¿Qué significa el estado de sniffer?
No es necesario que los expertos ingresen a artículos como los escritos por Teacher. Yuan y BACKEND.
1. ¿Qué es el SNIFFER?
Generalmente lo que llamamos programa SNIFFER es poner la NIC (adaptador de red, generalmente como una tarjeta Ethernet) en un estado.
El llamado modo espurio promiscuo una vez que se activa. la tarjeta de red está configurada en En este modo, su programa SNIFFER
puede aceptar todos los paquetes de información transmitidos en la red. Por lo general, la tarjeta de red solo acepta paquetes de información relacionados con su propia dirección, es decir, paquetes de información transmitidos al host local. Para que SNIFFER pueda aceptar información procesada de esta manera
, el sistema debe soportar bpf, como SOCKET-PACKET bajo LINUX, pero en general, hardware de red
y TCP/ La pila de protocolos IP no admite la recepción ni el envío de paquetes que no estén relacionados con la computadora local, por lo que para omitir la pila de protocolos TCP/IP estándar, la tarjeta de red debe configurarse en el modo promiscuo que acabamos de configurar. p>
Para activar esta función, el kernel debe admitir este pseudo dispositivo bpfilter y requiere un usuario ROOT para ejecutar el programa SNIFFER, por lo que, como usted sabe, SNIFFER requiere una identidad ROOT para instalarse, y usted ni siquiera puede hacerlo. esto ingresando al sistema como usuario local
No puedes espiar la contraseña ROOT porque no puede ejecutar SNIFFER.
Basado en un modelo como SNIFFER, puede analizar diversa información de paquetes de datos y describir claramente la estructura de la red
y el propósito de la máquina, porque acepta paquetes en el mismo red Cualquier paquete de datos transmitido en el segmento, por lo que existe
SNIFFER se puede utilizar para capturar contraseñas, mensajes de correo electrónico, archivos secretos y otra información no cifrada. Como resultado,
Esto se ha convertido en una forma común para que los piratas informáticos amplíen su alcance y tomen el control de otros hosts.
A continuación se describe la posibilidad de interceptación de ciertos medios de transmisión:
Es más probable que Ethernet sea interceptado porque la red Ethernet es una red de transmisión y está sujeta a
p>
La mayor parte del tiempo de rastreo de paquetes en Internet se debe a algún programa de rastreo de paquetes
que se ejecuta en una computadora. Esta computadora y otras computadoras, puertas de enlace o enrutadores forman una red Ethernet.
El espionaje de tokens FDDI también es más probable, aunque las redes de tokens no son redes de transmisión.
De hecho, los paquetes con tokens pasarán por la mitad de las computadoras de la red. Pero las altas tasas de transmisión pueden dificultar el seguimiento.
Es poco probable que se escuchen las líneas telefónicas; el personal de la compañía telefónica o las personas con acceso físico a las líneas
Es posible escuchar las líneas telefónicas y de microondas
También se puede ser interceptado.
De hecho, es más difícil "hacer autostop" el MODEM de alta velocidad que el MODEM de baja velocidad,
porque el MODEM de alta velocidad introduce muchas frecuencias.
Es más probable que se escuche IP, y usar un canal de televisión por cable para enviar paquetes de datos IP requiere depender de un módem de radiofrecuencia.
Los demoduladores de canales de televisión por cable y los módems de radiofrecuencia utilizan un Canal de TV de enlace ascendente, un canal de enlace descendente.
La información transmitida a través de estas líneas no está cifrada y, por tanto, puede ser interceptada por alguien con acceso físico a los cables de televisión.
Los microondas y las escuchas son más probables, y se supone que la radio es un medio de transmisión tipo radiodifusión que puede ser interceptado por cualquier persona con un receptor de radio.
Hoy en día, la mayoría de los SNIFFER solo escuchan paquetes cuando están conectados, porque si el SNIFFER acepta todos los
paquetes, uno de los registros LOG será muy grande y consumirá mucha CPU. tiempo, por lo que monitorear en una computadora ocupada será sospechoso porque consume mucha CPU y ancho de banda. SNIFFER está funcionando.
Cuando creas que algo anda mal, primero necesitas alguna manera fácil de detectarlo.
Aunque puede usar el comando PS o netstat para verificar si hay alguna conversión de información de proceso y conexión,
pero si el intruso modifica el programa ps o netstat, no lo hará. poder encontrar estos programas. De hecho, modificar el comando ps solo requiere unos pocos comandos SHELL para filtrar los nombres del software de monitoreo.
Aunque los dos métodos siguientes son simples, son difíciles de operar:
1 Para la máquina sospechosa de ejecutar el programa de escucha, utilice la dirección IP correcta y la dirección física incorrecta. PING. Ejecutar
El programa de escucha devuelve una respuesta a la máquina. Esto se debe a que una máquina normal no acepta direcciones físicas incorrectas. En el estado de escucha, la máquina de escucha puede aceptarla. si la dirección IP no es la correcta. Esto se debe a que las máquinas normales no aceptarán una dirección física incorrecta, mientras que las máquinas en estado de escucha responderán si su IP STACK ya no está invertida. Este
método se basa en la PILA de IP del sistema y es posible que no funcione en algunos sistemas.
2. Al enviar una gran cantidad de paquetes de datos a una dirección física que no existe en la red, el programa de escucha procesará estos paquetes de datos, lo que provocará una degradación del rendimiento.
>Al comparar el rendimiento de la máquina antes y después (retardo de eco icmp, etc.) para juzgar, este método
es difícil.
Algunos SNIFFER de uso común
SNIFFIT: Este es un SNIFFER comparativo escrito por Brecht Clearhout y es el programa que debes usar primero
De forma predeterminada, este SNIFFER solo acepta los primeros 400 bytes del paquete, lo cual está bien para
una sesión de inicio de sesión.
No hay ningún problema durante el inicio de sesión.
SNORT: este SNIFFER tiene muchas opciones para su uso, es muy portátil y puede registrar cierta información de conexión
para rastrear algunas actividades de la red.
TCP DUMP: Este SNIFFER es muy famoso. FREEBSD también se ha puesto al día con los maestros de UNIX.
Creo que es una herramienta de gestión de red profesional (debería serlo). llamado Shimomura
Invasion) utiliza su propia versión modificada de TCPDUMP para registrar la red. La versión TCPDUMP registró el ataque de KEVIN MITNICK a los registros de su sistema y luego cooperó con el FBI para capturar a KEVIN MITNICK. Más tarde también escribió un artículo: Utilice estos registros para describir. el ataque, Cómo Mitnick hackeó a Tsutomu Shimomura con un ataque de secuencia IP
(/antisniff/ Este es un buen programa anti-SNIFFER escrito por L0pht, quien también planea abrir la versión del código fuente en la versión LINUX.
Además, si utiliza dos tarjetas de red en una máquina, configure una de las tarjetas de red en modo promiscuo y establezca la dirección IP en 0.0.0.0, mientras que la otra tarjeta de red está en modo normal y la dirección Correcto, entonces será difícil detectar la existencia de SNIFFER
.