Sniffer的一些资料

本文是ISS公司在几年前发布的一份Sniffer FAQ。虽然里面涉及的技术可能相对陈旧了一些，但仍然可作为入门级文档。希望这份Sniffer FAQ能够帮助管理员们对网络监听及解决方法有一个较为清楚的认识。Sniffer已成为当今互联网上最常见的主机入侵手段之一。
 在绿盟网络安全月刊中，我还将陆续介绍Sniffer、Sniffer的克星——Anti-Sniffer和Anti-Sniffer的克星——Anti Anti-Sniffer。希望对这方面有兴趣的朋友如果有些什么好资料或建议，请与我联系。


FAQ目录：

  *什么是sniffer及其工作原理
  *哪里可以得到sniffer
  *如何监测主机正在窃听（sniffed）
  *阻止sniffer
 o主动集线器
 o加密
 oKerberos
 o一次性口令技术
 o非混杂模式网络接口设备

-------------------------------------------------------------------------------

什么是sniffer及其工作原理

 与电话电路不同，计算机网络是共享通讯通道的。支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃听）。

 以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。

 由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。

-------------------------------------------------------------------

哪里可以得到sniffer

 Sniffer是黑客们最常用的入侵手段之一。例如Esniff.c，是一个小巧的工具，运行在SunOS平台，可捕获所有telnet、ftp、rloing会话的前300个字节内容。这个由Phrack开发的程序已成为在黑客中传播最广泛的工具之一。

 你可以在经过允许的网络中运行Esniff.c，了解它是如何有效地危及本地机器安全。

 以下是一些也被广泛用于调试网络故障的sniffer工具：

 *Etherfind on SunOs
 *Snoop on Solaris 2.x and SunOs
 *Tcpdump
 *Packetman, Interman, Etherman, Loadman

 商用sniffer：

 *Network General.

 Network General开发了多种产品。最重要的是Expert Sniffer，
 它不仅仅可以sniff，还能够通过高性能的专门系统发送/接收数
 据包，帮助诊断故障。还有一个增强产品"Distrbuted Sniffer
 System"可以将UNIX工作站作为sniffer控制台，而将sniffer
 agents（代理）分布到远程主机上。

  *Microsoft's Net Monitor

 对于某些商业站点，可能同时需要运行多种协议——NetBEUI、
 IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种sniffer帮助
 解决网络问题，因为许多sniffer往往将某些正确的协议数据包当
 成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）
 可以解决这个难题。它能够正确区分诸如Netware控制数据包、NT
 NetBios名字服务广播等独特的数据包。（etherfind只会将这些数
 据包标识为类型0000的广播数据包。）这个工具运行在MS Windows
 平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话
 信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。
 过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的
 主机即可。

--------------------------------------------------------------------

如何监测主机正在窃听（sniffed）

 要监测只采集数据而不对任何信息进行响应的窃听设备，需要逐个仔细检查以太网上所有物理连接。

 不可能通过远程发送数据包或ping就可以检查计算机是否正在窃听。

 一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统，通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行sniffer，但这样将只能捕获本机会话。入侵者也可能通过在诸如sh、telnet、rlogin、in.telnetd等程序中捕获会话，并将用户操作记录到其它文件中。这些都可能通过监视tty和kmem等设备轻易发现。只有混杂模式下的sniffing才能捕获以太网中的所有会话，其它模式只能捕获本机会话。

 对于SunOS、NetBSD和其它BSD Unix系统，如下命令：

  "ifconfig -a"

 会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口，可以运行如下命令：

  # netstat -r
  Routing tables

  Internet:
  DestinationGatewayFlags Refs UseInterface
  defaultiss.netUG124949le0
  localhostlocalhostUH2 83lo0

 然后通过如下命令检查每个网络接口：

  #ifconfig le0
  le0: flags=8863
  inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

 入侵者经常会替换ifconfig等命令来避开检查，因此一定要检查命令程序的校验值。

 在ftp.cert.org:/pub/tools/的cpm程序（SunOS平台）可以检查接口是否有混杂模式标记。

 对于Ultrix系统，使用pfstat和pfconfig命令也可能监测是否有sniffer运行。

 pfconfig指定谁有权限运行sniffer。
 pfstat显示网络接口是否处于混杂模式。

 这些命令只在sniffer与内核存在链接时有效。而在缺省情况，sniffer是没有与内核链接的。大多数的Unix系统，例如Irix、Solaris、SCO等，都没有任何标记来指示是否处于混杂模式，因此入侵者能够窃听整个网络而却无法监测到它。

 通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中，sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现sniffer。建议使用lsof程序搜索访问数据包设备（如SunOS的/dev/nit）的程序和记录文件。

------------------------------------------------------------------

阻止sniffer

 主动式集线器只向目标地址主机发送数据包，从而使混杂模式sniffer失效。它仅适用于10Base-T以太网。（注：这种现在已在计算机市场消失。）

 只有两家厂商曾生产过主动式集线器：

  *3Com
  *HP

随着交换机的成本和价格的大幅度降低，交换机已成为非常有效的使sniffer失效的设备。目前最常见的交换机在第三层（网络层）根据数据包目标地址进行转发，而不太采取集线器的广播方式，从而使sniffer失去了用武之地。

------------------------------------------------------------------

加密

 目前有许多软件包可用于加密连接，从而使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。

 以下是以前常用的一些软件包

  *deslogin
 coast.cs.purdue.edu:/pub/tools/unix/deslogin .

  * swIPe
  ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/

  * Netlock

-----------------------------------------------------------------

Kerberos

 Kerberos是另一个加密网络中帐号信息的软件包。它的缺点是所有帐号信息都存放在一台主机中，如果该主机被入侵，则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等，它可以防止入侵者捕获用户在登录完成后所进行的操作。

 Kerberos FAQ可从ftp站点rtfm.mit.edu中得到：
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11

------------------------------------------------------------------

一次性口令技术

 S/key和其它一次性口令技术一样，使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令（这个口令不会在不安全的网络中传输），当用户连接时会获得一个“挑战”(challenge)信息，用户将这个信息和口令经过某个算法运算，产生正确的“响应”(response)信息（如果通讯双方口令正确的话）。这种验证方式无需在网络中传输口令，而且相同的“挑战/响应”也不会出现两次。S/key可从以下网址得到：ftp://thumper.bellcore.com/pub/nmh/skey

 还有一种一次性口令技术是ID卡系统。每个授权用户都有一个产生用于访问各自帐号的数字号码的ID卡。如果没有这个ID卡，不可能猜出这个数字号码。

 以下是提供这类解决方案的公司资料：

Secure Net Key (SNK)

Digital Pathways, Inc.
201 Ravendale Dr. Mountainview, Ca.
97703-5216 USA

Phone: 415-964-0707 Fax: (415) 961-7487

Secure ID

Security Dynamics,
One Alewife Center
Cambridge, MA 02140-2312
USA Phone: 617-547-7820
Fax: (617) 354-8836
Secure ID uses time slots as authenication rather than challenge/response.

ArKey and OneTime Pass

Management Analytics
PO Box 1480
Hudson, OH 44236
Email: [email protected]
Tel:US+216-686-0090 Fax: US+216-686-0092

WatchWord and WatchWord II

Racal-Guardata
480 Spring Park Place
Herndon, VA 22070
703-471-0892
1-800-521-6261 ext 217

CRYPTOCard

Arnold Consulting, Inc.
2530 Targhee Street, Madison, Wisconsin
53711-5491 U.S.A.
Phone : 608-278-7700 Fax: 608-278-7701
Email: [email protected]
CRYPTOCard is a modern, SecureID-sized, SNK-compatible device.

SafeWord

Enigma Logic, Inc.
2151 Salvio #301
Concord, CA 94520
510-827-5707 Fax: (510)827-2593
For information about Enigma ftp to: ftp.netcom.com in directory
/pub/sa/safeword

Secure Computing Corporation:

2675 Long Lake Road
Roseville, MN 55113
Tel: (612) 628-2700
Fax: (612) 628-2701
[email protected]

----------------------------------------------------------------

非混杂模式网络接口设备

 以前，大多数IBM DOS兼容机器的网卡都不支持混杂模式，所以无法进行sniffing。但DOS已退出计算机网络舞台，对于现在计算机市场中的网络接口设备，请向供应商查询是否为非混杂模式设备（即不支持混杂模式）。


<< 完 >>

------------------------------------
资料来源：
  Internet Security Systems, Inc.
------------------------------------


Linux环境下黑客常用嗅探器分析

发布日期: 2001-8-23
内容:
--------------------------------------------------------------------------------


作者：<>
来源：http://Linuxaid.com.cn
--------------------------------------------------------------------------------


概述
 本文对Linux环境下黑客常常使用的几种嗅探器进行详细的分析，这些嗅探器往往被入侵者完成入侵以后种植在受害者服务器当中。这些嗅探器各自有不同的特点，有的只是简单的用来捕捉用户名和密码，有的则非常强大可记录所有的网络数据流。本文将对下面几种嗅探器进行分析：

 *linsniffer
 
 *linuxsniffer

*hunt

*sniffit

linsniffer

linsniffer是一个简单实用的嗅探器。它主要的功能特点是用来捕捉用户名和密码，它在这方面非常出色。

作者：Mike Edulla
条件: C和IP头文件
配置文件：无
位置: http://agape.trilidun.org/hack/network-sniffers/linsnifferc
安全历史: 无
注: 易于使用。但是lnsniffer需要完整的IP头文件，包括常常存储在/usr/include/net和 /usr/include/netinet的头文件，在编译前确保PATH变量包含/usr/include。

使用下面的命令来编译lnsniffer：

$cc linsniffer.c -o linsniffer
要运行linsniffer，使用下面的命令：

$linsniffer

启动以后linsniffer将创建一个空文件：tcp.log来存储嗅探结果。

在测试中我创建一个名为hapless的用户，密码为unaware。然后使用该用户来登录Linux服务器，并进行一些常见的用户操作。下面是进行的一次ftp过程：

GNSS $ ftp 192.168.0.2
Connected to 192.168.0.2.

220 linux.test.net FTP server Wed Aug 19 02:55:52 MST 1998) ready.

Name (192.168.0.2:root): hapless
331 Password required for hapless.
Password:
230 User hapless logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls -al
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 .
drwxr-xr-x 6 root root 1024 May 20 19:28 ..
-rw-rw-r-- 1 hapless hapless 96 May 20 19:56 .bash_history
-rw-r--r-- 1 hapless hapless 49 Nov 25 1997 .bash_logout
-rw-r--r-- 1 hapless hapless 913 Nov 24 1997 .bashrc
-rw-r--r-- 1 hapless hapless 650 Nov 24 1997 .cshrc
-rw-r--r-- 1 hapless hapless 111 Nov 3 1997 .inputrc
-rwxr-xr-x 1 hapless hapless 186 Sep 1 1998 .kshrc
-rw-r--r-- 1 hapless hapless 392 Jan 7 1998 .login
-rw-r--r-- 1 hapless hapless 51 Nov 25 1997 .logout
-rw-r--r-- 1 hapless hapless 341 Oct 13 1997 .profile
-rwxr-xr-x 1 hapless hapless 182 Sep 1 1998 .profile.ksh
drwxr-xr-x 2 hapless hapless 1024 May 14 12:16 .seyon
drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 lg
226 Transfer complete.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 .
drwxr-xr-x 6 root root 1024 May 20 19:28 ..
-rw-rw-r-- 1 hapless hapless 96 May 20 19:56 .bash_history
-rw-r--r-- 1 hapless hapless 49 Nov 25 1997 .bash_logout
-rw-r--r-- 1 hapless hapless 913 Nov 24 1997 .bashrc
-rw-r--r-- 1 hapless hapless 650 Nov 24 1997 .cshrc
-rw-r--r-- 1 hapless hapless 111 Nov 3 1997 .inputrc
-rwxr-xr-x 1 hapless hapless 186 Sep 1 1998 .kshrc
-rw-r--r-- 1 hapless hapless 392 Jan 7 1998 .login
-rw-r--r-- 1 hapless hapless 51 Nov 25 1997 .logout
-rw-r--r-- 1 hapless hapless 341 Oct 13 1997 .profile
-rwxr-xr-x 1 hapless hapless 182 Sep 1 1998 .profile.ksh
drwxr-xr-x 2 hapless hapless 1024 May 14 12:16 .seyon
drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 lg
226 Transfer complete.
ftp> ls -F
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 ./
drwxr-xr-x 6 root root 1024 May 20 19:28 ../rw-rw-r-- 1 hapless hapless 96 May 20 19:56 .bash_history
-rw-r--r-- 1 hapless hapless 49 Nov 25 1997 .bash_logout
-rw-r--r-- 1 hapless hapless 913 Nov 24 1997 .bashrc
-rw-r--r-- 1 hapless hapless 650 Nov 24 1997 .cshrc
-rw-r--r-- 1 hapless hapless 111 Nov 3 1997 .inputrc
-rwxr-xr-x 1 hapless hapless 186 Sep 1 1998 .kshrc*
-rw-r--r-- 1 hapless hapless 392 Jan 7 1998 .login
-rw-r--r-- 1 hapless hapless 51 Nov 25 1997 .logout
-rw-r--r-- 1 hapless hapless 341 Oct 13 1997 .profile
-rwxr-xr-x 1 hapless hapless 182 Sep 1 1998 .profile.ksh*
drwxr-xr-x 2 hapless hapless 1024 May 14 12:16 .seyon/
drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 lg/
226 Transfer complete.
ftp> cd lg
250 CWD command successful.
ftp> ls -F
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 8
drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 ./
drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 ../rw-r--r-- 1 hapless hapless 70 Aug 22 1998 lg3_colors
-rw-r--r-- 1 hapless hapless 629 Aug 22 1998 lg3_prefs
-rw-r--r-- 1 hapless hapless 728 Aug 22 1998 lg3_soundPref
-rw-r--r-- 1 hapless hapless 2024 Aug 22 1998 lg3_startup
drwxr-xr-x 2 hapless hapless 1024 May 14 12:15 lg_layouts/
226 Transfer complete.
ftp> cd lg_layouts
250 CWD command successful.

这是一个典型的用户操作过程。现在我们看看linsniffer产生的嗅探结果:

gnss => linux.test.net [21]
USER hapless
PASS unaware
SYST
PORT 172,16,0,1,4,192
LIST -al
PORT 172,16,0,1,4,193
LIST
PORT 172,16,0,1,4,194
LIST -F
CWD lg
PORT 172,16,0,1,4,195
LIST -F

输出的内容是很直观的。首先它记录这是从GNSS到Linux主机的FTP连接：

gnss => linux.test.net [21]

然后，linsniffer捕获了hapless的用户名和密码。

USER hapless
PASS unaware

最后，linsniffer记录了hapless使用的每一个命令：

SYST
PORT 172,16,0,1,4,192
LIST -al
PORT 172,16,0,1,4,193
LIST
PORT 172,16,0,1,4,194
LIST -F
CWD lg
PORT 172,16,0,1,4,195
LIST -F

输出结果非常简介并且非常适于窃听密码及记录常见的活动。但是不适合于进行更加复杂的分析。这时候你也许会需要linux_sniffe。

linux_sniffer

linux_sniffer提供相对更复杂的探测结果。

作者：loq
要求：C和IP头文件
配置文件：无
下载位置： http://www.ryanspc.com/sniffers/linux_sniffer.c.
安全历史：无
注意：linux_sniffer易于使用，但是需要完全的IP头文件。

使用下面命令编译linux_sniffer：

$cc linux_sniffer.c -o linuxsniff

下面是一次telnet会话过程，同时被linux_sniffer记录：

GNSS 2# telnet 192.168.0.1
Connected to 192.168.0.1.
login: hapless
password:
[hapless@linux2 hapless]$ w
19:55:29 up 58 min, 4 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 7:44pm 27.00s 0.17s 0.06s -bash
root tty2 7:46pm 1:56 0.24s 0.01s linuxsniff
root tty3 7:44pm 10:43 0.17s 0.07s -bash
hapless ttyp0 gnss 7:55pm 1.00s 0.26s 0.04s w
[hapless@linux2 hapless]$ who
root tty1 May 20 19:44
root tty2 May 20 19:46
root tty3 May 20 19:44
hapless ttyp0 May 20 19:55 (gnss)
[hapless@linux2 hapless]$ finger -l
Login: root Name: root
Directory: /root Shell: /bin/bash
On since Thu May 20 19:44 (PDT) on tty1 35 seconds idle
On since Thu May 20 19:46 (PDT) on tty2 2 minutes 4 seconds idle
On since Thu May 20 19:44 (PDT) on tty3 10 minutes 51 seconds idle
No mail.
No Plan.

Login: hapless Name: Caldera OpenLinux User
Directory: /home/hapless Shell: /bin/bash
On since Thu May 20 19:55 (PDT) on ttyp0 from gnss
No mail.
No Plan.

同样这是一次典型的登录过程：用户登录，检测哪些用户在登录等等。linux_sniffer记录额外的地址数据，但是同样记录了一些重要的数据。首先它记录了连接：

eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 ff fc 27 - ..'
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 ff fa 1f 00 50 00 28 ff - f0 ....P.(..
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 ff fa 20 00 33 38 34 30 - 30 2c 33 38 34 30 30 ff .. .38400,38400.
0010 f0 ff fa 23 00 47 4e 53 - 53 3a 30 2e 30 ff f0 ff ...#.GNSS:0.0...
0020 fa 18 00 49 52 49 53 2d - 41 4e 53 49 2d 4e 45 54 ...IRIS-ANSI-NET
0030 ff f0 - ..
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 ff fc 01 - ...
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 ff fd 01 - ...
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]

随后，linux_sniffer记录了登录过程，下面用黑体表示：

eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 68 - h
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 61 - a
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 70 - p
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 6c - l
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 65 - e
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 73 - s
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 73 - s
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 0d 00 - ..
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 75 - u
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 6e - n
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 61 - a
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 77 - w
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 61 - a
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 72 - r
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 65 - e
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]

最后，linux_sniffer记录了所有的命令：

eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 77 - w
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 0d 00 - ..
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 77 - w
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 68 - h
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 6f - o
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 0d 00 - ..
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 66 - f
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 69 - i
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 6e - n
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 67 - g
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 65 - e
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
0000 72 - r
eth
proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]

可以看到，linux_sniffer提供了相对更详细的内容。

hunt

hunt在你需要易于读取的结果室的另外一种选择。它具有直观的命令追踪和会话监录功能。

作者：Pavel Krauz
条件： C, IP头, Linux 2.0.35+, 支持LinuxThreads的GlibC 2.0.7
配置文件：无
位置：http://www.cri.cz/kra/index.html
安全历史：无
注：作者提供有动态链接和静态连接的二进制发布。

hunt是以tar.gz的格式发布的，文件名为hunt-1_3bin.tgz。首先需要解压缩：

$tar xvfz hunt-1_3bin.tgz

则hunt被解压缩到新创建的目录hunt－1.3种，包括以下内容：

-rw-r--r-- 1 206 users 1616 Apr 2 03:54 CHANGES
-rw-r--r-- 1 206 users 17983 Oct 25 1998 COPYING
-rw-r--r-- 1 206 users 312 Jan 16 04:54 INSTALL
-rw-r--r-- 1 206 users 727 Feb 21 11:22 Makefile
-rw-r--r-- 1 206 users 27373 Feb 15 12:44 README
-rw-r--r-- 1 206 users 167 Dec 4 14:29 TODO
-rw-r--r-- 1 206 users 5067 Feb 13 04:23 addpolicy.c
-rw-r--r-- 1 206 users 7141 Feb 21 23:44 arphijack.c
-rw-r--r-- 1 206 users 25029 Apr 2 03:26 arpspoof.c
drwxr-xr-x 2 206 users 1024 Apr 9 02:03 c
-rw-r--r-- 1 206 users 7857 Nov 91998 hijack.c
-rw-r--r-- 1 206 users 5066 Dec 2 12:55 hostup.c
-rwxr-xr-x 1 206 users 84572 Apr 9 02:03 hunt
-rw-r--r-- 1 206 users 24435 Apr 2 03:26 hunt.c
-rw-r--r-- 1 206 users 16342 Mar 30 01:56 hunt.h
-rwxr-xr-x 1 206 users 316040 Apr 9 02:03 hunt_static
-rw-r--r-- 1 root root 265 May 20 22:22 huntdir.txt
-rw-r--r-- 1 root root 2517 May 20 22:19 huntlog.txt
-rw-r--r-- 1 206 users 6249 Feb 21 11:21 macdisc.c
-rw-r--r-- 1 206 users 12105 Feb 21 11:35 main.c
-rw-r--r-- 1 206 users 12000 Feb 6 02:27 menu.c
-rw-r--r-- 1 206 users 7432 Apr 2 03:53 net.c
-rw-r--r-- 1 206 users 5799 Feb 11 04:21 options.c
-rw-r--r-- 1 206 users 11986 Feb 14 04:59 resolv.c
-rw-r--r-- 1 206 users 1948 Oct 25 1998 rst.c
-rw-r--r-- 1 206 users 9545 Mar 30 01:48 rstd.c
-rw-r--r-- 1 206 users 21590 Apr 2 03:58 sniff.c
-rw-r--r-- 1 206 users 14466 Feb 21 12:04 synchijack.c
-rw-r--r-- 1 206 users 2692 Feb 19 00:10 tap.c
-rw-r--r-- 1 206 users 4078 Feb 15 05:31 timer.c
-rw-r--r-- 1 206 users 2023 Oct 25 1998 tty.c
-rw-r--r-- 1 206 users 7871 Feb 11 02:58 util.c

静态二进制发布为hunt_static，推荐使用该版本，因为有时候从源代码编译可能会出现缺少一些库的错误。使用下面命令来执行hunt：

$hunt_static

运行hunt你将惊奇地发现hunt是基于curse的，因此有非常友好的交互界面。启动以后菜单如下所示：

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
* >

在整个例子中，我将从GNSS登录到linux.test.net中进行测试。

GNSS 3% telnet 192.168.0.2
Trying 192.168.0.2...
Connected to 192.168.0.2.
Escape character is '^]'.

Caldera OpenLinux(TM)
Version 1.3
Copyright 1996-1998 Caldera Systems, Inc.

login:
[hapless@linux hapless]$ finger root
Login: root Name: root
Directory: /root Shell: /bin/bash
On since Thu May 20 21:57 (PDT) on tty1 1 minute idle
On since Thu May 20 22:02 (PDT) on tty2 7 minutes 19 seconds idle
On since Thu May 20 21:59 (PDT) on tty3 15 seconds idle
No mail.
No Plan.
[hapless@linux hapless]$ last root
root tty2 Thu May 20 22:02 still logged in
root tty3 Thu May 20 21:59 still logged in
root tty1 Thu May 20 21:57 still logged in
root tty2 Thu May 20 19:46 - down (00:26)
root tty1 Thu May 20 19:44 - 20:12 (00:27)
root tty3 Thu May 20 19:44 - down (00:28)
root tty3 Thu May 20 19:42 - 19:44 (00:01)
root tty1 Thu May 20 19:41 - 19:42 (00:00)
root tty3Thu May 20 19:28 - 19:41 (00:12)
root tty2 Thu May 20 19:11 - 19:42 (00:31)
root tty1 Thu May 20 19:07 - 19:40 (00:32)
root tty1 Thu May 20 18:57 - 19:07 (00:09)
root tty1 Mon May 17 22:32 - down (00:29)

最后检查了/etc/passwd，在整个过程中都运行有hunt进行嗅探：

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
*> w
0) 192.168.0.1 [1049] --> 192.168.0.2 [23]
choose conn> 0
dump [s]rc/[d]st/[ b]oth [ b]> b

注：上面的输入(黑色字体部分)指示hunt来记录0号连接，并输出源和目的信息。
则hunt将显示hapless的所有活动信息到终端屏幕上：

22:18:43 up 21 min, 4 users, load average: 0.00, 0.01, 0.00
TRL-C to break
hhaapplleessss
Password: unaware
[hapless@linux2 hapless]$ cclleeaarr
[hapless@linux2 hapless]$ wwhhoo
root tty1 May 20 21:57
ww
22:18:43 up 21 min, 4 users, load average: 0.00, 0.01, 0.00

[hapless@linux2 hapless]$ mmoorree //eettcc//ppaasssswwdd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:11:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:
news:x:9:13:news:/var/spool/news:
uucp:x:10:14:uucp:/var/spool/uucp:
operator:x:11:0:operator:/root:
games:x:12:100:games:/usr/games:
gopher:x:13:30:gopher:/usr/lib/gopher-data:
ftp:x:14:50:FTP User:/home/ftp:
man:x:15:15:Manuals Owner:/:
majordom:x:16:16:Majordomo:/:/bin/false
postgres:x:17:17:Postgres User:/home/postgres:/bin/bash
nobody:x:65534:65534:Nobody:/:/bin/false
anon:x:100:100:Anonymous:/home/anon:/bin/bash
hapless:x:500:500:Caldera OpenLinux User:/home/hapless:/bin/bash
[hapless@linux2 hapless]$

可以的看到，hunt的输出非常直观明了，易于阅读。然而hunt还提供有以下工具：

允许指定任意一个感兴趣的连接，而不是记录所有的东西。

允许指定任意一个连接，而不仅仅是以SYN刚刚开始的连接。It offers spoofing tools.

提供活动会话劫持。

其特有的特色功能和易于使用的界面，使得它对于linux入门者是一个非常好的选择。

sniffit

sniffit是针对哪些需要了解更多信息的人的。

作者：Brecht Claerhout
条件：C, IP 头文件
配置文件：见后面的讨论
安全历史：无
注：sniffit功能非常强大，但是不易学习使用。

$tar xvfz sniffit_0_3_7.tar.gz
$./configure （配置命令将检测系统是否符合要求）
$make (编译源代码)
strip sniffit (精简二进制代码的大小)
现在就可以使用sniffit了(sniffit的配置我们最后讨论)。

语法：

  sniffit [-xdabvnN] [-P proto ] [-A char ] [-p port ]

 [(-r|-R) recordfile ] [-l sniflen ] [-L logparam ] [-F

 snifdevice ] [-D tty ] [-M plugin ] [(-t Target-IP | -s

 Source-IP ) | (-i|-I) | -c config-file ]

sniffit是一个TCP/IP/ICMP协议数据报监听器，其能给出关于这些协议数据报非常详细的技术信息(SEQ,ACK,TTL,Windows,....)及符合监听条件的数据报的各种不同的格式(hex或纯文本)

  sniffit缺省的可以处理以太和PPP设备。但是也可以用在其他的设备上(参见README.FIRST和sn_config.h)。sniffit可以进行方便的配置实现对接入的数据报进行过滤。而配置文件允许非常确定地指定需要处理的数据报。 sniffit同样有一个交互式界面。

 

选项：

-v 显示版本信息

-t 目标地址

 只处理目的地址为"目标地址"的数据，和 '-s' '-c' '-v' 选项不兼容

-s 源地址

 只处理发送地址为"源地址"的数据，和'-t' '-c' '-v' 选项不兼容

-c 配置文件

 在配置文件中对包过滤规则进行定义,和-t' '-s' '-v'不兼容

-R 文件

  将输出结果记录到"文件"中(和'-v'不兼容)

-n 关闭IP数据报校验，使伪造的数据也可以显示出来

-x 打印TCP数据报的扩展信息到标准输出中((SEQ,ACK, Flags等)，往往用来跟踪欺骗，包丢失及实现其他的网络调试测试任务。和'-i' 'I' '-v'不兼容

-d 输出到缺省的文件中，一般文件名为源目的地址的组合如：192.168.0.232.1120-192.168.0.231.80

-a输出ascII码格式，不可打印的字符用”.”表示

-P 协议

 指定需要处理的数据的协议类型,IP,TCP,ICMP,UDP等。

-p 端口

 只处理目的端口为"端口"的数据。

-l sniflen

 在正常模式下，记录的数据的总和(缺省为300字节)，每次的连接的前sniflen个字节被记录下来。

-F device

  指定监听某个设备的数据如eth0,eth1等

-D tty

  所有的记录信息都被输出到指定的tty


举例：

? 要监听从192.168.0.233发往192.168.0.231的访问WWW请求数据：

  [root@lix /tmp]#/usr/sbin/sniffit -p 80 -P TCP -s 192.168.0.233 -d ttyp1

  Packet ID (from_IP.port-to_IP.port): 192.168.0.233.1060-192.168.0.231.80

45 00 00 2C 6D 0B 40 00 80 06 0A A0 C0 A8 00 E9 C0 A8 00 E7 04 24 00 50 00 4E

89 2A 00 00 00 00 60 02 20 00 67 19 00 00 02 04 05 B4

注：192.168.0.231为一台运行linux的服务器

? 如果希望将输出定向到一个文件，则

[root@lix /tmp]# /usr/sbin/sniffit -p 80 -P TCP -s 192.168.0.233 -R /tmp/wwwlog

? 如果希望查看从192.168.0.231返回给192.168.0.225的www页面数据，并且将数据存储在一个文件/tmp/wwwlog中：

[root@lix /tmp]# /usr/sbin/sniffit -P TCP -t 192.168.0.225 -R /tmp/wwwlog

注：在225上不要开别的到231的连接，如telnet 否则 数据就回混杂在一起。
 

? 如果希望查看从192.168.0.233发给192.168.0.231的ICMP数据，并且将其显示到控制台上：

 [root@lix /tmp]# /usr/sbin/sniffit -P ICMP -t 192.168.0.233 -d ttyp1

sniffit支持配置文件，通过配置文件可以提供更强大的嗅探控制。配置文件格式包含五个不同的字段，意义分别如下：

字段 1—select 或 deselect。指示sniffit捕捉后面条件指定的数据或者不捕捉。

字段 2—from, to, 或 both。 H指示sniffit捕捉来自、发往或双向的指定的主机的数据。

字段 3—host, port, or mhost。指定一个或多个目标主机。mhost可以用来指定多个主机，如192.168.0。

字段 4—hostname, port number, or multiple-host 列表。

Field 5—端口号。

例如：

select from host 192.168.0.1
select from host 192.168.0.1 80
select both port 23
sniffit将捕捉来自两个主机的telnet和www的所有信息。

select both mhosts 100.100.12.
deselect both port 80
select both host 100.100.12.2

sniffit将捕捉100.100.12.*相关除www以外的所有数据，但是显示100.100.12.2的www数据



 
 

--------------------------------------------------------------------------------
此文章相关评论:
 
该文章有3个相关评论如下：(点这儿可以发表评论)
 
花劫容 发表于： 2002/12/10 06:26pm
 
这篇很经典！
使用ARP分组检测处于混杂模式的网络节点

发布日期: 2001-11-1
内容:
--------------------------------------------------------------------------------


本文只有for Windows的实现:(

Version 1.0

原著：Daiji Sanai
英文版翻译：Kelvin King-Pang Tsang
中文版翻译：nixe0n(译自英文版)

摘要
1.简介
2.网络嗅探的原理
3.检测混杂模式的基本概念
4.基础
 1).硬件过滤器
 2).ARP机制
5.检测处于混杂模式的节点
6.软件过滤器
 1).Linux
 2).Micro$oft Windows
7.混杂模式检测
8.检查所有网络节点
9.异常情况
 1).旧网卡
 2).3COM网卡
 3).Windows Y2K分组捕获驱动模块


摘要

在一个局域网中，安全问题应该引起注意。当纯文本数据在网络上传输时，任何网络用户都会很容易地窃取这些信息。在网络上窃取数据就叫作嗅探(sniffing)。通过嗅探网络，一个用户能够获得绝密文档的访问权限，窥探到任何人的隐私。在Internet上有很多自由散发的嗅探器软件可以实现上述目的。尽管进行网络嗅探非常容易，然而却没有很好的方法来检测这种恶意行为。本文将阐述PromiScan(一个能够有效地检测网络嗅探器的软件)使用的检测机制。嗅探器为了能够截获网络上所有的分组，必须把网络接口卡(Network Interface Card,NIC)设置为混杂模式(promiscuous mode)。接着，网卡就能够接受网络上所有的分组，并将其送到系统内核。地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件地址到IP地址的解析。我们将使用这类分组来校验网卡是否被设置为混杂模式(promiscuous mode)。之所以会使用ARP请求分组是因为它适用于所有基于以太网的IPV4协议。在混杂模式(promiscuous mode)下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。然后，系统内核会返回包含错误信息的报文。基于这种机制，我们可以假造一些ARP请求报文发送到网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。这样就可以成功地检测到网络运行的嗅探器程序。


1.简介

在局域网中，嗅探行为已经成为网络安全的一个巨大威胁。通过网络嗅探，一些恶意用户能够很容易地窃取到绝密的文档和任何人的隐私。要实现上述目的非常容易，恶意用户只要从网络上下载嗅探器并安全到自己的计算机就可以了。然而，却没有一个很好的方法来检测网络上的嗅探器程序。本文将讨论使用地址解析协议(Address Resolution Protocol)报文来有效地检测办公网络和校园网上的嗅探器程序。


2.网络嗅探的原理

局域网通常使用以太网进行连接。在以太网线缆上使用IP(IPV4)协议传输的传递的信息是明文传输的，除非使用了加密程序进行了加密。当一个人把信息发送到网络上，他会希望只有特定的用户才能收到这些信息。但是，非常不幸，以太网的工作机制为非验证用户提供了窃取这些数据的机会。以太网在进行信息传输时，会把分组送到各个网络节点，目的地址匹配的节点会接收这些分组，其它的网络节点只做简单的丢弃操作。而接收还是丢弃这些分组由以太网卡控制。在接收分组时，网卡会过滤出目的地址是自己的分组接收，而不是照单全收。在本文以后的部分我们将把网卡的这种过滤称为硬件过滤(Hardware Filter)。但是这只是在正常情况下，嗅探器使用另一种工作方式，它把自己的网卡设置为接收所有的网络分组，而不管分组的目的地址是否是自己。这种网卡模式叫作混杂模式(Promiscuous Mode)。


3.检测混杂模式的基本概念


在网络中，嗅探器接收所有的分组，而不发送任何非法分组。它不会妨碍网络数据的流动，因此很难对其进行检测。不过，处于混杂模式(promiscuous mode)网卡的状态很显然和处于普通模式下不同。在混杂模式下，应该被硬件过滤掉的分组文会进入到系统的内核。是否回应这种分组完全依赖与内核。

下面我们举一个现实世界中的例子，说明我们检测处于混杂模式网络节点的方法。设想一下，在一个会议室中正在举行一个会议。某个人把耳朵放在会议室就可以进行窃听(嗅探^_^)。当她(还是个女的，原文如此:P)进行窃听(嗅探)时，会屏住呼吸，安静地聆听会议室内所有的发言。然而，如果此时会议室内有人忽然叫窃听者的名字：“XX太太”，她就可能答应“唉”。这听起来有点好笑，但是完全可以用于网络嗅探行为的检测。网络进行网络嗅探的节点会接收网络的所有报文，因此其内核可能对某些本该被硬件过滤的分组作出错误回应。根据这个原理，我们可以通过检查节点对ARP报文的响应来检测网络的嗅探行为。


4.基础

1).硬件过滤器

首先，我们从处于混杂模式(promiscuous mode)下和普通模式下有何不同开始。以太网的地址是6个字节，制造商为每块网卡分配的地址在全世界是唯一的，因此理论上没有相同地址的网卡。在以太网上的所有通讯都是基于这种硬件地址。不过，网卡可以被设置为不同的过滤模式以接收不同种类的分组。下面就是以太网卡的过滤模式：


unicast: 网卡接收所有目的地址是自己的分组

broadcast: 接收所有广播分组，以太网广播分组的目的地址是FFFFFFFFFFFF。这种广播分组能够到达网络上的所有节点。

multicast: 接收目的地址为指定多投点递交(multicast)组地址的分组。网卡只接收其地址已经预先在多投点列表中注册的分组。

all multicast: 接收所有多投点递交广播分组。

promiscuous: 根本不检查目的地址，接收网络上所有的分组。


图-1描述了硬件过滤器处于在正常情况下和在混杂模式下的区别。通常，网卡的硬件过滤器被设置为接收目为单投点递交(unicast)、广播(broadcast)和多投点递交(multicast)地址1的分组。过滤器只接收目的地址为自己的地址、广播地址(FF FF FF FF FF FF)和多投点地址1(01 00 5E 00 00 01)的分组。


2).ARP机制

使用以太网连接的IP网络需要依靠以太网进行传输。只使用IP地址，报文是无法发送的。因此，在以太网上需要一种机制来提供IP地址和硬件地址之间的转换。这种机制就是地址解析协议(Address Resolution Protocol)。ARP属于网络层，和IP处于OSI模型的同一层。在IP网络上地址解析是不断进行的，所以ARP报文比较适合用来检测处于混杂模式(promiscuous mode)的网络节点。

在下面的例子中，我们将讲述使用ARP报文是怎样解析IP地址的：

例如：网络上一台IP地址为192.168.1.1的PC(X)以太网地址是00-00-00-00-00-01，这台PC(X)需要向网络上另外一台IP地址为192.168.1.10的PC(Y)发送消息。在发送之前，X首先发出一个ARP请求包查询192.168.1.10对应的以太网地址。查询包的目的地址被设置为FF-FF-FF-FF-FF-FF(广播)，从而本地网络上的所有节点都可以收到这个包。收到之后，每个节点会检查这个ARP包查询的IP地址和本机的IP地址是否匹配。如果不同，就忽略这个ARP包；如果匹配(Y)就向X发出应答。X收到应答之后就缓存Y的IP/硬件地址。然后，X就可以向Y发送实际的数据。


5.检测处于混杂模式的节点

上面讲到，报文的过滤状态是处于混杂模式状态和正常的网络节点的区别。当网卡被设置为混杂模式，本该被过滤掉的报文就会进入系统的内核。通过这种机制，我们可以检测到网络上处于混杂模式的节点：我们构造一个ARP查询包，其目的地址不是广播地址，然后向网络上的各个节点发送这个ARP查询包，最后通过各个节点的回应来判断是否处于混杂模式。

下面我们讨论一下整个ARP请求/响应的操作过程。首先，产生一个ARP查询包来解析192.168.1.10的硬件地址。为了使网络上的所有节点都能够收到这个查询包，把这个包的目的地址设置为广播地址。理论上，只有IP地址为192.168.1.10的网卡才能对这个查询包进行响应。

进一步设想，如果我们把这个查询包的目的地址(以太网地址)设置为另外的地址,而不是原来的广播地址又将如何？例如：我们把查询包的目的地址设置为00-00-00-00-00-01会发生什么？处于正常模式下网络节点的以太网卡会认为这个查询包是发往其它主机的，其硬件过滤器会拒绝接收这个包；然而，如果这个网络节点(192.168.1.10)的以太网卡处于混杂模式(promiscuous mode)下，那么即使以太网地址不匹配，其硬件过滤器也不进行任何过滤，从而使这个查询包能够进入到系统的内核。因为这个节点的IP地址和查询包的要查询IP地址相同，其内核就会认为ARP查询包到达，应该作出应答。但是，另我们吃惊的是，这个处于混杂模式节点的内核不会应答ARPR查询包。这种出人意料的结果说明这个包被系统内核过滤掉了。在这里我们把这叫作软件过滤器。


再进一步，我们可以通过区别硬件过滤器和软件过滤器的不同特征来检测处于混杂模式的网络节点。硬件过滤器一般会阻塞所有无效的分组(这些分组显然不会进入系统内核)，因此能够通过硬件过滤器一般也能够通过软件过滤器，这种情况我们不多做讨论。现在我们需要构造应该被被硬件过滤器阻塞，但是却能够通过软件过滤器的报文。如果把这种报文送到各个网络节点，那么处于普通模式下的网络节点将不做应答；而处于混杂模式的节点会进行应答。


6.软件过滤器

软件过滤器依赖于操作系统的内核，因此有必要理解系统内核软件过滤器是如何工作的。Linux是开放源玛系统，因此我们能够获得其软件过滤机制。但是对于Micro$oft Windows我们只有凭经验猜测了:(。

1).Linux

在Linux的以太网驱动模块中，分组是以硬件地址分类的。


广播包
 FF FF FF FF FF FF

多投点分组
 所有的分组都有一个组标志位集合，不包括广播分组。

TO_US分组
 目的地址和本机网卡相同的分组。

OTHERHOST分组
 所有目的地址和本机网卡不同的分组。

现在，我们假设具有组标志位的所有分组都是广播分组。IP网络对应的以太网多投点分组的目的地址是01-00-5e-xx-xx-xx，而且，通过校验组标志位本来就不能对多投点分组进行分类。这个假设并不错误，因为01-00-5e-xx-xx-xx是一个基于IP的多投点地址，但是网卡硬件地址还用于其它高层协议。

下面，我们看一下ARP模块的代码。

if (in_dev == NULL ||
arp->ar_hln != dev->addr_len ' '
dev->flags & IFF_NOARP ||
skb->pkt_type == PACKET_OTHERHOST ||
skb->pkt_type == PACKET_LOOPBACK ||
arp->ar_pln != 4)
goto out;

Linux内核的ARP模块拒绝所有OTHERHOST类型的分组。接着，ARP模块将处理广播、多投点和TO_US类型的分组。表1综合了硬件过滤器和软件过滤器对各种ARP分组的过滤处理，1说明：hw(hardware)、sw(software)、res.(response)、gr(group)。


下面，后我们将对这六硬件地址的分组进行详细描述：

TO_US
 网卡在正常模式下，所有地址为TO_US的分组都能够通过精简过滤器和软件过滤器。因此，不管网卡是否处于混杂模式(promiscuous mode)下，ARP模块都会对其进行响应。

OTHERHOST
 当网卡处于正常模式下，会拒绝所有地址为OTHERHOST的分组。即使网卡处于混杂模式(promiscuous mode)，这种分组也无法通过软件过滤器，因此这种ARP请求不会收到响应。

BROARDCAST
 在正常模式下，BROARDCAST分组能够也能够通过硬件和软件过滤器，因此不能用于网络节点混杂模式的检测。

MULTICAST
 在正常模式下，如果分组的硬件地址没有在多投点地址列表中注册，网卡将拒绝接收；但是，如果网卡处于混杂模式，这种分组将畅通无阻地穿过硬件过滤器和软件过滤器。因此，可以使用这种类型的分组来检测处于混杂模式的网络节点。

group bit
 这种类型的分组既不属于BRODCAST类型也不属于MULTICAST类型，但是其硬件地址的组位(以太网地址的首字节低序第一位)置位即：01-00-00-00-00-00。在正常模式下，网卡会拒绝接收此类分组；但是在混杂模式下，这种类型的分组能够通过硬件过滤器。而在Linux内核中，这种类型的分组被归类为多投点分组进行处理，能够穿过软件过滤器。因此，这种类型的分组也能够用于混杂模式检测。


2).Micro$oft Windows

Windows系统不是开放源码系统，因此不能从源代码分析其软件过滤行为。只好由实验来测试。在实验中，我们使用了以下的硬件地址：

FF-FF-FF-FF-FF-FF 广播地址
 所有的网络节点都会接收这种分组。通常的ARP查询包使用这个地址。

FF-FF-FF-FF-FF-FE 伪广播地址
 FF-FF-FF-FF-FF-FE是一种伪广播地址，它的最后一位丢失。这个地址被用来检查软件过滤器是否检查所有的地址位，是否应答。

FF-FF-00-00-00-00-00 16位伪广播地址
 FF-FF-00-00-00-00-00只有前16位和真正的广播地址相同。如果过滤器函数只测试广播地址的第一个字，这个地址就可以归入广播地址。

FF-00-00-00-00-00 8位伪广播地址
 这个地址只有前8位和广播地址相同，如果过滤器函数只检查广播地址的首字节，它也可以归入广播地址类。

01-00-00-00-00-00 多投点标记置位地址
 这个地址只有多投点标记位(以太网地址的首字节低序位)被置位，用来检查过滤器函数是否也象Linux一样把它作为多投点地址处理。

01-00-5E-00-00-00 多投点地址0
 多投点地址0并不常用，因此我们使用这个地址作为没有在网卡多投点地址列表中注册的多投点地址。正常情况下，硬件过滤器应该拒绝接收这种分组。但是，如果软件过滤器不能检查所有的地址位，这类分组就可能被归类到多投点地址。因此，如果网卡处于混杂模式(promiscuous mode)，内核就会进行应答。

01-00-5E-00-00-01 多投点地址1
 局域网上的所有网络节点都应该接收多投点地址1类型的分组。换句话说，默认情况下硬件过滤器允许这类分组通过。但是可以由于网卡不支持多投点模式而不应答。因此，这类分组可以用于检查主机是否支持多投点地址。


即使结果：

对于这7种类型地址的测试结果如表2所示。测试是针对Windows85/98/ME/2000和Linux。不出所料，网卡处于正常模式下，内核会对所有地址为广播地址和多投点地址1的分组进行回应。

然而，当网卡处于混杂模式下时，每种操作系统的测试结果不尽相同。Windows95/98/ME会响应31、16、8位伪广播地址的分组。因此，我们可以认为Window9x系列操作系统的软件过滤器只通过检测一位来判断分组地址是否是广播地址。

Windows2000对地址为31、16位伪广播地址的分组进行响应。因此，我们可以认为WindowsY2K检查地址的8位来判断分组地址是否为广播地址。

Linux内核对所有七种地址的分组都会进行响应。



7.混杂模式检测

我们可以把这个测试结果用于局域网处于混杂模式节点的检测。下面是具体检测过程：

1).我们需要检测IP地址A的主机是否处于混杂模式。我们首先需要构造如下格式的ARP分组和以太网帧：

ARP分组：

 目的以太网地址 00 00 00 00 00 00(说明1)
 发送方以太网地址 00 11 22 33 44 55(说明2)
 高层协议类型 08 00(IP)
 硬件类型 00 01(以太网)
 硬件地址长度 06(以太网地址长度)
 IP地址长度 04
 发送方的IP地址 本机IP地址
 目标的IP地址 被检测主机的IP地址
 ARP操作码 00 01(ARP请求01、ARP应答02)


以太网帧:

 协议类型 08 06(ARP)
 发送方的硬件地址 本机以太网卡地址
 目标硬件地址 FF FF FF FF FF FE


说明1:这时ARP要查询的以太网地址，全部填0或者1都可以。
说明2:用自己的以太网地址代替。


2).分组构造完成后，我们可以把它发送到网络上。

3).现在我们需要等待目标主机的反应。如果目标主机处于正常状态，这个分组就会被阻塞；但是如果处于混杂模式(promiscuous mode)下，我们就会收到应答。


8.检查所有网络节点

只要顺序使用第七节叙述的检测方法，我们就可能检测出所有处于混杂模式下的网络节点。但是，某些情况下，会使这种检测方法失效。


9.异常情况

上面讲到有一些情况不能使用这种方式进行混杂模式检测。这些异常情况包括：

1).旧网卡

有些旧网卡不支持多投点列表，例如：3COM EtherlinkIII。分组不经过硬件过滤器的检查就进入软件过滤器，

2).3COM网卡

安装在LInux主机的3COM 3c905网卡，默认情况下被设置为接收所有的多投点分组。因此，我们无法区别混杂模式和多投点模式。造成这种异常的原因是这种网卡的Linux驱动模块不支持多投点列表，网卡就会接收所有多投点分组。注意：Linux安装程序使用3c59x.o作为这种网卡的驱动模块。如果把驱动模块改为3c905x.o可以解决这个问题。

3).Windows Y2K分组捕获驱动模块

当WindowsY2K分组捕获驱动模块是动态加载的，也会产生异常情况。WinPcap2.1(2.01不同)和SMS是用于WindowsY2K的两种动态加载分组捕获驱动模块。当它们安装到WindowsY2K系统中，会有一些特别的反应。即使网卡不处于混杂模式下，也会对地址为16为伪广播地址的分组进行响应(使用这两种驱动模块的嗅探器也将无法准确操作)。也就是说，即使嗅探器没有运行也照样可以检测到。可能是Micro$oft为了方便混杂模式的检测有意为之。

网络监听攻击技术

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

█网络监听的原理

Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

下面是一些系统中的著名的监听程序，你可以自己尝试一下的。

Windows9x/NT　NetXRay　http://semxa.kstar.com/hacking/netxray.zip

DEC Unix/Linux　 Tcpdump　　 http://semxa.kstar.com/hacking/management.zip

Solaris　 Nfswatch　　　 http://semxa.kstar.com/hacking/nfswatch.zip

SunOS　Etherfind　 http://semxa.kstar.com/hacking/etherfind012.zip

　

█检测网络监听的方法

网络监听在上述中已经说明了。它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是黑客所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

"amp;#9658;网络监听说真的，是很难被发现的。当运行监听程序的主机在进听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

在Unix中可以通过ps –aun或ps –augx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多黑客在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往黑客所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的黑客去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这么大胆评论了。

█著名的Sniffer监听工具

Sniffer之所以著名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。

Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能别发现，这个足够是对网络安全的最严重的挑战。

在Sniffer中，还有“热心人”编写了它的Plugin，称为TOD杀手，可以将TCP的连接完全切断。总之Sniffer应该引起人们的重视，否则安全永远做不到最好。

如果你只是想用来研究的话可以在这里http://semxa.kstar.com/hacking/sniffer260.zip找到一个经过我汉化的Sniffer程序工具。