|
孤獨者 - 心在黑暗裡旅行 ...... ... 至尊會員
遊蕩的過客 - 枉入紅塵若許年 .. ... - UID
- 18273
- 帖子
- 12122
- 精華
- 1273
- 積分
- 240737
- 金幣
- 492641
- 威望
- 5001
- 推廣
- 0
- 閱讀權限
- 99
- 來自
- 尋覓中
- 註冊時間
- 2006-6-24
- 最後登錄
- 2015-5-27
|
1樓
大 中
小 發表於 2006-9-8 21:21
『教學』Sniffer-黑客們最常用的入侵手段
大多數的黑客僅僅為了探測內部網上的主機並取得控制權,只有那些"雄心勃勃"的黑客,為了控制整個網絡才會安裝特洛伊木馬和後門程序,並清除記錄。他們經常使用的手法是安裝sniffer。
在內部網上,黑客要想迅速獲得大量的賬號(包括用戶名和密碼),最為有效的手段是使用 "sniffer" 程序。這種方法要求運行Sniffer 程序的主機和被監聽的主機必須在同一個以太網段上,故而在外部主機上運行sniffer是沒有效果的。再者,必須以root的身份使用sniffer 程序,才能夠監聽到以太網段上的數據流。
黑客會使用各種方法,獲得系統的控制權並留下再次侵入的後門,以保證sniffer能夠執行。在Solaris 2.x平台上,sniffer 程序通常被安裝在/usr/bin 或/dev目錄下。黑客還會巧妙的修改時間,使得sniffer程序看上去是和其它系統程序同時安裝的。
大多數 "ethernet sniffer"程序在後台運行,將結果輸出到某個記錄文件中。黑客常常會修改ps程序,使得系統管理員很難發現運行的sniffer程序。
"ethernet sniffer"程序將系統的網絡接口設定為混合模式。這樣,它就可以監聽到所有流經同一以太網網段的數據包,不管它的接受者或發送者是不是運行sniffer的主機。 程序將用戶名、密碼和其它黑客感興趣的數據存入log文件。黑客會等待一段時間 ----- 比如一周後,再回到這裡下載記錄文件。
一、什麼是sniffer
與電話電路不同,計算機網絡是共享通訊通道的。共享意味著計算機能夠接收到發送給其它計算機的信息。捕獲在網絡中傳輸的數據信息就稱為sniffing(竊聽)。
以太網是現在應用最廣泛的計算機連網方式。以太網協議是在同一回路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一台主機能夠接收所有數據包,而不理會數據包頭內容,這種方式通常稱為"混雜" 模式。
由於在一個普通的網絡環境中,帳號和口令信息以明文方式在以太網中傳輸, 一旦入侵者獲得其中一台主機的root權限,並將其置於混雜模式以竊聽網絡數據,從而有可能入侵網絡中的所有計算機。
二、sniffer工作原理
通常在同一個網段的所有網絡接口都有訪問在物理媒體上傳輸的所有數據的能力,而每個網絡接口都還應該有一個硬件地址,該硬件地址不同於網絡中存在的其他網絡接口的硬件地址,同時,每個網絡至少還要一個廣播地址。(代表所有的接口地址),在正常情況下,一個合法的網絡接口應該只響應這樣的兩種數據幀:
1、幀的目標區域具有和本地網絡接口相匹配的硬件地址。
2、幀的目標區域具有"廣播地址"。
在接受到上面兩種情況的數據包時,nc通過cpu產生一個硬件中斷,該中斷能引起操作系統注意,然後將幀中所包含的數據傳送給系統進一步處理。
而sniffer就是一種能將本地nc狀態設成(promiscuous)狀態的軟件,當nc處於這種"混雜"方式時,該nc具備"廣播地址",它對所有遭遇到的每一個幀都產生一個硬件中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。(絕大多數的nc具備置成 promiscuous方式的能力)
可見,sniffer工作在網絡環境中的底層,它會攔截所有的正在網絡上傳送的數據,並且通過相應的軟件處理,可以實時分析這些數據的內容,進而分析所處的網絡狀態和整體佈局。值得注意的是:sniffer是極其安靜的,它是一種消極的安全攻擊。
通常sniffer所要關心的內容可以分成這樣幾類:
1、口令
我想這是絕大多數非法使用sniffer的理由,sniffer可以記錄到明文傳送的userid和passwd.就算你在網絡傳送過程中使用了加密的數據,sniffer記錄的數據一樣有可能使入侵者在家裡邊吃肉串邊想辦法算出你的算法。
2、金融帳號
許多用戶很放心在網上使用自己的信用卡或現金帳號,然而sniffer可以很輕鬆截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin.
3、偷窺機密或敏感的信息數據
通過攔截數據包,入侵者可以很方便記錄別人之間敏感的信息傳送,或者乾脆攔截整個的email會話過程。
4、窺探低級的協議信息。
這是很可怕的事,我認為,通過對底層的信息協議記錄,比如記錄兩台主機之間的網絡接口地址、遠程網絡接口ip地址、ip路由信息和tcp連接的字節順序號碼等。這些信息由非法入侵的人掌握後將對網絡安全構成極大的危害,通常有人用sniffer收集這些信息只有一個原因:他正在進行一次欺詐,(通常的ip地址欺詐就要求你準確插入tcp連接的字節順序號,這將在以後整理的文章中指出)如果某人很關心這個問題,那麼sniffer對他來說只是前奏,今後的問題要大得多。(對於高級的hacker而言,我想這是使用sniffer的唯一理由吧)
三、 哪裡可以得到sniffer
Sniffer是黑客們最常用的入侵手段之一。你可以在經過允許的網絡中運行sniffer,瞭解它是如何有效地危及本地機器安全。
Sniffer可以是硬件,也可以是軟件。現在品種最多,應用最廣的是軟件Sniffer,絕大多數黑客們用的也是軟件Sniffer。
以下是一些也被廣泛用於調試網絡故障的sniffer工具:
商用sniffer:
1. Network General.
Network General開發了多種產品。最重要的是Expert Sniffer,它不僅僅可以sniff,還能夠通過高性能的專門系統發送/接收數據包,幫助診斷故障。還有一個增強產品"Distrbuted Sniffer System"可以將UNIX工作站作為sniffer控制台,而將sniffer agents(代理)分佈到遠程主機上。
2. Microsoft』s Net Monitor
對於某些商業站點,可能同時需要運行多種協議--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到一種sniffer幫助解決網絡問題,因為許多sniffer往往將某些正確的協議數據包當成了錯誤數據包。Microsoft的Net Monitor(以前叫Bloodhound)可以解決這個難題。它能夠正確區分諸如Netware控制數據包、NT NetBios名字服務廣播等獨特的數據包。(etherfind只會將這些數據包標識為類型0000的廣播數據包。)這個工具運行在MS Windows 平台上。它甚至能夠按MAC地址(或主機名)進行網絡統計和會話信息監視。只需簡單地單擊某個會話即可獲得tcpdump標準的輸出。過濾器設置也是最為簡單的,只要在一個對話框中單擊需要監視的主機即可。
免費軟件sniffer
1. Sniffit由Lawrence Berkeley 實驗室開發,運行於Solaris、SGI和Linux等平台。可以選擇源、目標地址或地址集合,還可以選擇監聽的端口、協議和網絡接口等。這個SNIFFER默認狀態下只接受最先的400個字節的信息包,這對於一次登陸會話進程剛剛好。
2. SNORT:這個SNIFFER有很多選項供你使用並可移植性強,可以記錄一些連接信息,用來跟蹤一些網絡活動。
3. TCPDUMP:這個SNIFFER很有名,linux,FREEBSD還搭帶在系統上,是一個被很多UNIX高手認為是一個專業的網絡管理工具,記得以前TsutomuShimomura(應該叫下村侵吧)就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統的記錄,後來就配合FBI抓住了KEVINMITNICK,後來他寫了一文:使用這些LOG記錄描述了那次的攻擊,HowMitnickhackedTsutomuShimomurawithanIPsequenceattack
(訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
4. ADMsniff:這是非常有名的ADM黑客集團寫的一個SNIFFER程序。
5. linsniffer:這是一個專門設計雜一LINUX平台上的SNIFFER。
6. Esniffer:這個也是一個比較有名的SNIFFER程序。
7. Solsniffer:這是個Solarissniffer,主要是修改了SunSniff專門用來可以方便的在Solair平台上編譯。
8. Ethereal是一基於GTK+的一個圖形化Sniffer
9. Gobbler(for MS-DOS&Win95)、Netman、NitWit、Ethload...等等。
四、sniffer的安裝使用。
我主要以sniffit為例分別介紹在nt和linux下的應用。
[1] 在linux下的sniffit
安裝軟件的安裝很簡單:
1、用tar zvfx sniffit.*.*.*.tgz將下載下來的sniffit.*.*.*.tgz解壓縮到你想要的目的文件夾,如果版本是0.3.7的話,你會看到該目錄下出現一個sniffit.0.3.7的目錄。
2、cd sniffit.0.3.7
3、./configure && make,只要在這個過程中終端上沒有意外的error信息
出現,你就算編譯成功了--可以得到一個二進制的sniffit文件。
4、make clean把不用的垃圾掃掉……
、使用方法
1、參數
這個東東具有如下的命令選項:
-v顯示版本信息
-t讓程序去監聽指定流向某IP的數據包
-s讓程序去監聽從某IP流出的IP數據包,可以使用@通配符,如-t199.145.@
-i顯示出窗口界面,能察看當前在你所屬網絡上進行連接的機器
-I擴展的交互模式,忽略所有其它選項,比-i強大得多……
-c利用腳本來運行程序
-F強制使程序使用網絡硬盤
-n顯示出假的數據包。像使用ARP、RARP或者其他不是IP的數據包也會顯示出來
-N只運行plugin時的選項,使其它選項失效
在-i模式下無法工作的參數:
-b同時做-t和-s的工作……
-d將監聽所得內容顯示在當前終端--以十六進製表示
-a將監聽所得內容顯示在當前終端--以ASCII字符表示
-x打印TCP包的擴展信息(SEQ,ACK,Flags),可以與』-a』,』-d』,』-s』,』-t』,』-b』一起運作,注意-- 它是輸出在標準輸出的,如果只用-t,-s,-b 而沒有其它參數配合的話不會被寫入文件。
-R將所有通信記錄在文件中
-r這一選項將記錄文件送往sniffit,它需要-F的參數配合指明設備,假設你用』eth0』(第一塊網卡)來記錄文件,你必須在命令行裡面加上』-Feth0』或者』或者』或者』或者』或者』-Feth』-A遇到不認識的字符時用指定的字符代替-P定義監聽的協議,DEFAULT為TCP--也可以選IP、ICMP、UDP……
-p定義監聽端口,默認為全部
-l設定數據包大小,default是300字節。
-M激活插件
-I,-i模式下的參數
-D所有的記錄會被送到這個磁盤上。
-c模式下的參數
-L
其中logparam可以是如下的內容:
raw:輕度
norm:常規
telnet:記錄口令(端口23)
ftp:記錄口令(端口21)
mail:記錄信件內容(端口25)
比如說"ftpmailnorm"就是一個合法的logparam
2、圖形仿真界面
就是上面所說的-i選項啦,我們輸入sniffit-i會出現一個窗口環境,從中可以看到自己所在的網絡中有哪些機器正在連接,使用什麼端口號,其中可用的命令如下:
q退出窗口環境,結束程序
r刷新屏幕,重新顯示正在在連線的機器
n產生一個小窗口,包括TCP、IP、ICMP、UDP等協議的流量
g產生數據包,正常情況下只有UDP協議才會產生,執行此命令要回答一些
關於數據包的問題
F1改變來源網域的IP地址,默認為全部
F2改變目的網域的IP地址,默認為全部
F3改變來源機器的端口號,默認為全部
F4改變目的機器的端口號,默認為全部
五、一些示例
假設有以下的設置:在一個子網中有兩台主機,一台運行了sniffer,我們稱之為sniffit.com,另一台是66.66.66.7,我們稱之為target.com。
<1>你希望檢查sniffer是否能運行sniffit:~/#sniffit-d-p7-t66.66.66.7 並且開另一個窗口:
sniffit:~/$telnettarget.com7
你可以看到sniffer將你telnet到對方7號端口echo服務的包捕獲了。
<2>你希望截獲target.com上的用戶密碼
sniffit:~/#sniffit-p23-t66.66.66.7
<3>target.com主機的根用戶聲稱有奇怪的FTP連接並且希望找出他們的擊鍵
sniffit:~/#sniffit-p21-l0-t66.66.66.7
<4>你希望能閱讀所有進出target.com的信件
sniffit:~/#sniffit-p25-l0-b-t66.66.66.7&或者sniffit:~/#sniffit-p25-l0-b-s66.66.66.7&
<5>你希望使用用戶交互界面
sniffit:~/#sniffit-i
<6>有錯誤發生而且你希望截獲控制信息
sniffit:~/#sniffit-Picmp-b-s66.66.66.7
<7>Gowildonscrollingthescreen.
sniffit:~/#sniffit-Pip-Picmp-Ptcp-p0-b-a-d-x-s66.66.66.7
與之效果相當的是sniffit:~/#sniffit-Pipicmptcp-p0-b-a-d-x-s66.66.66.7
<8>你可以用』more66*』讀取下列方式記錄下的密碼
sniffit:~/#sniffit-p23-A.-t66.66.66.7或者sniffit:~/#sniffit-p23-A^-tdummy.net
六、高級應用
1、用腳本執行
這是配合選項-c的,其執行方法也很簡單,比如以如下方式編輯一個叫sh的文件
selectfromhost180.180.180.1
selecttohost180.180.180.10
selectbothport21
然後執行:sniffit-csh
說明:監聽從180.180.180.1送往180.180.180.10的數據包,端口為FTP口。這裡不做更多說明,你可以自己去看裡面的README。
2、插件
要獲取一個插件是很簡單的,你將它放入sniffit的目錄下,並且象如下方式編輯sn_plugin.h文件:
#define PLUGIN1_NAME "Myplugin"
#define PLUGIN1(x) main_plugin_function(x)
#include "my_plugin.plug"
注意:
a)你可以讓plugin從0-9,所以從PLUGIN0_NAME到PLUGIN1_NAME……不必是連續的
d)#include"my_plugin.plug"這是我的插件源代碼放置的地方。如果想詳細瞭解的話,還是看看裡面的plugin.howto吧。
3、介紹tod
這東東便是sniffit最有名的一個插件了,為什麼叫TOD呢--touchofdeath,它可以輕易地切斷一個TCP連接,原理是向一個TCP連接中的一台主機發送一個斷開連接的IP包,這個IP包的RST位置1,便可以了。
將下載下來的tod.tar.gz拷貝到sniffit所在目錄下,解壓安裝後ln-stodsniffit_key5就可以將這相程序與F5鍵連接起來,想切斷哪台機器的話,只要在窗口中將光標指到需要斷線的機器上按下F5鍵就可以了。你可以自由地定義成其它的F功能鍵--F1~F4不行,它們已經被定義過了……
[2] 在NT下的sniffit
Sniffit 0.3.7推出了NT版本,也支持WINDOWS2000,這個sniffit需要WinPcap包,就是類似與libpcap的包,支持WIN32平台上可以信息包捕獲和網絡分析,是基於UNIX的libpcap和BPF(Berkeley 分幀過濾器)模型的包。它包括內核級的包過濾驅動程序,低級動態連接庫(packet.dll),和高級系統無關性庫(libpcap,基於0.4a6版本)。
這個WinPcap信息包捕獲啟動程序可把設備驅動增加在Windows 95, Windows 98, Windows NT 和 Windows 2000 上,可以有能力捕獲和發送通過原始套接口的信息包(raw packets),Packet.dll是一個能用來直接訪問BPF驅動程序的API。
WinPcap在http://netgroup-serv.polito.it/windump和http://netgroup-serv.polito.it/analyzer這兩個工具中成功應用。最新的WinPcap是版本2.02,修補了2.01版本中的一些缺陷,並且支持WIN2000。具體信息和源代碼可以在下面這個站點找到:
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
下面是在WIN2K中安裝的步驟:
1)先下載packet.exe這個程序後展開安裝。
2)打開WINDOWS2000的控制面板
3)從控制面板中雙擊"網絡和撥號連接"圖標,在打開"本地連接"圖標,並選擇屬性選項。
4)在顯示的對話框中選擇"安裝",安裝網絡組件。
5)再在出現的對話框中選擇"協議",點擊"增加"。
6)在出現的對話框中選擇"從磁盤安裝",選擇正確路徑,就是剛才你解壓的網絡設備驅動程序(這個文件夾中必須包含packet.inf和packet.sys)的地方,在選擇確定。
7)在選擇"Packet capture Driver v X.XX ",並按照指示來完成安裝,往往要你WINDOWS2000的安裝光盤。
8)查看網絡組件中有沒有 Packet capture Driver v X.XX 這一行,有的話說明這個驅動程序已經建立並綁定了網絡接口。
再重新啟動機器。然後解壓sniffit_nt.0.3.7.beta,再使用命令行模式,我簡單的使用了一個命令行,剛開始是使用sniffit -t 192.168.0.1 -p 21,想監視下21 FTP端口的密碼捕獲成不成功,但出現"Automatic network device lookup not yet supported in Win32 version... use 』-F /Device/Packet_{31BB7ED2-125E-11D4-8F11-D79985727802}』 to force the choice,Read the README.FIRST on how to force network devices.的提示,於是我按照其提示所示,使用了sniffit -F /Device/packet_{31BB7ED2-125E-11D4-8F11-D79985727 802} -t 192.168.0.1 -p 21命令,這時出現下面的提示:
Forcing device to /Device/packet_{31BB7ED2-125E-11D4-8F1 quested)...
Make sure you have read the docs carefully.
Sniffit.0.3.7 Beta is up and running.... (192.168.0.1)
這就表明sniffit在工作了,於是在FTP到NT的端口,輸入密碼,隨即就可以在剛才SNIFFIT的目錄下看到一個關於192.168.0.2.1281-192.168.0.1.21的文件,打開後查看裡面的內容如下所示:
USER xundi
PASS xxxxxxx-------->我隱藏了,XIXI
SYST
PORT 192,168,0,2,5,2
LIST
PORT 192,168,0,2,5,3
LIST
CWD g:
CWD c
PORT 192,168,0,2,5,26
LIST
CWD hack
PORT 192,168,0,2,5,88
LIST
看,是不是很整潔啊,至於文件名為何是這樣192.168.0.2.1281-192.168.0.1.21,那是應該是一個客戶/服務器模式,客戶端的連接是隨意開一個1281端口地址和192.168.0.1的21口連接。
七、如何監測主機正在竊聽(sniffed)
如何才知道有沒有sniffer在我的網上跑呢?這也是一個很難說明的問題,比較有說服力的理由證明你的網絡有sniffer目前有這麼幾條:
1、你的網絡通訊掉包率反常的高。
通過一些網絡軟件,你可以看到你的信息包傳送情況(不是sniffer),向ping這樣的命令會告訴你掉了百分幾的包。如果網絡中有人在聽,那麼你的信息包傳送將無法每次都順暢的流到你的目的地。(這是由於sniffer攔
截每個包導致的)
2、你的網絡帶寬將出現反常。
通過某些帶寬控制器(通常是火牆所帶),你可以實時看到目前網絡帶寬的分佈情況,如果某台機器長時間的佔用了較大的帶寬,這台機器就有可能在聽。在非高速信道上,如56Kddn等,如果網絡中存在sniffer,你應該也可以察覺出網絡通訊速度的變化。
3、通常一個sniffer的記錄文件會很快增大並填滿文件空間。在一個大型網絡中,sniffer明顯加重機器負荷。這些警告信息往往能夠幫助管理員發現sniffer。
4、一個主機上的sniffer會將網絡接口置為混雜模式以接收所有數據包。對於某些UNIX系統, 通過監測到混雜模式的網絡接口。雖然可以在非混雜模式下運行sniffer,但這樣將只能捕獲本 機會話。只有混雜模式下的 sniffing才能捕獲以太網中的所有會話,其它模式只能捕獲本機會話。
對於SunOS、linux和其它BSD Unix系統,如下命令:
"ifconfig -a"
會顯示所有網絡接口信息和是否在混雜模式。DEC OSF/1和IRIX等系統需要指定設備。要找到系統中有什麼網絡接口,可以運行如下命令:
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default iss.net UG 1 24949 le0
localhost localhost UH 2 83 lo0
然後通過如下命令檢查每個網絡接口:
#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
入侵者經常會替換ifconfig等命令來避開檢查,因此一定要檢查命令程序的校驗值。
在ftp.cert.org:/pub/tools/的cpm程序(SunOS平台)可以檢查接口是否有混雜模式標記。
這些命令只在sniffer與內核存在鏈接時有效。而在缺省情況,sniffer是沒有與內核鏈接的。大多數的Unix系統,例如Irix、Solaris、SCO等,都沒有任何標記來指示是否處於混雜模式,因此入侵者能夠竊聽整個網絡而卻無法監測到它。
如果機器上使用兩塊網卡,把一塊設置為雜亂模式,並把IP地址設置為0.0.0.0,另一塊卡處於正常的模式並是正確的地址,這樣將很難發現SNIFFER的存在。
注意:要監測只採集數據而不對任何信息進行響應的竊聽設備,需要逐個仔細檢查以太網上所有物理連接,不可能僅通過遠程發送數據包或ping就可以檢查計算機是否正在竊聽.
八、如何阻止sniffer
<1>交換
隨著交換機的成本和價格的大幅度降低,交換機已成為非常有效的使sniffer失效的設備。目前最常見的交換機在第三層(網絡層)根據數據包目標地址進行轉發,而不太採取集線器的廣播方式,從理論上講,通過交換設備對網絡進行分段後,sniffer將無法透過邊界而窺探另一邊的數據包。但是,請注意:這是在邊界設備不轉發廣播包的情況下(這也是通常的網絡情況)。一旦入侵者使用spoofer誘騙某個邊界設備而將自己的廣播包流入不該進入的網段後,原理上還是在一個共享設備端使用sniffer,而實際上將是聽到了邊界的另一邊).當然,這樣會牽涉到ip欺詐和Mac欺詐的問題,然而,你別忘了,sniffer和spoofer是很少分開來的。
<2>加密
目前有許多軟件包可用於加密連接,從而使入侵者即使捕獲到數據,但無法將數據解密而失去竊聽的意義。
<3>入侵檢測
使用諸如Tripwire之類的工具,生成文件系統的MD5"數據指紋",及時發現被修改的系統文件;
<4)使用antisniffer軟件
一些流行的檢測SNIFFER的程序:
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。 --是一個很小的C程序,當編譯好後,會查找本地機器上任何處於雜亂模式的NIC網絡適配卡。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。 --是一個用來遠程檢查任何嗅探活動的程序,可惜它只在LINUX下編譯,當然你也可以簡單的使用』ifconfig-a』來檢查你的UNIX機器是否有PROMISC標誌。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。這是L0pht寫的很好的反SNIFFER程序,L0PHT還打算公開LINUX版本上的源碼版本。
下面我介紹一下sentinel的用法
Sentinel主要是設計思想是portable,arrcurate implementation,就是說小巧點,精確實現幾個熟知的雜亂方式探測技術。其中Sentinel支持三種方法的遠程雜亂探測模式:DNS測試,Etherping測試,和ARP測試,其中還有一種ICMP ping Latency(ICMP PING反應時間)正在開發中。
此程序需要Libnet和libpcap庫來支持,大家可以到下面的地址去下載:
LIbnet 1.0: 訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
libpcap 0.4: 訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
首先說下它其中使用的三種模式:
--ARP測試模式:
這種方法是採用發送一個ARP請求,其中包含所有正確信息除了偽造的目標主機MAC硬件地址給我們的目標主機,這樣如果目標主機沒有處於雜亂模式,它將不會理睬這些信息包,因為這些信息包其認為不是指定給它們的,所以不會進行響應和回復,但如果此目標機器處於雜亂模式,ARP請求就會發生並進行內核處理,通過機器的回應信息我們就可以知道其處於雜亂模式。這種方法結合內核的特性來查看機器的運作狀態,請看下面的Etherping 測試模式。
-- DNS測試模式:
DNS測試主要是針對網絡數據收集工具能執行IP到名字反轉解析來提供DNS名字來代替IP地址(The DNS tests operate on the premise that many attacker network data gathering tools perform IP to name inverse resolution to provide DNS names in place of IP addresses)。在執行反轉查詢中,工具會從被動網絡工具
模式轉變為主動網絡工具,而那些沒有監視網絡書記的工具就不會去解析信息包中的IP地址。利用這種信息,ANTI SNIFFER工具可以自身在本地主機中變為雜亂模式並在我們網絡中發送無數個偽造的主機,這樣,ANTI SNIFFER
工具就可以嗅探DNS請求來查看目標是否在請求解析那些不存在主機。
--Etherping 測試模式:
Etherping 測試模式依賴於目標主機的內核,也就所謂的內核測試。在通常情況下,硬件網絡接口卡過濾和丟棄那些MAC地址不同於自己機器上的MAC地址的信息包或者不是廣播Ethernet 地址的地址。就是說信息包是正確和實際的Ethernet地址或者是廣播Ethernet地址,接口就會把這些地址COPY和傳遞給內核進行進一步處理。
但某些系統假定包含在以太幀中的數據包含某個目標主機中正確的IP地址或者廣播地址,但具有不同於本地主機的MAC地址,當NIC設置為雜亂模式,發送給目標主機的每個數據包它還是傻傻的傳遞給操作系統進行分析。這樣通過發送包含正確IP地址和不正確MAC地址的ICMP ECHO包給要檢測的主機,如果目標主機回應了我們的請求,我們就知道其處於雜亂模式了。
多種LINUX內核存在這種問題,其中NETBSD也可以利用這個問題來檢測雜亂模式,但需要使用廣播地址的信息包,這種信息包使用帶偽造ether幀的IP地址,如66:66:66:66:66:66.
關於WINDOWS95,98,NT的操作系統在雜亂模式中確實是檢查信息包ETHER地址的,如果信息包的NIC ETHER地址符合本地主機就讓堆棧來處理。但WINDOWS對廣播的ether信息包存在問題,在普通環境下,如機器不在雜亂模式下,NIC只把含有起本身MAC地址的信息包或者ether地址是ff:ff:ff:ff:ff:ff傳遞給內核。但當在雜亂模式中驅動程序是檢查ETHER地址,但它只檢查ETHER地址的第一個八未組是否為Oxff就來判斷信息包是否為廣播或者其他,因此如果我們建立一個包含EHTER地址為ff:00:00:00:00:00的IP正確的信息包並發送給目標機器,如果其進行了響應的回應,就表示起處於雜亂模式。
但對WINDOWS的這種方法是依賴於所用的驅動程序的,默認的微軟驅動程序有此特性並且大多數供應商的驅動程序也有此特性,但某些NIC過濾廣播只是依靠第一個八為組,所以這些卡不適合此方法。
--網絡和機器的反應時間測試(也可以說ICMP PING反應時間):
這種模式是比較有效的測試方法,依據是靠對操作系統的影響來測試。但其中的壞處就是這些測試會在短期內產生一些多數量的網絡通信。
這些測試假定當網絡卡不處於雜亂模式時提供硬件過濾,這樣的話,信息包不是指定給本身機器的將被網絡卡丟棄。當在這中情況下,在網絡通信信息量將動態增長對操作系統的影響很小,相反的處於雜亂狀態的機器由於不
對這層進行過濾,就把這些信息傳遞給系統或者用戶模式進行過濾,會對操作系統產生比較大的影響。簡單的說,我們先正常情況下PING一機器,再我們構建很多偽造的TCP連接來ping程序來ping目標,並且注意RTT(round
trip time),這樣處於雜亂模式的機器由於會處理這些垃圾信息包,並影響系統並導致網絡反映時間增加,然後來比較各個RTT,經過多次測試和人工判斷就能決定目標機器上是否存在SNIFFER。
Sentinel是根據這些方法來進行測試的程序,是有源代碼形式發放的。使用於OPENBSD 2.6 ;FREEBSD 3.X;NETBSD 1.4.1;LINUX2.2.X平台。
編譯後使用方法為:
#./sentinel -t 192.168.0.1 -a 是ARP測試。
#./sentinel -t 192.168.0.1 -e 是etherping test;
#./sentinel -t 192.168.0.1 -f 1.1.1.1 -d 是DNS測試;
|
