Xiaopei's DokuWiki

These are the good times in your life,
so put on a smile and it'll be alright

User Tools

Site Tools


it:sniff

Sniff

定义(Sniffer)

A packet analyzer (also known as a network analyzer, protocol analyzer, or packet sniffer, or for particular types of networks, an Ethernet sniffer or wireless sniffer) is a computer program or a piece of computer hardware that can intercept and log traffic passing over a digital network or part of a network. As data streams flow across the network, the sniffer captures each packet and, if needed, decodes the packet's raw data, showing the values of various fields in the packet, and analyzes its content according to the appropriate RFC or other specifications.

方法

合法

网络分流器(network tap)

非法

网络网络类型嗅探方法
早期以太网共享式设置网卡混杂模式(Promiscuous Mode)
现代以太网交换式MAC洪水包1), MAC复制2), ARP欺骗3)
无线局域网共享式设置网卡混杂模式(Promiscuous Mode)FIXME

further reading: 交换网络嗅探原理

用途

  • 分析网络信息流通量
  • 探测企图入侵网络的攻击
  • 探测由内部和外部的用户滥用网络资源
  • 探测网络入侵后的影响
  • 监测链接互联网宽频流量
  • 监测网络使用流量(包括内部用户,外部用户和系统)
  • 监测互联网和用户电脑的安全状态
  • 获取其他用户帐号与密码等机密信息
  • 渗透与欺骗

工具

tcpdump - 抓什么包?

tcpdump 是一个运行在命令行下的嗅探工具。它允许用户拦截和显示发送或收到的网络连接到该计算机的TCP/IP和其他数据包。

SYNOPSIS

$ tcpdump [ options ] [ expression ]
# options 详见 man
# expression 为 pcap-filter, 详见 man

EXAMPLES

# 抓192.168.1.123的80端口的包 
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
 
# 只抓 icmp
tcpdump -v icmp

更多例子:

refs

  • man tcpdump
  • man 7 pcap-filter

wireshark - 怎么分析?

Wireshark(前称Ethereal)是一个 GUI 网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。

tcpdump 抓下来的文件可以直接用 wireshark 打开

1)
如果恶意攻击者向交换机发送大量的虚假MAC地址数据,有些交换机在应接不暇的情况下,就会降低自己的“身价”,象一台普通的Hub那样只是简单的向所有端口广播数据了,嗅探者正好借此机会来达到窃听的目的。不过,并不是所有交换机都是这样的处理方式,况且,如果交换机使用静态地址映射表,这种方法就失灵了。
2)
实际上就是修改本地的MAC地址,使其与欲嗅探主机的MAC地址相同,这样,交换机将会发现,有两个端口对应相同的MAC地址,于是到该MAC地址的数据包将同时从这两个交换机端口中发送出去。这种方法与后面将要提到的ARP欺骗有本质的不同,前者是欺骗交换机,后者则是毒害主机的ARP缓存而与交换机没有关系。但是,只要简单设置交换机使用静态地址映射表,这种欺骗方式也就失效了。
3)
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的,黑客一方面得到了想要得到的通信内容,另一方面,只需要更改数据包中的一些信息,成功的做好转发工作即可。对局域网内某台主机与外部主机之间的通信进行嗅探,这时候,一方面要对内部网络中的主机进行ARP欺骗,另一方面,要对连接内外网络的网关进行欺骗
it/sniff.txt · Last modified: 2013/08/19 07:22 (external edit)