8.2 "廣播型"網絡環境下的嗅探
在前面提到的兩種網絡環境中,相對而言,"廣播型"網絡環境下的嗅探是最容易進行的。因爲它幾乎不需要***者掌握任何高深的技術,就能夠利用一些簡單的工具來完成嗅探。
有許多圖形化的嗅探軟件的操作都很簡單。一些軟件用來完成某些具有特殊目的的嗅探操作,如專用於嗅探局域網中MSN聊天信息的MSN Sniffer等;另一些軟件則用於安裝在主機上,進行遠程嗅探,如Raw Sniffer等。此外,還有一些專業的嗅探工具,如Sniffer Portable等。
8.2.1 經典嗅探***--Sniffer Protable
Sniffer Protable是由NAI公司出品的。NAI公司是世界著名的網絡安全維護機構,其Sniffer Portable產品是網絡管理員進行網絡協議分析的必備軟件,對普通"廣播型"網絡環境中的嗅探***來講,更方便易用。
1.Sniffer Protable的基本設置
安裝運行Sniffer Portable時,可能需要卸載用戶系統中已安裝的"QoS"網絡協議,在安裝結束時選擇"Uninstall the QoS Packet Scheduler Service"複選框即可,如圖8-3所示。
第一次運行時需要選擇用來進行嗅探的網卡。如果有多塊網卡,就選擇用來連接局域網的網卡,如圖8-4所示。
(點擊查看大圖)圖8-3 卸載"QoS"協議 |
(點擊查看大圖)圖8-4 選擇嗅探網卡 |
2.設置嗅探協議
進入主界面後(見圖8-5),選擇的【捕獲】→【定義過濾器】命令,在彈出對話框的"地址"選項卡中可以設置局域網內所要嗅探的主機及要嗅探的協議等。
假設進行嗅探的主機IP地址爲"192.168.1.11",要嗅探與局域網中所有其他主機的流量,可以在"地址類型"下拉列表框中選擇"IP"選項,在地址列表第一欄中輸入主機的IP地址"192.168.1.11",在另一欄中輸入"任意的",Dir處的方向設置爲收發均進行監聽,如圖8-6所示。
(點擊查看大圖)圖8-5 Sniffer Protale主界面 |
(點擊查看大圖)圖8-6 設置嗅探協議 |
切換到"高級"選項卡,可以選擇要嗅探的網絡協議,如常見的FTP、Telnet和HTTP等,都可以在"常用協議"→"IP"→"TCP"下進行選擇,如圖8-7所示。
還可以設置捕獲數據包的大小,以過濾掉無用的數據。下面以嗅探Telnet協議密碼爲例:設置"監聽協議"爲"TELNET",設置"數據包大小"爲"Equal55",設置"數據包類型"爲"常規",如圖8-8所示。
(點擊查看大圖)圖8-7 選擇嗅探的網絡協議 |
(點擊查看大圖)圖8-8 過濾無用的數據 |
3.嗅探Telnet協議密碼
設置完畢後返回程序主窗口,按【F10】鍵即可開始嗅探本機與其他主機進行的所有數據交換,如圖8-9所示。當有人在局域網中通過Telnet下載,或登錄主機輸入用戶名和密碼時,都會被Sniffer Protale截取記錄。
(點擊查看大圖)圖8-9 開始嗅探 |
按【F9】鍵,可以停止嗅探並顯示嗅探結果。在嗅探結果中單擊"解碼"標籤,切換到結果列表,可以在"摘要"列中看到每行都對應一個輸入字符,如圖8-10所示,並可以從中發現Telnet協議的用戶名和密碼。
(點擊查看大圖)圖8-10 捕獲的Telnet密碼 |