SNIFFER（嗅探器）-簡介

[psac]

http://www.20cn.net/ns/cn/jc/data/20020812014132.htm
http://cn.dir.yahoo.com/computers_an...ption/Sniffer/
SNIFFER（嗅探器）-簡介

Sniffer（嗅探器）是一種常用的收集有用資料方法，這些資料可以是用戶的帳號和密碼，可以是一些商用機密資料等等。Snifffer可以作為能夠捕獲網路報文的設備,ISS為Sniffer這樣定義：Sniffer是利用電腦的網路接頭截獲目的地為其他電腦的資料報文的一種工具。

Sniffer的正當用處主要是分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段執行得不是很好,報文的傳送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。 在合理的網路中，sniffer的存在對系統管理員是致關重要的，系統管理員通過sniffer可以診斷出大量的不可見模糊問題，這些問題涉及兩台乃至多台電腦之間的異常通訊有些甚至牽涉到各種的傳輸協定，借助於sniffer%2C系統管理員可以方便的確定出多少的通訊量屬於哪個網路傳輸協定、占主要通訊傳輸協定的主機是哪一台、大多數通訊目的地是哪台主機、報文傳送佔用多少時間、或著相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網路問題、管理網路區域提供了非常寶貴的信息。

嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網路報文。

為了對sniffer的工作原理有一個深入的瞭解，我們先簡單介紹一下HUB與網路卡的原理。

預備知識

HUB工作原理
由於以太網等很多網路（一般共享HUB連接的內部網）是關於總線方式，物理上是廣播的，就是當一個機器發給另一個機器的資料，共享HUB先收到然後把它接收到的資料再發給其他的（來的那個口不發了）每一個口，所以在共享HUB下面同一網段的所有機器的網路卡都能接收到資料。

交換式HUB的內部單片程序能記住每個口的MAC位址，以後就該哪個機器接收就發往哪個口，而不是像共享HUB那樣發給所有的口，所以交換HUB下只有該接收資料的機器的網路卡能接收到資料，當然廣播包還是發往所有口。顯然共享HUB的工作模式使得兩個機器傳輸資料的時候其他機器別的口也佔用了，所以共享HUB決定了同一網段同一時間只能有兩個機器進行資料通信，而交換HUB兩個機器傳輸資料的時候別的口沒有佔用，所以別的口之間也可以同時傳輸。這就是共享HUB與交換HUB不同的兩個地方，共享HUB是同一時間只能一個機器發資料並且所有機器都可以接收，只要不是廣播資料交換HUB同一時間可以有對機器進行資料傳輸並且資料是私有的。

網路卡工作原理
再講講網路卡的工作原理。網路卡收到傳輸來的資料，網路卡內的單片程序先接收資料頭的目的MAC位址，根據電腦上的網路卡驅動程式設定的接收模式判斷該不該接收，認為該接收就在接收後產生中斷信號通知CPU，認為不該接收就丟棄不管，所以不該接收的資料網路卡就截斷了，電腦根本就不知道。CPU得到中斷信號產生中斷，操作系統就根據網路卡驅動程式中設定的網路卡中斷程序位址使用驅動程式接收資料，驅動程式接收資料後放入信號堆棧讓操作系統處理。

區域網路如何工作
資料在網路上是以很小的稱為畫格(Frame)的服務機構傳輸的畫格由好幾部分組成，不同的部分執行不同的功能。（例如，以太網的前12個字元存放的是源和目的的位址，這些位告訴網路：資料的來源和去處。以太網畫格的其他部分存放實際的用戶資料、TCP/IP的報文頭或IPX報文頭等等）。

畫格通過特定的網路驅動程式進行成型，然後通過網路卡傳送到網線上。通過網線到達它們的目的機器，在目的機器的一端執行相反的程序。接收端機器的以太網路卡捕獲到這些畫格，並告訴操作系統畫格的到達，然後對其進行存儲。就是在這個傳輸和接收的程序中，嗅探器會造成安全方面的問題。

通常在區域網路（LAN）中同一個網段的所有網路接頭都有訪問在物理媒體上傳輸的所有資料的能力，而每個網路接頭都還應該有一個硬體位址，該硬體位址不同於網路中存在的其他網路接頭的硬體位址，同時，每個網路至少還要一個廣播位址。（代表所有的接頭位址），在正常情況下，一個合法的網路接頭應該只回應這樣的兩種資料畫格：

　　1、畫格的目標區域具有和本機網路接頭相匹配的硬體位址。
　　2、畫格的目標區域具有「廣播位址」。

在接受到上面兩種情況的資料包時，網路卡通過cpu產生一個硬體中斷，該中斷能引起操作系統注意，然後將畫格中所包含的資料傳送給系統進一步處理。

當採用共享HUB，用戶傳送一個報文時，這些報文就會傳送到LAN上所有可用的機器。在一般情況下，網路上所有的機器都可以「聽」到通過的流量，但對不屬於自己的報文則不予回應（換句話說，工作站A不會捕獲屬於工作站B的資料，而是簡單的忽略這些資料）。

如果區域網路中某台機器的網路接頭處於雜收（promiscuous）模式（即網路卡可以接收其收到的所有資料包，下面會詳細地講），那麼它就可以捕獲網路上所有的報文和畫格，如果一台機器被配置成這樣的方式，它（包括其軟體）就是一個嗅探器。

Sniffer

Sniffer原理
有了這HUB、網路卡的工作原理就可以開始講講SNIFFER。首先，要知道SNIFFER要捕獲的東西必須是要物理信號能收到的報文信息。顯然只要通知網路卡接收其收到的所有包（一般叫作雜收promiscuous模式：指網路上的所有設備都對總線上傳送的資料進行偵聽，並不僅僅是它們自己的資料。），在共享HUB下就能接收到這個網段的所有包，但是交換HUB下就只能是自己的包加上廣播包。

要想在交換HUB下接收別人的包，那就要讓其發往你的機器所在口。交換HUB記住一個口的MAC是通過接收來自這個口的資料後並記住其源MAC，就像一個機器的IP與MAC對應的ARP列表，交換HUB維護一個物理口（就是HUB上的網線插口，這之後提到的所有HUB口都是指網線插口）與MAC的表，所以可以欺騙交換HUB的。可以發一個包設定源MAC是你想接收的機器的MAC，那麼交換HUB就把你機器的網線插的物理口與那個MAC對應起來了，以後發給那個MAC的包就發往你的網線插口了，也就是你的網路卡可以SNIFFER到了。注意這物理口與MAC的表與機器的ARP表一樣是動態重新整理的，那機器發包後交換HUB就又記住他的口了，所以實際上是兩個在爭，這只能套用在只要收聽少量包就可以的場合。

內部網關於IP的通信可以用ARP欺騙別人機器讓其傳送給你的機器，如果要想不影響原來兩方的通信，可以欺騙兩方，讓其都發給你的機器再由你的機器轉發，相當於做中間人，這用ARP加上編程很容易實現。並且現在很多設備支持遠端管理，有很多交換HUB可以設定一個口監聽別的口，不過這就要管理權限了。

利用這一點，可以將一台電腦的網路連接設定為接受所有以太網總線上的資料，從而實現sniffer。Sniffer就是一種能將本機網路卡狀態設成『雜收』狀態的軟體，當網路卡處於這種「雜收」方式時，該網路卡具備「廣播位址」，它對遇到的每一個畫格都產生一個硬體中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。（絕大多數的網路卡具備置成雜收方式的能力）

可見，sniffer工作在網路環境中的底層，它會攔截所有的正在網路上傳送的資料，並且通過相應的軟體處理，可以實時分析這些資料的內容，進而分析所處的網路狀態和整體佈局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。

嗅探器在功能和設計方面有很多不同。有些只能分析一種傳輸協定，而另一些可能能夠分析幾百種傳輸協定。一般情況下，大多數的嗅探器至少能夠分析下面的傳輸協定：標準以太網、TCP/IP、IPX、DECNet。

嗅探器造成的危害
sniffing是作用在網路基礎結構的底層。通常情況下， 用戶並不直接和該層打交道，有些甚至不知道有這一層存在。所以，應該說snffer的危害是相當之大的，通常，使用sniffer是在網路中進行欺騙的開始。它可能造成的危害：

嗅探器能夠捕獲密碼。這大概是絕大多數非法使用sniffer的理由，sniffer可以記錄到明文傳送的userid和passwd。
能夠捕獲專用的或者機密的信息。比如金融帳號，許多用戶很放心在網上使用自己的信用卡或現金帳號，然而sniffer可以很輕鬆截獲在網上傳送的用戶姓名、密碼、信用卡號碼、截止日期、帳號和pin。比如偷窺機密或敏感的信息資料，通過攔截資料包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者乾脆攔截整個的email會話程序。
可以用來危害網路鄰居的安全，或者用來獲取更進階別的訪問權限。
窺探低級的傳輸協定信息。
這是很可怕的事，通過對底層的信息傳輸協定記錄，比如記錄兩台主機之間的網路接頭位址、遠端網路接頭ip位址、ip路由信息和tcp連接的字元順序號碼等。這些信息由非法入侵的人掌握後將對網路安全構成極大的危害，通常有人用sniffer收集這些信息只有一個原因：他正要進行一次欺騙（通常的ip位址欺騙就要求你準確插入tcp連接的字元順序號），如果某人很關心這個問題，那麼sniffer對他來說只是前奏，今後的問題要大得多。（對於進階的hacker而言，我想這是使用sniffer的唯一理由吧）
事實上，如果你在網路上存在非授權的嗅探器就意味著你的系統已經暴露在別人面前了。

一般Sniffer只嗅探每個報文的前200到300個字元。用戶名和密碼都包含在這一部分中，這是我們關心的真正部分。工人，也可以嗅探給定接頭上的所有報文，如果有足夠的空間進行存儲，有足夠的那裡進行處理的話，將會發現另一些非常有趣的東西……

簡單的放置一個嗅探器並將其放到隨便什麼地方將不會起到什麼作用。將嗅探器放置於被攻擊機器或網路附近，這樣將捕獲到很多密碼，還有一個比較好的方法就是放在網關上。sniffer通常執行在路由器，或有路由器功能的主機上。這樣就能對大量的資料進行監控。sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統，然後使用sniffer這種攻擊手段，以便得到更多的信息。如果這樣的話就能捕獲網路和其他網路進行身份鑒別的程序