北京北大青鳥(niǎo):Sniffer-黑客們最常用的入侵手段一

隨著Internet及電子商務(wù)的日益普及,Internet的安全也越來(lái)越受到重視。在Internet安全隱患中扮演重要角色的是Sniffer和Scanner,在此,北京北大青鳥(niǎo)學(xué)術(shù)部將介紹Sniffer以及如何阻止sniffer。

大多數(shù)的黑客僅僅為了探測(cè)內(nèi)部網(wǎng)上的主機(jī)并取得控制權(quán),只有那些"雄心勃勃"的黑客,為了控制整個(gè)網(wǎng)絡(luò)才會(huì)安裝特洛伊木馬和后門(mén)程序,并清除記錄。他們經(jīng)常使用的手法是安裝sniffer。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

在內(nèi)部網(wǎng)上,黑客要想迅速獲得大量的賬號(hào)(包括用戶名和密碼),最為有效的手段是使用 "sniffer" 程序。這種方法要求運(yùn)行Sniffer 程序的主機(jī)和被監(jiān)聽(tīng)的主機(jī)必須在同一個(gè)以太網(wǎng)段上,故而在外部主機(jī)上運(yùn)行sniffer是沒(méi)有效果的。再者,必須以root的身份使用sniffer 程序,才能夠監(jiān)聽(tīng)到以太網(wǎng)段上的數(shù)據(jù)流。

黑客會(huì)使用各種方法,獲得系統(tǒng)的控制權(quán)并留下再次侵入的后門(mén),以保證sniffer能夠執(zhí)行。在Solaris 2.x平臺(tái)上,sniffer 程序通常被安裝在/usr/bin 或/dev目錄下。黑客還會(huì)巧妙的修改時(shí)間,使得sniffer程序看上去是和其它系統(tǒng)程序同時(shí)安裝的。

大多數(shù) "ethernet sniffer"程序在后臺(tái)運(yùn)行,將結(jié)果輸出到某個(gè)記錄文件中。黑客常常會(huì)修改ps程序,使得系統(tǒng)管理員很難發(fā)現(xiàn)運(yùn)行的sniffer程序。

"ethernet sniffer"程序?qū)⑾到y(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混合模式。這樣,它就可以監(jiān)聽(tīng)到所有流經(jīng)同一以太網(wǎng)網(wǎng)段的數(shù)據(jù)包,不管它的接受者或發(fā)送者是不是運(yùn)行sniffer的主機(jī)。 程序?qū)⒂脩裘、密碼和其它黑客感興趣的數(shù)據(jù)存入log文件。黑客會(huì)等待一段時(shí)間 ----- 比如一周后,再回到這里下載記錄文件。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

一、什么是sniffer

與電話電路不同,計(jì)算機(jī)網(wǎng)絡(luò)是共享通訊通道的。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為sniffing(竊聽(tīng))。

以太網(wǎng)是現(xiàn)在應(yīng)用最廣泛的計(jì)算機(jī)連網(wǎng)方式。以太網(wǎng)協(xié)議是在同一回路向所有主機(jī)發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標(biāo)主機(jī)的正確地址。一般情況下只有具有該地址的主機(jī)會(huì)接受這個(gè)數(shù)據(jù)包。如果一臺(tái)主機(jī)能夠接收所有數(shù)據(jù)包,而不理會(huì)數(shù)據(jù)包頭內(nèi)容,這種方式通常稱為"混雜" 模式。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

由于在一個(gè)普通的網(wǎng)絡(luò)環(huán)境中,帳號(hào)和口令信息以明文方式在以太網(wǎng)中傳輸, 一旦入侵者獲得其中一臺(tái)主機(jī)的root權(quán)限,并將其置于混雜模式以竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù),從而有可能入侵網(wǎng)絡(luò)中的所有計(jì)算機(jī)。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

二、sniffer工作原理

通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問(wèn)在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力,而每個(gè)網(wǎng)絡(luò)接口都還應(yīng)該有一個(gè)硬件地址,該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址,同時(shí),每個(gè)網(wǎng)絡(luò)至少還要一個(gè)廣播地址。(代表所有的接口地址),在正常情況下,一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀:

  1、幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。
  2、幀的目標(biāo)區(qū)域具有"廣播地址"。

在接受到上面兩種情況的數(shù)據(jù)包時(shí),nc通過(guò)cpu產(chǎn)生一個(gè)硬件中斷,該中斷能引起操作系統(tǒng)注意,然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理。

而sniffer就是一種能將本地nc狀態(tài)設(shè)成(promiscuous)狀態(tài)的軟件,當(dāng)nc處于這種"混雜"方式時(shí),該nc具備"廣播地址",它對(duì)所有遭遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。(絕大多數(shù)的nc具備置成 promiscuous方式的能力)(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

可見(jiàn),sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層,它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù),并且通過(guò)相應(yīng)的軟件處理,可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容,進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。值得注意的是:sniffer是極其安靜的,它是一種消極的安全攻擊。

通常sniffer所要關(guān)心的內(nèi)容可以分成這樣幾類:
1、口令
我想這是絕大多數(shù)非法使用sniffer的理由,sniffer可以記錄到明文傳送的userid和passwd.就算你在網(wǎng)絡(luò)傳送過(guò)程中使用了加密的數(shù)據(jù),sniffer記錄的數(shù)據(jù)一樣有可能使入侵者在家里邊吃肉串邊想辦法算出你的算法。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

2、金融帳號(hào)
許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號(hào),然而sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、截止日期、帳號(hào)和pin.

3、偷窺機(jī)密或敏感的信息數(shù)據(jù)
通過(guò)攔截?cái)?shù)據(jù)包,入侵者可以很方便記錄別人之間敏感的信息傳送,或者干脆攔截整個(gè)的email會(huì)話過(guò)程。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

4、窺探低級(jí)的協(xié)議信息。
這是很可怕的事,北京北大青鳥(niǎo)通州校區(qū)專家認(rèn)為,通過(guò)對(duì)底層的信息協(xié)議記錄,比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口ip地址、ip路由信息和tcp連接的字節(jié)順序號(hào)碼等。這些信息由非法入侵的人掌握后將對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的危害,通常有人用sniffer收集這些信息只有一個(gè)原因:他正在進(jìn)行一次欺詐,(通常的ip地址欺詐就要求你準(zhǔn)確插入tcp連接的字節(jié)順序號(hào),這將在以后整理的文章中指出)如果某人很關(guān)心這個(gè)問(wèn)題,那么sniffer對(duì)他來(lái)說(shuō)只是前奏,今后的問(wèn)題要大得多。(北京北大青鳥(niǎo)通州校區(qū)計(jì)算機(jī)培訓(xùn)學(xué)校,網(wǎng)絡(luò)工程師、軟件工程師培訓(xùn))

北大青鳥(niǎo)網(wǎng)上報(bào)名
北大青鳥(niǎo)招生簡(jiǎn)章