要指望。 它有助于有标记的电缆,以揣摩出(身体) ,一包嗅探器可能的位置。

6.10 snmp的监测

智能集线器与snmp管理,可提供自动化monitroning以太网(和其他)的枢纽。 有的管理控制台会还让你日志连接/中断给你所有港口。 如果你已经配置了该系统与资讯,所有的电缆终止,你有时可以追寻那里一包嗅探器可能被藏匿。

7 。 有几种工具可以用来探测嗅探器对你的网络

他们中的许多人已经过时,不再积极维持,而且有时很难找到。 此外,较新的嗅探器已被改写,以逃避侦查。 但是,这里是他们中的一些人。

7.1 。 promiscan版本0.27 :这是一项免费计划,由安全周五是切合时宜,并积极维持。 它运行于windows 2000和xp ,并要求winpcap的驱动程序。 它可以扫描本地网络寻找偏远混杂模式适配器,使用arp的邮包。

7.2 。 antisniff这个节目本来是写的创立,但已不再是支持或保持下去。

7.3 。 哨兵这个免费程序进行远程滥交检测,并运行于各种版本的bsd和linux 。 它需要libpcap库和libnet图书馆经营。

7.4 。 neped网络滥交以太网探测器是一个自由基于unix的计划原本是由apostols组远程检测混杂模式的网络接口卡的linux计算机。 它不仅能检测上的一个子集linux系统与安装补丁的内核之前版本2.0.36 。 该apostols网站不再存在,并neped可很难找到。

7.5 。 检查混杂模式( cpm )的 ,这是一个免费的基于unix的程序制定的证书/消委会回应增加网络嗅探。

7.6 。 ifstatus这是一个免费的基于unix程序,以检测混杂模式的接口,在solaris和aix系统。

7.7 。 promisc.c这是一个免费的基于unix程序,以检测混杂模式界面linux和一些的sunos系统。

8 。 防止包嗅探器

最好的办法,以确保你对嗅探是利用加密。 虽然这不会阻止嗅探器,从功能,这将确保一个嗅探器内容是纯垃圾。

幸好,有一些方法,你可以用你的网络,可提供保护,防止被动攻击称为嗅探。

一些技术预防是:

8.1 。 pgp的和s /默剧

电子邮件可吸的,在许多其他方法。 它穿过企业防火墙,可留意交通情况。 它常常得到登录和保存的延长一段时间。 它可能获得意外偏差,并最终在别人的信箱。 最好的方法,以保留这些电子邮件秘诀就是加密。 两个常见的方式,这样做是与pgp的(不错私隐)和s /默剧(安全的默剧) 。 pgp的,可以购买一个附加的系统,很多产品。 /默剧是建成电子邮件程序,由网景和微软等。

8.2 。 安全壳( ssh )技术

ssh的是一个应用层的虚拟专用网,即横跨在tcp ,以确保客户端至服务器的交易。 这往往是用于一般登录和管理远程服务器。 它通常是用来取代的telnet , ftp的,而大学伯克利分校服务的"住宅"的命令。 但是,由于任意tcp协议,可以潜行通过一个ssh方面,它可用于许多其他应用。 ssh的规定,由认证rsa的数字减影血管造影或不对称配对钥匙。 头文件在一个ssh会议是没有加密,使入侵者仍然能够查看源和目的地地址。

8.3 。 vpn的(虚拟私人网络)

vpn的,提供加密的交通网络。 然而,如果一个黑客妥协结束节点的vpn连接,也可以嗅出了交通。 一个典型的情况是最终用户,他们分区互联网通常,取得妥协与远程访问木马(鼠)表示,包含一个嗅探插件。 当用户建立了虚拟专用网络连接,嗅探程序可以看到,不仅加密流量,可以看到在互联网上,而且也未加密的交通才得到送往通过栈,以虚拟专用网络服务。

8.4 。 安全套接字层( ssl ) /传输层安全( tls的)

ssl的是最初是由网景通讯提供安全及保密的互联网会议。 它已取代的tls正如在rfc 2246.tls规定的安全建立在传输层和克服了一些安全问题上的ssl 。 它是用来概括了网络流量较高层次的应用,如ldap的,还有http , ftp的, 1986年,支持pop3 ,和imap 。 它提供了认证和完整性,通过数字证书和数字签名。

8.5 。 ip安全( ipsec中)

ipsec的是一个网络级协议包含安全纳入ipv4和ipv6协议直接在分组层次,延长叶包标头。 这使得有能力来加密任何高层协议。 目前,它已纳入路由设备,防火墙,和客户,为确保可靠网络给对方。 ipsec的规定,几种手段来进行认证和加密,支持,也有不少公开密钥认证密码和对称密钥加密密码。 它能够在隧道模式提供一个新的ip报头,将掩盖了原始的源和目的地址。

8.6 。 一次性密码(检察官办公室)

一次性密码是另一种方法,以防范嗅探。 /关键,一次性密码,一切(奥佩) ,以及其他一次性密码技术,将能防范收集和循环再用的密码。 他们经营所使用的一个挑战-响应方法,以及不同的密码传送每一次认证是需要的。 密码的一个嗅探器收集,将无用的,因为他们只使用一次。 智能卡是一种流行的方法,实施一次性passwords.e邮件保护是一个热门话题,为这两家公司和个人。 两种方法的保护电子邮件,加密,它在运输和储存的,是漂亮。

9 。 参考

  • www.securitysoftwaretech.com
  • www.robertgraham.com
  • www.fernando.org.uk
  • www.linuxjournal.com
  • http://cs.baylor.edu
  • www.tldp.org
  • www.zurich.ibm.com
  • www.robertgraham.com
  • www.linuxsecurity.com

苏哈斯一德赛:
苏哈斯一德赛正与马恒达科技有限公司浦那作为一个软件开发者。 他活跃在开源社区的关注。 他执笔的许多研究论文,文章和特点,为被誉为国际和全国性会议,期刊和程序。 他写道特点www.linuxsecurity.com 。 在他的自由时间,他会进行讲座,工作坊,为软件专业人员和学生。

这是一篇文章说,由苏哈斯一德赛

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions