歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> 關於Unix

Sniffit常見問題及防范策略深入分析

1. sniffit 既是個優秀的管理工具也是個危險的侵入工具。可被管理員用來檢查網絡 中到底傳輸了些什麼,學習各種tcp/ip協議的工作方法,也能被攻擊者利用,主要是記錄密碼 2. 工作原理: 為什麼能檢查密碼和不是傳送給自己的數據呢? 在典型的LAN環境中,(指
  1. sniffit 既是個優秀的管理工具也是個危險的侵入工具。可被管理員用來檢查網絡中到底傳輸了些什麼,學習各種tcp/ip協議的工作方法,也能被攻擊者利用,主要是記錄密碼
  
  2. 工作原理: 為什麼能檢查密碼和不是傳送給自己的數據呢?
  
  在典型的LAN環境中,(指共享式HUB上連接的兩個用戶A和B),基於共享式HUB的工作原理,用戶A發出的所有tcp/ip請求在HUB的每個端口上廣播,正常情況下,B不接收這些目標地址不是自己的數據,但是一旦我們在B機上運行sniffit一類的監聽工具,就能置網卡於第三種叫混雜模式的狀態下(前兩種為tcp,udp模式),在該狀態下,網卡接受所有的數據,不管是發給自己的,還是不發給自己的,都被網卡接收並直接傳給最上層應用層,交由相應的軟件如sniffit處理
  
  3。常見用法
  
  a. 檢測te.net/ftp/pop3密碼:
  
  #sniffit -a -A. -p 23 -b -t 192.168.11.@
  #sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)
  
  b. 查看http頭信息
  
  #sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火牆外部地址)
  
  c. 記錄輸出到文件
  
  #sniffit -p 21 -l 0 -b -s 192.168.11.2 &
  
  d. 查看icmp消息
  
  #sniffit -p icmp -b -s 192.168.1.2
  
  e. 交互式界面
  
  #sniffit -i
  
  f. 檢查本網段內發出名字廣播的機器
  
  #sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255
  
  g. 注意防火牆的情況
  若要檢查防火牆內部網卡上的包eth1,可能你要設置 -F eth1參數,因為默認地sniffit 假設為eth0
  
  
  4.哪些信息是敏感的和易被檢測的?
  telnet/ftp/pop3的密碼都是明文傳送的,都是易被檢測的,apache的基本方式的用戶名/密碼認證也是UU編碼後的口令,也是易被檢測的。
  
  5. 怎樣阻止?
  硬件: 不要用普通的共享式HUB,用交換機來代替它,目前只有交換機和路由器能阻止sniffit的作用
  軟件: 用帶加密功能的tcp/ip連接,象ssh/scp全面代替telnet/ftp/pop3,用MD5方式的apache認證
  
  6。作用范圍:
  僅在邏輯子網內有效,不能跨子網,因為廣播不被路由器傳遞,但若是在服務器上運行sniffit,則任何方法均無效,對防火牆來說,通常sniffit攻擊是第二層攻擊,就是先得到一個普通帳號進入再探尋更多的口令。
  
  7. 怎樣判斷是否有人在用sniffit?
  可檢測網絡接口(ifconfig)看是否處於混雜模式來確認是否被侵入並安裝了sniffit,只限本機。

Copyright © Linux教程網 All Rights Reserved