![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 網絡 > 正文 |
 |
| sniffit常見問題及防范策略 |
| http://www.linuxforum.net 吳阿亭 (2001-04-21 17:53:20) |
1. sniffit 既是個優秀的管理工具也是個危險的侵入工具。可被管理員用來檢查網絡中到底傳輸了
些什,學習各種tcp/ip協議的工作方法,也能被攻擊者利用,主要是記錄密碼
2. 工作原理: 為什能檢查密碼和不是傳送給自己的數據呢?
在典型的LAN環境中,(指共享式HUB上連接的兩個用戶A和B),基共享式HUB的工作原理,用戶A發
出的所有tcp/ip請求在HUB的每個端口上廣播,正常情況下,B不接收這些目標地址不是自己的數據,
但是一旦我們在B機上運行sniffit一類的監聽工具,就能置網卡第三種叫混雜模式的狀態下(前兩種
為tcp,udp模式),在該狀態下,網卡接受所有的數據,不管是發給自己的,還是不發給自己的,都被
網卡接收並直接傳給最上層應用層,交由相應的軟件如sniffit處理
3。常見用法
a. 檢測telnet/ftp/pop3密碼:
#sniffit -a -A. -p 23 -b -t 192.168.11.@
#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)
b. 查看http頭信息
#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火牆外部地址)
c. 記錄輸出到文件
#sniffit -p 21 -l 0 -b -s 192.168.11.2 &
d. 查看icmp消息
#sniffit -p icmp -b -s 192.168.1.2
e. 交互式界面
#sniffit -i
f. 檢查本網段內發出名字廣播的機器
#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255
g. 注意防火牆的情況
若要檢查防火牆內部網卡上的包eth1,可能你要設置 -F eth1參數,因為默認地sniffit 假設為eth0
4.哪些信息是敏感的和易被檢測的?
telnet/ftp/pop3的密碼都是明文傳送的,都是易被檢測的,apache的基本方式的用戶名/密碼認証
也是UU編碼的口令,也是易被檢測的。
5. 怎樣阻止?
硬件: 不要用普通的共享式HUB,用交換機來代替它,目前只有交換機和路由器能阻止sniffit的作用
軟件: 用帶加密功能的tcp/ip連接,象ssh/scp全面代替telnet/ftp/pop3,用MD5方式的apache認証
6。作用范圍:
僅在邏輯子網內有效,不能跨子網,因為廣播不被路由器傳遞,但若是在服務器上運行sniffit,則
任何方法均無效,對防火牆來說,通常sniffit攻擊是第二層攻擊,就是先得到一個普通帳號進入再
探尋更多的口令。
7. 怎樣判斷是否有人在用sniffit?
可檢測網絡接口(ifconfig)看是否處混雜模式來確認是否被侵入並安裝了sniffit,只限本機。
Jephe Wu
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
SNIFF原理解析 (2001-10-01 15:00:00)
sniffit的安裝使用簡述(linux) (2001-09-12 09:00:00)
Linux下的sniffer工具--Tcpdump的安裝和使用 (2001-09-11 15:00:00)
sniffit常見問題及防范策略 (2001-04-21 17:53:20)
Sniffer 常見問題集(FAQ) (2001-04-19 16:37:37)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |