sniffit的安裝使用簡述(linux0

psac · 2003-11-15, 06:37 AM

原創：quack（quack）

sniffit的安裝使用簡述(linux)

===========================

by quack
http://www.xfocus.org 安全焦點

Sniffit是由Lawrence Berkeley Laboratory開發的，可以在Linux、Solaris、SGI等各種平台執行的網

絡監聽軟體，它主要是針對TCP/IP傳輸協定的不安全性對執行該傳輸協定的機器進行監聽——當然，資料包必須

經過執行sniffit的機器才能進行監聽，因此它只能夠監聽在同一個網段上的機器。而且還能夠自由地為

其增加某些插件以實現額外功能。

一、安裝軟體的安裝很簡單:

1、用tar zvfx sniffit.*.*.*.tgz將下載下來的sniffit.*.*.*.tgz解壓縮到你想要的目的資料夾，如

果版本是0.3.7的話（應該是最新版本吧，我不敢確定……），你會看到該目錄下出現一個

sniffit.0.3.7的目錄。
2、cd sniffit.0.3.7
3、./configure && make ，只要在這個程序中終端上沒有意外的error信息出現，你就算編譯成功了—

—可以得到一個二進制的sniffit文件。
4、make clean把不用的垃圾掃掉……

二、使用方法

1、參數

這個東東具有如下的指令選項：

-v 顯示版本信息
-t <ip nr/name> 讓程序去監聽指定流向某IP的資料包
-s <ip nr/name>讓程序去監聽從某IP流出的IP資料包，可以使用@萬用字元，如 -t 199.145.@
-i 顯示出視窗界面，能察看當前在你所屬網路上進行連接的機器
-I 擴展的交互模式，忽略所有其它選項，比-i強大得多……
-c <file> 利用指令碼來執行程序
-F <device> 強制使程序使用網路硬碟
-n 顯示出假的資料包。像使用ARP、RARP或者其他不是IP的資料包也會顯示出來
-N 只執行plugin時的選項，使其它選項失效

在-i 模式下無法工作的參數：

-b 同時做-t和-s的工作……
-d 將監聽所得內容顯示在當前終端——以十六進位表示
-a 將監聽所得內容顯示在當前終端——以ASCII字串表示
-x 列印TCP包的擴展信息(SEQ, ACK, Flags)，可以與'-a', '-d', '-s', '-t', '-b'一起運作，注意—

—它是輸出在標準輸出的，如果只用-t,-s,-b 而沒有其它參數配合的話不會被寫入文件。
-R <file> 將所有通信記錄在文件中
-r <file> 這一選項將記錄文件送往sniffit,它需要-F的參數配合指明設備，假設你用 'eth0'(第一塊網

卡)來記錄文件，你必須在指令行裡面加上'-F eth0'或者 '或者'或者'或者'或者'-F eth' -A 遇到不認

識的字串時用指定的字串替代
-P <protocol> 定義監聽的傳輸協定，DEFAULT為TCP——也可以選IP、ICMP、UDP……
-p <prot >定義監聽連接埠，預設為全部
-l <length> 設定資料包大小，default是300字元。
-M <plugin> 啟動插件

-I，-i 模式下的參數

-D <device> 所有的記錄會被送到這個磁牒上。

-c 模式下的參數

-L<logparam>
其中logparam可以是如下的內容：
raw : 輕度
norm : 一般
telnet: 記錄密碼（連接埠23）
ftp : 記錄密碼（連接埠21）
mail : 記錄郵件內容（連接埠25）
比如說"ftpmailnorm"就是一個合法的logparam

2、圖形仿真界面

就是上面所說的-i選項啦，我們輸入sniffit -i 會出現一個視窗環境，從中可以看到自己所在的網路中

有哪些機器正在連接，使用什麼連接埠號，其中可用的指令如下：
q 退出視窗環境，結束程序
r 重新整理螢幕，重新顯示正在在連線的機器
n 產生一個小視窗，包括TCP、IP、ICMP、UDP等傳輸協定的流量
g 產生資料包，正常情況下只有UDP傳輸協定才會產生，執行此指令要回答一些關於資料包的問題
F1 改變來源網域的IP位址，預設為全部
F2 改變目的網域的IP位址，預設為全部
F3 改變來源機器的連接埠號，預設為全部
F4 改變目的機器的連接埠號，預設為全部

3、一些示例

假設有以下的設定：在一個子網中有兩台主機，一台執行了sniffer，我們稱之為sniffit.com，另一台

是66.66.66.7，我們稱之為target.com。

1、你希望檢查sniffer是否能執行
sniffit:~/# sniffit -d -p 7 -t 66.66.66.7
並且開另一個視窗:
sniffit:~/$ telnet target.com 7
你可以看到sniffer將你telnet到對方7號連接埠echo服務的包捕獲了。

2、你希望截獲target.com上的用戶密碼
sniffit:~/# sniffit -p 23 -t 66.66.66.7

3、target.com主機的根用戶聲稱有奇怪的FTP連接並且希望找出他們的擊鍵
sniffit:~/# sniffit -p 21 -l 0 -t 66.66.66.7

4. 你希望能閱讀所有進出target.com的郵件
sniffit:~/# sniffit -p 25 -l 0 -b -t 66.66.66.7 &
或者
sniffit:~/# sniffit -p 25 -l 0 -b -s 66.66.66.7 &

5. 你希望使用用戶交互界面
sniffit:~/# sniffit -i

6. 有錯誤發生而且你希望截獲控制信息
sniffit:~/# sniffit -P icmp -b -s 66.66.66.7

7. Go wild on scrolling the screen.
sniffit:~/# sniffit -P ip -P icmp -P tcp -p 0 -b -a -d -x -s 66.66.66.7
與之效果相當的是
sniffit:~/# sniffit -P ipicmptcp -p 0 -b -a -d -x -s 66.66.66.7

8. 你可以用'more 66*'讀取下列方式記錄下的密碼
sniffit:~/# sniffit -p 23 -A . -t 66.66.66.7
或者
sniffit:~/# sniffit -p 23 -A ^ -t dummy.net

三、進階套用

1、用指令碼執行

這是配合選項-c的，其執行方法也很簡單，比如以如下方式編輯一個叫sh的文件

select from host 180.180.180.1
select to host 180.180.180.10
select both port 21

然後執行：sniffit -c sh

說明：監聽從180.180.180.1送往180.180.180.10的資料包，連接埠為FTP口。這裡不做更多說明，你可以

自己去看裡面的README。

2、插件

要獲取一個插件是很簡單的，你將它放入sniffit的目錄下，並且象如下方式編輯sn_plugin.h 文件：

注意:

a) 你可以讓plugin從0-9，所以從PLUGIN0_NAME到PLUGIN1_NAME……不必是連續的
d) #include "my_plugin.plug" 這是我的插件來源碼放置的地方。如果想詳細瞭解的話，還是看看裡面

的plugin.howto吧。

3、介紹 tod

這東東便是sniffit最有名的一個插件了，為什麼叫TOD呢——touch of death,它可以輕易地切斷一個

TCP連接，原理是向一個TCP連接中的一台主機傳送一個中斷連線連接的IP包，這個IP包的RST位置1，便可以了

。
將下載下來的tod.tar.gz拷貝到sniffit所在目錄下，解壓安裝後
ln -s tod sniffit_key5
就可以將這相程序與F5鍵連接起來，想切斷哪台機器的話，只要在視窗中將游標指到需要斷線的電腦上

按下F5鍵就可以了。你可以自由地定義成其它的F功能鍵——F1~F4不行，它們已經被定義過了……

寫了這麼多，好了，下課……

編輯: 星坤

2003-11-15, 06:37 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	sniffit的安裝使用簡述(linux0 原創：quack（quack） sniffit的安裝使用簡述(linux) =========================== by quack http://www.xfocus.org 安全焦點 Sniffit是由Lawrence Berkeley Laboratory開發的，可以在Linux、Solaris、SGI等各種平台執行的網絡監聽軟體，它主要是針對TCP/IP傳輸協定的不安全性對執行該傳輸協定的機器進行監聽——當然，資料包必須經過執行sniffit的機器才能進行監聽，因此它只能夠監聽在同一個網段上的機器。而且還能夠自由地為其增加某些插件以實現額外功能。一、安裝軟體的安裝很簡單: 1、用tar zvfx sniffit....tgz將下載下來的sniffit....tgz解壓縮到你想要的目的資料夾，如果版本是0.3.7的話（應該是最新版本吧，我不敢確定……），你會看到該目錄下出現一個 sniffit.0.3.7的目錄。 2、cd sniffit.0.3.7 3、./configure && make ，只要在這個程序中終端上沒有意外的error信息出現，你就算編譯成功了— —可以得到一個二進制的sniffit文件。 4、make clean把不用的垃圾掃掉…… 二、使用方法 1、參數這個東東具有如下的指令選項： -v 顯示版本信息 -t <ip nr/name> 讓程序去監聽指定流向某IP的資料包 -s <ip nr/name>讓程序去監聽從某IP流出的IP資料包，可以使用@萬用字元，如 -t 199.145.@ -i 顯示出視窗界面，能察看當前在你所屬網路上進行連接的機器 -I 擴展的交互模式，忽略所有其它選項，比-i強大得多…… -c <file> 利用指令碼來執行程序 -F <device> 強制使程序使用網路硬碟 -n 顯示出假的資料包。像使用ARP、RARP或者其他不是IP的資料包也會顯示出來 -N 只執行plugin時的選項，使其它選項失效在-i 模式下無法工作的參數： -b 同時做-t和-s的工作…… -d 將監聽所得內容顯示在當前終端——以十六進位表示 -a 將監聽所得內容顯示在當前終端——以ASCII字串表示 -x 列印TCP包的擴展信息(SEQ, ACK, Flags)，可以與'-a', '-d', '-s', '-t', '-b'一起運作，注意— —它是輸出在標準輸出的，如果只用-t,-s,-b 而沒有其它參數配合的話不會被寫入文件。 -R <file> 將所有通信記錄在文件中 -r <file> 這一選項將記錄文件送往sniffit,它需要-F的參數配合指明設備，假設你用 'eth0'(第一塊網卡)來記錄文件，你必須在指令行裡面加上'-F eth0'或者 '或者'或者'或者'或者'-F eth' -A 遇到不認識的字串時用指定的字串替代 -P <protocol> 定義監聽的傳輸協定，DEFAULT為TCP——也可以選IP、ICMP、UDP…… -p <prot >定義監聽連接埠，預設為全部 -l <length> 設定資料包大小，default是300字元。 -M <plugin> 啟動插件 -I，-i 模式下的參數 -D <device> 所有的記錄會被送到這個磁牒上。 -c 模式下的參數 -L<logparam> 其中logparam可以是如下的內容： raw : 輕度 norm : 一般 telnet: 記錄密碼（連接埠23） ftp : 記錄密碼（連接埠21） mail : 記錄郵件內容（連接埠25）比如說"ftpmailnorm"就是一個合法的logparam 2、圖形仿真界面就是上面所說的-i選項啦，我們輸入sniffit -i 會出現一個視窗環境，從中可以看到自己所在的網路中有哪些機器正在連接，使用什麼連接埠號，其中可用的指令如下： q 退出視窗環境，結束程序 r 重新整理螢幕，重新顯示正在在連線的機器 n 產生一個小視窗，包括TCP、IP、ICMP、UDP等傳輸協定的流量 g 產生資料包，正常情況下只有UDP傳輸協定才會產生，執行此指令要回答一些關於資料包的問題 F1 改變來源網域的IP位址，預設為全部 F2 改變目的網域的IP位址，預設為全部 F3 改變來源機器的連接埠號，預設為全部 F4 改變目的機器的連接埠號，預設為全部 3、一些示例假設有以下的設定：在一個子網中有兩台主機，一台執行了sniffer，我們稱之為sniffit.com，另一台是66.66.66.7，我們稱之為target.com。 1、你希望檢查sniffer是否能執行 sniffit:~/# sniffit -d -p 7 -t 66.66.66.7 並且開另一個視窗: sniffit:~/$ telnet target.com 7 你可以看到sniffer將你telnet到對方7號連接埠echo服務的包捕獲了。 2、你希望截獲target.com上的用戶密碼 sniffit:~/# sniffit -p 23 -t 66.66.66.7 3、target.com主機的根用戶聲稱有奇怪的FTP連接並且希望找出他們的擊鍵 sniffit:~/# sniffit -p 21 -l 0 -t 66.66.66.7 4. 你希望能閱讀所有進出target.com的郵件 sniffit:~/# sniffit -p 25 -l 0 -b -t 66.66.66.7 & 或者 sniffit:~/# sniffit -p 25 -l 0 -b -s 66.66.66.7 & 5. 你希望使用用戶交互界面 sniffit:~/# sniffit -i 6. 有錯誤發生而且你希望截獲控制信息 sniffit:~/# sniffit -P icmp -b -s 66.66.66.7 7. Go wild on scrolling the screen. sniffit:~/# sniffit -P ip -P icmp -P tcp -p 0 -b -a -d -x -s 66.66.66.7 與之效果相當的是 sniffit:~/# sniffit -P ipicmptcp -p 0 -b -a -d -x -s 66.66.66.7 8. 你可以用'more 66*'讀取下列方式記錄下的密碼 sniffit:~/# sniffit -p 23 -A . -t 66.66.66.7 或者 sniffit:~/# sniffit -p 23 -A ^ -t dummy.net 三、進階套用 1、用指令碼執行這是配合選項-c的，其執行方法也很簡單，比如以如下方式編輯一個叫sh的文件 select from host 180.180.180.1 select to host 180.180.180.10 select both port 21 然後執行：sniffit -c sh 說明：監聽從180.180.180.1送往180.180.180.10的資料包，連接埠為FTP口。這裡不做更多說明，你可以自己去看裡面的README。 2、插件要獲取一個插件是很簡單的，你將它放入sniffit的目錄下，並且象如下方式編輯sn_plugin.h 文件：注意: a) 你可以讓plugin從0-9，所以從PLUGIN0_NAME到PLUGIN1_NAME……不必是連續的 d) #include "my_plugin.plug" 這是我的插件來源碼放置的地方。如果想詳細瞭解的話，還是看看裡面的plugin.howto吧。 3、介紹 tod 這東東便是sniffit最有名的一個插件了，為什麼叫TOD呢——touch of death,它可以輕易地切斷一個 TCP連接，原理是向一個TCP連接中的一台主機傳送一個中斷連線連接的IP包，這個IP包的RST位置1，便可以了。將下載下來的tod.tar.gz拷貝到sniffit所在目錄下，解壓安裝後 ln -s tod sniffit_key5 就可以將這相程序與F5鍵連接起來，想切斷哪台機器的話，只要在視窗中將游標指到需要斷線的電腦上按下F5鍵就可以了。你可以自由地定義成其它的F功能鍵——F1~F4不行，它們已經被定義過了…… 寫了這麼多，好了，下課…… 編輯: 星坤

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告