嗅探器攻击原理

11.1.1　嗅探器攻击原理

1.嗅探器简介

嗅探器是一种监视网络数据运行的软件，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器：如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。

2.嗅探器所能够分析的网络协议

·标准以太网

·TCP/IP

·IPX

·DECNET

·FDDI Token

·微波和无线网

3.嗅探器的分类

在实际应用中的嗅探器分软、硬两种。

·软件嗅探器便宜易于使用，缺点是往往无法抓取网络上所有的传输数据（比如碎片），也就可能无法全面了解网络的故障和运行情况。

·硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。

目前使用的嗅探器主要是软件的。

4.嗅探器可能造成的危害

·嗅探器能够捕获口令；

·能够捕获专用的或者机密的信息；

·可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限；

·分析网络结构，进行网络渗透。

嗅探器通过将其置身于网络接口来达到捕获真实的网络报文，例如，将以太网卡设置成混杂模式。数据在网络上是以帧（Frame）的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这帧，并告诉系统的到达，然后对其进行存储。就是在这个传输和接收的过程中，每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发一个报文时，这些报文就会发送到LAN上所有可能的机器。一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应。如果某工作站的网络接口处于混杂模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它（包括其软件）就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。

通常使用嗅探器的入侵者，都必须拥有基点用来放置嗅探器。对于外部入侵者来说，能通过入侵外网服务器、往内部工作站发送木马等获得需要的位置，然后放置其嗅探器；而内部破坏者就能够直接获得嗅探器的放置点，比如使用附加的物理设备作为嗅探器（例如，它们可以将嗅探器接在网络的某个点上，而这个点通常用肉眼不容易发现。除非人为地对网络中的每一段网线进行检测，没有其他容易方法能够识别出这种连接。当然，网络拓扑映射工具能够检测到额外的IP地址）。