深入学习sniffer(如何检测)
上一篇 /
下一篇 2008-04-29 18:17:12
五、如何监测主机正在窃听(sniffed)ITPUB个人空间:Z�x�{�O/R$i*~:R
如何才知道有没有sniffer在我的网上跑呢?这也是一个很难说明的问题,比较有说服力的理由证明你的网络有sniffer目前有这么几条:ITPUB个人空间�F9r5I�Z�k�t�U
1、你的网络通讯掉包率反常的高。ITPUB个人空间4A$~�a�r�L�L�K
通过一些网络软件,你可以看到你的信息包传送情况(不是sniffer),向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在听,那么你的信息包传送将无法每次都顺畅的流到你的目的地。(这是由于sniffer拦截每个包导致的)
,?�h&u�v�G�r�k)~;j02、你的网络带宽将出现反常。
�\�b*|
l3l�R�`(N�D0通过某些带宽控制器(通常是火墙所带),你可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在听。在非高速信道上,如56Kddn等,如果网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。
!L4['| y/_$Y03、通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中,sniffer明 显加重机器负荷。这些警告信息往往能够帮助管理员发现sniffer。ITPUB个人空间2[�i4j�H$G
4、一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统, 通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行sniffer,但这样将只能捕获本 机会话。只有混杂模式下的 sniffing才能捕获以太网中的所有会话,其它模式只能捕获本机会话。ITPUB个人空间�r�P8d&w7q�s�p
对于SunOS、linux和其它BSD Unix系统,如下命令:
'E4V�i�I�H8u0"ifconfig -a"ITPUB个人空间�h,s�u9l�s�y�N1v�e
会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找 到系统中有什么网络接口,可以运行如下命令:ITPUB个人空间%V8~
Y�Q�v�I#Q
K�d�`
# netstat -r
�c'Q o�i�@�E%i0Routing tables
�F�q*M7c.O!{5G�B�x0Internet:ITPUB个人空间%V!x8j�B�M0z0l9n
Destination Gateway Flags Refs Use InterfaceITPUB个人空间&c1}%M�Z�m�E�W2c�B
default iss.net UG 1 24949 le0ITPUB个人空间 k!L�@;v,k
Q�j
localhost localhost UH 2 83 lo0
�O�q�a�V1O0然后通过如下命令检查每个网络接口:ITPUB个人空间8g2^3p�c2a�Q!\
#ifconfig le0ITPUB个人空间�U�p3~�T9\1[�Z+H�I�Z
le0: flags=8863ITPUB个人空间9R0G M#V f!E�y�^
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1ITPUB个人空间�M�C�[�](e�~&P�g$c�E;y�T
入侵者经常会替换ifconfig等命令来避开检查,因此一定要检查命令程序的校验值。
�A$J0t�t2j�I0在ftp.cert.org:/pub/tools/的cpm程序(SunOS平台)可以检查接口是否有混杂模式标记。
�o!A�p/?1h2W0这些命令只在sniffer与内核存在链接时有效。而在缺省情况,sniffer是没有与内核链接 的。大多数的Unix系统,例如Irix、Solaris、SCO等,都没有任何标记来指示是否处于混杂模式,因此入侵者能够窃听整个网络而却无法监测到它。
:e�o6V�`�S�q0如果机器上使用两块网卡,把一块设置为杂乱模式,并把IP地址设置为0.0.0.0,另一块卡处于正常的模式并是正确的地址,这样将很难发现SNIFFER的存在。ITPUB个人空间�J9_(Z�y+v�f�j.z
注意:要监测只采集数据而不对任何信息进行响应的窃听设备,需要逐个仔细检查以太网上所有物理连接,不可能仅通过远程发送数据包或ping就可以检查计算机是否正在窃听.ITPUB个人空间1i�L�G!X!w'?)g�W�B�b!m
导入论坛
引用链接
收藏
分享给好友
推荐到圈子
管理
举报
TAG:
