网管们应当注意嗅探器的很多合法用途 。网管可以用它们找出网络上出问题的计算机,比如占用太多带宽,网络设置错误或者正在运行恶意软件等等 。我觉得它们在找出安全攻击方面非常有用,我可以用它们嗅探自己的服务器找出那些不正常的传输 。学会用嗅探器来找出网络的问题的话,每个系统管理员都能很好地完成自己的工作,我推荐你们使用Wireshark,因为它是免费的、跨平台的并且能够找到大量的相关资料(可以从本文结尾的链接中找到更多信息) 。
那些想要绕过安全措施的人也可以用嗅探器 。很多流行的应用协议把登陆凭证(用户名和密码)以纯文本的形式传递或者使用加密性差的形式传送 。这些不安全的协议包括FTP、Telnet、POP3、SMTP还有HTTP基本验证 。这种情况下应尽量使用替代它们的SFTP,SSH(安全保护套件),以及HTTPS(SSL) 。也许你很难从FTP协议切换到别的协议,因为使用像SFTP这样更安全的协议的客户端并不一定总是有 。较新版本的Windows(命令行的ftp.exe以及图形用户界面形式的浏览器)都支持FTP客户端,但是你也可以下载支持SFTP的Filezilla和PSFTP的免费客户端 。有些嗅探器拥有很强的提取密码的能力,比如Cain,Dsniff以及Ettercap 。这三个都是免费或者开放源码的 。Cain只支持Windows而Dsniff和Ettercap通常在Unix环境中运行,但也有相应的Windows版本 。
ARP欺骗/ARP病毒
ARP是指地址解析协议,它允许网络将IP地址解析成MAC地址 。基本上,ARP是这样工作的:当某个使用局域网IP的主机想要与另一台主机联络的时候,它需要那台主机的MAC地址 。首先,它会查询自己的ARP缓存(想要查看你的ARP缓存,在命令行中输入ARP),看看是否已经知道那台主机的MAC地址,如果没有,它会发出广播ARP请求,询问谁拥有我正在找的主机的IP地址?;如果拥有该地址的主机收到该ARP请求,它就会用自己的MAC地址响应,于是两台主机就可以使用IP进行对话了 。通常,在像以太网这样使用Hub或者801.11b标准的总线网络中,所有NICs(网络接口卡)为混杂模式的主机都能收到所有的传输,但是在使用交换机的网络中却有所不同 。交换机会查看发送给它的数据,并只把数据包传给它的目标MAC地址所属主机 。使用交换机的网络更安全一些并且能够提高网速,因为它只把数据包发给需要去的地方 。但是仍然有突破这种网络的方法 。使用Arpspoof(Dsniff的部分功能),Ettercap或者Cain我们就可以欺骗局域网中的其他主机,告诉它们,我们就是它们要找的那个主机,把它们传输通过我们来转发 。
即使是使用交换机的网络,攻击者也可以很容易地从恢复启动CD中使用Dsniff或者Ettercap,来进行ARP欺骗并将传输转为通过它们来进行 。这些工具甚至能够自动解析出用户名和密码,这给使用者提供极大的便利 。如果攻击者在网关和FTP服务器之间进行ARP欺骗,那么它就能嗅探传输并在用户试图从站点外获取数据的时候提取用户名和密码,使用SMTP和POP3也是一样 。即使是用SFTP、SSL以及SSH,仍然可以用Ettercap嗅探密码,因为该工具可以代理那些类型的连接 。用户可能会收到警告说,他们试图获得的服务器的公共密钥已经被修改,或者可能不合法,但是我们中有多少人只是将那些信息关闭而根本不读呢?
图1中的图片说明了ARP欺骗/ARP病毒如何工作的 。基本上,攻击者跟Alan的电脑说,他就是Brain的电脑,反之亦然 。这样,攻击者把Alan和Brain之间的网络传输全部接收过来了 。一旦攻击者在两个节点之间进行了ARP欺骗,他就可以用任何他喜欢的工具进行嗅探(TCPDump、Wireshark、Ngrep等等) 。在网关和电脑之间进行ARP欺骗的话,攻击者可以看到电脑正在发送和从网上接收的所有数据 。本文中我只会讲到如何使用这些工具 。
推荐阅读
- 五个顶级Linux安全工具大放送
- 避其锋芒 Linux操作系统入侵实例
- 二 用SRP建立安全的Linux Telnet服务器(图)
- Linux下防范缓冲区溢出攻击的系统安全策略
- Linux操作系统十大高级安全管理技巧
- 教你认识最常用的几张泰铢图
- 没戴安全帽怎么处理
- 冬季用电安全小知识
- 基于Linux的网络安全策略和保护措施
- 认识linux之 Linux Shells简介