什么是sniffer和如何防止sniffer的监听

/ns/hk/hacker/data/20010210070912.htm

什么是sniffer和如何防止sniffer的监听

作者:Jason Drury 日期:NOV.11.2000
翻译:春之律---www.20cn.net
简介:
sniffers(嗅探器)几乎和internet有一样久的历史了.他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具. 不幸的是,crackers也会运行sniffers以暗中监视你的网络状况和窃走不同种类的数据.这篇文章讲讨论什嘛是sniffers,一些比较普遍的sniffers和如何保护自己不受损失.也讨论一种叫antisniff(防监听)的工具, 它可以自动运行并发现运行在你网络中的sniffers.

什嘛是sniffer
在单选性网络中, 以太网结构广播至网路上所有的机器, 但是只有预定接受信息包的那台计算机才会响应. 不过网路上其他的计算机同样会"看到"这个信息包,但是如果他们不是预定的接受者,他们会排除这个信息包. 当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态, 那么这台计算机就有能力浏览所有的在网络上通过的信息包.
如果你是个internet历史方面的白痴并且在想sniffer这个词从何而来.Sniffer是最初是网络的产物.然后成为市场销售的领先者,人们开始称所有的网络分析器为"sniffers".我猜测这些人是和管棉签叫Q-tip的人一样的.

谁会使用sniffers?
lan/wan 管理员使用sniffers来分析网络信息交通并且找出网络上何处发生问题.一个安全管理员可以同时用多种sniffers, 将它们放置在网络的各处,形成一个入侵警报系统.对于系统管理员来说sniffers是一个非常好的工具,但是它同样是一个经常被hackers使用的工具.crackers安装sniffer以获得用户名和账号,信用卡号码,个人信息,和其他的信息可以导致对你或是你的公司的极大危害如果向坏的方面发展.当它们得到这些信息后,crackers将使用密码来进攻其他的internet 站点甚至倒卖信用卡号码.

常见的sniffers
在securityfocus.com,有8页的sniffer工具.例如Websniff---指定嗅探websever的login(登入)/auth.(准许)信息到Altivore. Network Associates'Sniffer Pro也许是windows环境下最常用的sniffer了.有趣的是,Network Computing将Sniffer Pro放在了它的"10 most important products of the decade"(10年中10种最重要的工具)列表中的第七位.在这里可以找到全部列表:http://www.networkcomputing.com/1119/1119f1products_intro.html

不同于其他的免费软件类sniffers,Sniffer Pro可以探测OSI RDFERENCE模式的7个层并且提供给你一个详细的分析报告.Sniffer是一个非常好的可以帮助你看到网络都在发生什嘛的好工具,不过你可以找到一些好的免费或是共享软件.

UNIX下的sniffers,我比较倾向于snoop.Snoop是按Solaris的标准制作的,虽然Snoop不像是Sniffer Pro那样好,但是它是一个可定制性非常强的sniffer,在加上它是免费的(和Solaris附一起).谁能打败它的地位?你可以在极短时间内抓获一个信息包或是更加深的分析.如果你想学习如何使用snoop,看下面的url:
http://www.enteract.com/~lspitz/snoop.html

击败sniffers
显而易见的,保护网络不受sniffer监听的方法就是不要让它们进入. 如果一个cracker不能通过你的系统进入的话,那么他们无法安装sniffers.我们是有可能防止这个的.但是从发现空前数目的安全漏洞并且大多数公司并没有足够能力来修复以来,crackers开始利用漏洞并安装sniffers.自从crackers看上一个大多数网络通讯流通的中心区域(防火墙或是代理服务器)时,他们便确定这是他们的攻击目标并将被监视.一些可能的"受害者"在服务器的旁边,这时候个人信息将被截获(webserver,smtp sever)
一个好的方式来保护你的网络不受sniffer监视是将网络用以太网接线器代替普通的集线器分成尽可能多的段.接线器可以分割你的网络通讯并防止每一个系统"看到"每个信息包.但是这个解决方法的缺点就是太费钱.这种接线器是普通集线器价钱的两至三倍,但是它值这么多.
另一个方法是,和那种接线器比就是加密术.Sniffer依然可以监视到信息的传送,但是显示的是乱码. 一些加密术的缺点是速度问题和使用一个弱加密术比较容易被攻破.几乎所有的加密术将导致网络的延迟.加密术越强,网络沟通速度就越慢.系统管理员和用户需要在某个地方折中一下. 虽然大多数的系统管理员愿意使用市场上最好的加密术,但是世界上没有一个地方的网络安全用品制造商看起来获益很多.希望近期能有新的加密术,AES(高级加密标准),将提供更好的加密术和透明度给用户以让每个人都开心.有一些加密总是比没有加密要好的多.如果一个crakcer正在你的网络上运行sniffer并发现所有他/她收集的资料都是乱码,那么大多数会转移到其他的没有使用加密术的站点上.但是一份支票或是一个决心,hacker将会破解一个弱加密术标准.所以要变的聪明和提供一个强有力的加密术.

Antisniff
1999年,我们在L0pht Heavy Industries的兄弟发布了一个名为Antisniff的软件.它可以扫描你的网路并测试一台计算机是否运行在混杂模式(监听网路上每个数据包).这是一个很有用的工具因为如果你的网路上有sniffer,那么10次有9次,系统会被危及安全.这曾经发生在Computer Science Department at California State University - stanislaus.这里是他们贴在网站上的:"一个sniffer程序被发现运行在Computer Science网路.Sniffer程序是被用来截获密码的.为了保护我们自己,请更换你的密码.最好用特殊的符号并大于8位的密码"我确定一定有几百个相似的帖子在世界各地被发布但并不被公开.

Antisniff也帮助你找到那些运行sniffer来寻找本地网路上错误的,但缺忘了要求授权的系统管理员.如果你需要运行一个sniffer,那么你应当先得到准许.如果安全系统管理员正在运行Antisniff并发现你正在运行一个sniffer,那么你要解释为什么你没有获得准许就运行sniffer.希望你的安全方针包括关于sniffers的部分并提供一些运行sniffers的指导.

写的同时,Antisniff1.021版本是现在的版本.一个非常好的GUI有效于win95/98/nt机器. 一个命令行译本同样适用于Solaris,OpenBSD和linux.这个版本的antisniff只在单选性线路环境下运行.如果你的网路是又路由器和接线器组成的,那么Antisniff不具备和在单选性网路上的效用.你只能将它用在本地网络而不能通过路由和接线器.根据L0pht的网站来看,下一个版本的Antisniff将有能力通过路由和接线器判断一台计算机是否处于混杂状态.下一个版本的antisniff将对系统管理员十分有益因为集线器的价格正在下降并且大多数公司将提升到100M的速度.cracker依然可以安装sniffers,不同的是,你已经消除了他们获取数据包的能力了.

网络资源
Sniffer Technologies. http://www.sniffer.com/ (2 November 2000)

SecurityFocus http://www.securityfocus.com/ (31 October 2000)

L0pht Heavy Industries, Inc. "AntisSniff Technical Details." http://www.l0pht.com/antisniff/tech-paper.html (31 October 2000)

Morrissey, Pete. "The 10 Most Important Products of the Decade." October 2, 2000
http://www.networkcomputing.com/1119/1119f1products_7.html (8 November 2000)

Machrone, Bill. "How Do I Hack Thee" http://www.zdnet.com/zdnn/stories/comment/0,5859,2385238,00.html (1 November 2000)

Edwards, Mark Joseph. "Antisniff Beta 2" http://www.win2000mag.com/Articles/Index.cfm?ArticleID=7258&SearchString=antisniff (1 November 2000)

Sprenger, Polly. "L0pht Releases AntiSniff" 23 July 1999 http://www.wired.com/news/technology/0,1282,20913,00.html (1 November 2000)

California State University �C Stanislaus February 5, 1995 http://yahi.csustan.edu/studnote.html (3 November 2000)

Spitzner, Lance. "The Secrets of Snoop." http://www.enteract.com/~lspitz/snoop.html (9 November 2000)

Book References

Anonymous, "Maximum Security", SAMS, 1998

Skoudis, Edward "Current Hacker Tools and New Hacker Capabilities", SANS December 19, 1999
原文件:http://www.sans.org/infosecFAQ/sniffers.htm 略有改动
转载请著名作者,译者和出处