1. sniffit 既是個優秀的管理工具也是個危險的侵入工具。可被管理員用來檢查網絡 中到底傳輸了些什麼,學習各種tcp/ip協議的工作方法,也能被攻擊者利用,主要是記錄密碼 2. 工作原理: 為什麼能檢查密碼和不是傳送給自己的數據呢? 在典型的LAN環境中,(指
1. sniffit 既是個優秀的管理工具也是個危險的侵入工具。可被管理員用來檢查網絡中到底傳輸了些什麼,學習各種tcp/ip協議的工作方法,也能被攻擊者利用,主要是記錄密碼
2. 工作原理: 為什麼能檢查密碼和不是傳送給自己的數據呢?
在典型的LAN環境中,(指共享式HUB上連接的兩個用戶A和B),基於共享式HUB的工作原理,用戶A發出的所有tcp/ip請求在HUB的每個端口上廣播,正常情況下,B不接收這些目標地址不是自己的數據,但是一旦我們在B機上運行sniffit一類的監聽工具,就能置網卡於第三種叫混雜模式的狀態下(前兩種為tcp,udp模式),在該狀態下,網卡接受所有的數據,不管是發給自己的,還是不發給自己的,都被網卡接收並直接傳給最上層應用層,交由相應的軟件如sniffit處理
3。常見用法
a. 檢測te
.net/ftp/pop3密碼:
#sniffit -a -A. -p 23 -b -t 192.168.11.@
#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)
b. 查看http頭信息
#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火牆外部地址)
c. 記錄輸出到文件
#sniffit -p 21 -l 0 -b -s 192.168.11.2 &
d. 查看icmp消息
#sniffit -p icmp -b -s 192.168.1.2
e. 交互式界面
#sniffit -i
f. 檢查本網段內發出名字廣播的機器
#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255
g. 注意防火牆的情況
若要檢查防火牆內部網卡上的包eth1,可能你要設置 -F eth1參數,因為默認地sniffit 假設為eth0
4.哪些信息是敏感的和易被檢測的?
telnet/ftp/pop3的密碼都是明文傳送的,都是易被檢測的,apache的基本方式的用戶名/密碼認證也是UU編碼後的口令,也是易被檢測的。
5. 怎樣阻止?
硬件: 不要用普通的共享式HUB,用交換機來代替它,目前只有交換機和路由器能阻止sniffit的作用
軟件: 用帶加密功能的tcp/ip連接,象ssh/scp全面代替telnet/ftp/pop3,用MD5方式的apache認證
6。作用范圍:
僅在邏輯子網內有效,不能跨子網,因為廣播不被路由器傳遞,但若是在
服務器上運行sniffit,則任何方法均無效,對防火牆來說,通常sniffit攻擊是第二層攻擊,就是先得到一個普通帳號進入再探尋更多的口令。
7. 怎樣判斷是否有人在用sniffit?
可檢測網絡接口(ifconfig)看是否處於混雜模式來確認是否被侵入並安裝了sniffit,只限本機。