Sniffer攻击的工作原理

发布时间：2023-06-02 12:51:26 所属栏目：安全来源：

导读：随着互联网继续发展和广泛应用，网络安全问题逐渐得到人们的重视，现在很多网站都面临网络攻击的威胁，因此提高网络意识和做好安全防御至关重要。这篇文章就主要介绍一下Sniffer攻击以及工作原理，希望能帮助大家更有

随着互联网继续发展和广泛应用，网络安全问题逐渐得到人们的重视，现在很多网站都面临网络攻击的威胁，因此提高网络意识和做好安全防御至关重要。这篇文章就主要介绍一下Sniffer攻击以及工作原理，希望能帮助大家更有效的做好防御。

有关sniffer及sniffer的含义

sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。随着Internet电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要角色之一的Sniffer已经受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅是为了探测内部网络上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号(包括用户名和密码)，最为有效的手段是使用 "sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网上，而在外部主机上运行sniffer是没有效果的。再者，必须以root的身份使用sniffer 程序，才能够监听到以太网上的数据流。谈到以太网sniffer，就必须谈到以太网sniffing。

那么什么是以太网sniffer攻击呢?

以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发现符合条件的包，就把它存到一个log文件中去。通常设置的这些条件是包含"username"或"password"的包。

它的目的是将网络放到promiscuous模式，从而能干一些事情。Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。可以知道：当一个设备要向某一目标发送数据时，它是对以太网进行广播的。一个连接到以太网总线上的设备在任何时间里都在接收数据。不过只是将属于自己的数据传输给该计算机上的应用程序。

利用这一点，可以将一台计算机的网络连接设置为接收所有以太网总线上的数据，从而实现sniffer。sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属于第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。

sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个其他重要的信息，在网上传送的金融信息等等。sniffer几乎能得到任何以太网上传送的数据包。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证sniffer能够执行。在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin 或/dev目录下。黑客还会巧妙的修改时间，使得sniffer程序看上去是和其它系统程序同时安装的。

大多数以太网sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使得系统管理员很难发现运行的sniffer程序。以太网sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主机。程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。

sniffer攻击的工作原理

通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要有一个广播地址。(代表所有的接口地址)，在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：
1、帧的目标区域具有和本地网络接口相匹配的硬件地址。
2、帧的目标区域具有"广播地址"。
在接收到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

而sniffer就是一种能将本地nc状态设置成(promiscuous)状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。(绝大多数的nc具备用 promiscuous方式的能力)

可见，sniffer工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

通常sniffer所关心的内容可以分成这样几类：
1、口令
我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。
2、金融账号
许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin.
3、偷窥机密或敏感的信息数据
通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个email会话过程。
4、窥探低级的协议信息。

这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害。

（编辑：汽车网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!