网络监听软件 Sinffit 使用手册.docx
- 文档编号:6181606
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:15
- 大小:34.89KB
网络监听软件 Sinffit 使用手册.docx
《网络监听软件 Sinffit 使用手册.docx》由会员分享,可在线阅读,更多相关《网络监听软件 Sinffit 使用手册.docx(15页珍藏版)》请在冰豆网上搜索。
网络监听软件Sinffit使用手册
网络监听软件Sinffit使用手册
Sniffit是由LawrenceBerkeley实验室开发的,运行于Solaris,SGI和Linux等平台的一种免费网络监听软件,具有功能强大且使用方便的特点。
使用时,用户可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。
这一工具的一些命令行参数如下:
※-t
※-s
以上两个参数都可以用@来选择一个IP地址范围,例如:
-t199.145.@和-s199.14@
※-p
port缺省值是0。
★注意:
-t或-s适用于TCP/UDP数据包,对ICMP和IP也进行解释。
而-p只用于TCP和UDP数据包。
※-i交互模式,忽略其他参数。
如下所示是一些能与除了,-i之外参数组合使用的命令行参数:
※-b等同于同时使用了-t和-s,而不管使用了-t和-s中的哪一个。
※-a以ASCII形式将监听到的结果输出。
※-A
※-Pprotocol选择要检查的协议,缺省为TCP。
可能的选择有:
IP、TCP、ICMP、UDP或它们的组合。
假设有两台主机在一个子网中,一台正在运行sniffer,另一台主机的IP地址是nnn.nnn.nn.nn,一些例子如下:
想要记录从主机nnn.nnn.nn.nn上的一些用户的口令:
sniffit:
~/#sniffit-p23-tnnn.nnn.nn.nn
想要记录到主机nnn.nnn.nn.nn的ftp服务:
sniffit:
~/#sniffit-p21-l0-tnnn.nnn.nn.nn
记录所有发出和发往主机nnn.nnn.nn.nn的电子邮件信息:
sniffit:
~/#sniffit-p25-l0-b-tnnn.nnn.nn.nn&
或者
sniffit:
~/#sniffit-p25-l0-b-snnn.nnn.nn.nn&
想要使用有菜单的界面:
sniffit:
~/#sniffit-i
网络出现一些错误,想要查看控制消息:
sniffit:
~/#sniffit-picmp-b-snnn.nnn.nn.nn
将口令记录在以nnn开始的文件中,可以用catnnn*来查看:
sniffit:
~/#sniffit-p23-A.-tnnn.nnn.nn.nn
或者
sniffit:
~/#sniffit-p23-A^-t
下面是运行sniffit的一个例子:
#sniffit-a-A.-p23-t11.22.33.@
入口参数的设置非常简单,为:
-a接收所有信息;-A将不可打印字符用"."代替;-p监听端口23;-t目标地址在11.22.33子网范围(可以只监听一台主机或者是源主机)。
使用-s参数可以指定监听的源主机。
网络监听程序的人口参数其实非常简单,只要具有初步的网络知识便可以正确地使用它们。
以下是监听到的部分结果:
PacketIDfrom-1P.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..35.0......!
.(.......K.2.P.”/.:
....vt100..
出现vtl00的字样,是使用Telnet服务时,源主机与目标主机进行终端类型协商,在这一阶段源主机告诉目标主机自己使用的终端类型,这是一次远程终端服务的开始。
在这之后,很可能就会传输用户的登录名和口令字。
这里很清楚,使用端口1028的是客户端,而使用端口23的是服务器端。
PacketID(fromIP·port-toIP·port):
11.22.33.41.1028-11.22.33.14.23
E..+6.@......!
.............K.2CP.!
....
PacketID(fromIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..+9.0.......!
............:
K.21P.!
...
PacketID(fromIP.port_to_1P.port):
11.22.33.41.1028-11.22.33.14.23
E..):
.@.......!
.............K.21P.!
.......1
PacketID(fromIP.port-tO-1P.port):
11.22.33.41.1028-11.22.33.14.23
E..(;.@.......!
.............K.2JP.!
....
PacketID(fromIP.port-tO-1P.port):
11.22.33.41.1028-11.22.33.14.23
E..)<.@.......!
.............K.2JP.!
....
PacketID(fIOmIP.port-to-1P.port)11.22.33.41.1028-11.22.33.14.23-.
E..)<.@.:
.....!
.............K.2JP.!
....x
...
PacketID(fIOmIP.Polt-tO-1P.port卜11.22.33.41.1028-11.22.33.14.23
E..<=.@........!
.....:
.......K.2KP.!
....
PacketID(frolnIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..)>.@.......!
.............K.2KP.!
......g
PacketID(fromIP.port-to-1P.port卜11.22.33.41.1028-11.22.33.14.23
E..(?
.@.......!
.............K.2LP.!
....
可以看到,客户端向服务器发送出了几个包,其中有可打印字符,连起来就是“lxg\这很可能就是用户名了。
PacketID(frolnIP.port-toIP.port):
11.22.33.41.1028-11.2233.14.23
E..)C.@.......!
.............K.2WP.!
...7
PacketID(fromIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..)D.0.......!
.............K.2WP.!
....
PacketID(frolnIP.port-tO〕P.port):
11.22.33.41.1028-11.22.33.14.23
E..)D.0.......!
......:
......K.2WP.!
...2
PacketID(fronIIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..)E.@.......!
............K.2WP.!
.....1
PacketID(frOmIP.port-tO-1P.port卜11.22.33.41.1028-11.22.33.14.23
E..)F.@.......!
.............K.2WP.!
.......2
PacketID(frorrtIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..)c.@....已..!
.............K.2WP.!
.......1
Packet=ID(fromIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..)H.0.......!
.............K.2MP.!
.......6
PacketID(fromIP.port-toIP.port):
11.22.33.41.1028-11.22.33.14.23
E..)1.@.......!
.............K.2WP.!
....
又得到了一个字串,连起来是“721216”。
这应该是用户的口令了。
Packet10(fromIP.port-to-1P.port):
11.22.33.41.1028-11.22.33.4`.23
E..)M.@........!
.............K.4.P..E.....e
Pacbt1D(fromIP.port-tO-1P.port):
11.22.33.41.1028-11.22.33.41.1028
E..(N·@........!
.............K.4.P..D..
PaCketID(fromIP.port-to-1P.port):
11.22.33.41.1028-11.22.33.41.1028
E..)0.@........!
.............K.4.P..D.....x
Packet1D(fromIP.port-tO-1P.port):
11.22.33.41.1028-11.22.33.41.1028
E..(P.0........!
.............K.4.P..C..
PacketID(fromIP.port-to-1P.port):
11.22.33.41.1028-11.22.33.14.23
E..)Q.@........!
.............K.4.P..C......i
Packet1D(fronlIP.port-to-1P.port):
11.22.33.41.1028-11.22.33.41.1028
E、·)R.@........!
.............K.4.P..B.....t
Packet1D(frolnIP.port-tO-1P.port):
11.22.33.41.1028-11.22.33.41.1028
E..(3.@........!
.............K.4.P..A...
可以看到,这个用户执行了一个命令:
exit。
全部连起来,易知这个连接的有效部分是:
..........vtl00..1xg..........721216..........exit..........
事实上,sniffit完全可以产生这样一个综合的结果,并且在本目录下生成一个类似于xxx.xxx.xxx.xxx.nn-yyy.yyy.yyy.yyy.mm为文件名的文件。
其中,
xxx.xxx.xxx.xxx和yyy.yyy.yyy.yyy是两个IP地址,而mm和nn是通信双方的端口号。
另外,这个工具还可以用在交互模式下,在此模式下:
※F1or"1"输入一个主机地址进行监听,该主机发送数据包。
※F2or"2"输入一个主机地址进行监听,该主机接收数据包。
※F3or"3"输入一个端口号进行监听,该主机是发送数据包的。
※F4or"4"输入一个端口号进行监听,该主机是接收数据包的。
※F5or"5"使用参数<frOmIP><frOmport><toIP><toport>来启动一个程序。
现在,在sniffit中,可以加入一种称为ToD的程序,英文名字是“TOuchofDeatch”,也叫做“TCP杀手”。
当监听到一个TCP连接(这个连接是某两台主机间的TCP连接,与监听程序所在的主机一点关系也没有)时,按下F5键,便可以将这个无辜的TCp连接切断。
可以想象,当某一个用户好不容易连到一台主机,正准备工作时,连接突然中断,需要重新进行连接,这时候该多丧气呀。
这种方法的原理其实很简单,只是向一个TCP连接的其中一台主机发送一个断开连接的IP包(将IP包的RST位设置为1)即可
SNIFFER(嗅探器)-简介
Sniffer(嗅探器)是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义:
Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
在合理的网络中,sniffer的存在对系统管理员是致关重要的,系统管理员通过sniffer可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议,借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
嗅探器与一般的键盘捕获程序不同。
键盘捕获程序捕获在终端上输入的键值,而嗅探器则捕获真实的网络报文。
为了对sniffer的工作原理有一个深入的了解,我们先简单介绍一下HUB与网卡的原理。
预备知识
HUB工作原理
由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是当一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给其他的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。
交换式HUB的内部单片程序能记住每个口的MAC地址,以后就该哪个机器接收就发往哪个口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。
显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的口之间也可以同时传输。
这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收,只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。
网卡工作原理
再讲讲网卡的工作原理。
网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就在接收后产生中断信号通知CPU,认为不该接收就丢弃不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。
CPU得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
局域网如何工作
数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成,不同的部分执行不同的功能。
(例如,以太网的前12个字节存放的是源和目的的地址,这些位告诉网络:
数据的来源和去处。
以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。
帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。
通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。
就是在这个传输和接收的过程中,嗅探器会造成安全方面的问题。
通常在局域网(LAN)中同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都还应该有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。
(代表所有的接口地址),在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:
1、帧的目标区域具有和本地网络接口相匹配的硬件地址。
2、帧的目标区域具有“广播地址”。
在接受到上面两种情况的数据包时,网卡通过cpu产生一个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理。
当采用共享HUB,用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单的忽略这些数据)。
如果局域网中某台机器的网络接口处于杂收(promiscuous)模式(即网卡可以接收其收到的所有数据包,下面会详细地讲),那么它就可以捕获网络上所有的报文和帧,如果一台机器被配置成这样的方式,它(包括其软件)就是一个嗅探器。
Sniffer
Sniffer原理
有了这HUB、网卡的工作原理就可以开始讲讲SNIFFER。
首先,要知道SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。
显然只要通知网卡接收其收到的所有包(一般叫作杂收promiscuous模式:
指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。
),在共享HUB下就能接收到这个网段的所有包,但是交换HUB下就只能是自己的包加上广播包。
要想在交换HUB下接收别人的包,那就要让其发往你的机器所在口。
交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC,就像一个机器的IP与MAC对应的ARP列表,交换HUB维护一个物理口(就是HUB上的网线插口,这之后提到的所有HUB口都是指网线插口)与MAC的表,所以可以欺骗交换HUB的。
可以发一个包设置源MAC是你想接收的机器的MAC,那么交换HUB就把你机器的网线插的物理口与那个MAC对应起来了,以后发给那个MAC的包就发往你的网线插口了,也就是你的网卡可以SNIFFER到了。
注意这物理口与MAC的表与机器的ARP表一样是动态刷新的,那机器发包后交换HUB就又记住他的口了,所以实际上是两个在争,这只能应用在只要收听少量包就可以的场合。
内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器,如果要想不影响原来两方的通信,可以欺骗两方,让其都发给你的机器再由你的机器转发,相当于做中间人,这用ARP加上编程很容易实现。
并且现在很多设备支持远程管理,有很多交换HUB可以设置一个口监听别的口,不过这就要管理权限了。
利用这一点,可以将一台计算机的网络连接设置为接受所有以太网总线上的数据,从而实现sniffer。
Sniffer就是一种能将本地网卡状态设成‘杂收’状态的软件,当网卡处于这种“杂收”方式时,该网卡具备“广播地址”,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
(绝大多数的网卡具备置成杂收方式的能力)
可见,sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
值得注意的是:
sniffer是极其安静的,它是一种消极的安全攻击。
嗅探器在功能和设计方面有很多不同。
有些只能分析一种协议,而另一些可能能够分析几百种协议。
一般情况下,大多数的嗅探器至少能够分析下面的协议:
标准以太网、TCP/IP、IPX、DECNet。
嗅探器造成的危害
sniffing是作用在网络基础结构的底层。
通常情况下,用户并不直接和该层打交道,有些甚至不知道有这一层存在。
所以,应该说snffer的危害是相当之大的,通常,使用sniffer是在网络中进行欺骗的开始。
它可能造成的危害:
嗅探器能够捕获口令。
这大概是绝大多数非法使用sniffer的理由,sniffer可以记录到明文传送的userid和passwd。
能够捕获专用的或者机密的信息。
比如金融帐号,许多用户很放心在网上使用自己的信用卡或现金帐号,然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。
比如偷窥机密或敏感的信息数据,通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的email会话过程。
可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限。
窥探低级的协议信息。
这是很可怕的事,通过对底层的信息协议记录,比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。
这些信息由非法入侵的人掌握后将对网络安全构成极大的危害,通常有人用sniffer收集这些信息只有一个原因:
他正要进行一次欺骗(通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号),如果某人很关心这个问题,那么sniffer对他来说只是前奏,今后的问题要大得多。
(对于高级的hacker而言,我想这是使用sniffer的唯一理由吧)
事实上,如果你在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。
一般Sniffer只嗅探每个报文的前200到300个字节。
用户名和口令都包含在这一部分中,这是我们关心的真正部分。
工人,也可以嗅探给定接口上的所有报文,如果有足够的空间进行存储,有足够的那里进行处理的话,将会发现另一些非常有趣的东西……
简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。
将嗅探器放置于被攻击机器或网络附近,这样将捕获到很多口令,还有一个比较好的方法就是放在网关上。
sniffer通常运行在路由器,或有路由器功能的主机上。
这样就能对大量的数据进行监控。
sniffer属第二层次的攻击。
通常是攻击者已经进入了目标系统,然后使用sniffer这种攻击手段,以便得到更多的信息。
如果这样的话就能捕获网络和其他网络进行身份鉴别的过程
什么是sniffer和如何防止sniffer的监听(阅览8703次)
作者:
JasonDrury日期:
NOV.11.2000
翻译:
春之律---
简介:
sniffers(嗅探器)几乎和internet有一样久的历史了.他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具.不幸的是,crackers也会运行sniffers以暗中监视你的网络状况和窃走不同种类的数据.这篇文章讲讨论什嘛是sniffers,一些比较普遍的sniffers和如何保护自己不受损失.也讨论一种叫antisniff(防监听)的工具,它可以自动运行并发现运行在你网络中的sniffers.
什嘛是sniffer
在单选性网络中,以太网结构广播至网路上所有的机器,但是只有预定接受信息包的那台计算机才会响应.不过网路上其他的计算机同样会"看到"这个信息包,但是如果他们不是预定的接受者,他们会排除这个信息包.当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态,那么这台计算机就有能力浏览所有的在网络上通过的信息包.
如果你是个internet历史方面的白痴并且在想sniffer这个词从何而来.Sniffer是最初是网络的产物.然后成为市场销
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络监听软件 Sinffit 使用手册 网络 监听 软件