嗅探器工作原理及分类
什么是嗅探器?他的工作方法是怎样的?那么,先我们要知道嗅探器的原理:
网络的一个特点就是数据总是在流动中,从一处到另外一处,而互联网是由错综复杂的各种网络交汇而成的,也就是说:当你的数据从网络的一台电脑到另一台电脑的时候,通常会经过大量不同的网络设备,(我们用tracert命令就可以看到这种路径是如何进行的)。
如果传输过程中,有人看到了传输中的数据,那么问题就出现了——这就好比你给人发了一封邮件,在半路上被人拆开偷看一样,这样说或许你还不是很怕,那要是你传送的数据是你们企业的机密文件那,或是你的信用卡帐号和密码那?……
嗅探侦听主要有两种途径,一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上,(比如网关服务器,路由器)——当然要实现这样的效果可能也需要通过其他黑客技术来实现:比如通过木马方式将嗅探器发给某个网络管理员,使其不自觉的为攻击者进行了安装。
另外一种是针对不安全的局域网(采用交换hub实现),放到个人电脑上就可以实现对整个局域网的侦听,这里的原理是这样的:共享hub获得一个子网内需要接收的数据时,并不是直接发送到指定主机,而是通过广播方式发送到每个电脑,对于处于接受者地位的电脑就会处理该数据,而其他非接受者的电脑就会过滤这些数据,这些操作与电脑操作者无关,是系统自动完成的,但是电脑操作者如果有意的话,他是可以将那些原本不属于他的数据打开!——这就是安全隐患!
嗅探器分软件和硬件两种,一种是硬件的,一种是软件的,硬件的不是我们这些喜欢用down的网虫能用的起的,所以还是用软件的——而且是免费的!
嗅探器防护
理论上,嗅探程序是不可能被检测出来的,因为嗅探程序是一种被动的接收程序,属于被动触发的,它只会收集数据包,而不发送出任何数据,但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流!
下面是一种简单的检测方法——ping
很多的嗅探器程序,如果你发送一个请求给哪台有嗅探程序的机器,它将作出应答
具体方法:
1.怀疑IP地址为10.0.0.1的机器装有嗅探程序,它的MAC地址确定为00-40-05-A4-79-32.
2.确保机器是在这个局域网中间。
3.现在修改MAC地址为00-40-05-A4-79-33.
4.现在用ping命令ping这个IP地址。
5.没有任何人能够看到发送的数据包,因为每台计算机的MAC地址无法与这个数据包中的目地MAC不符,所以,这个包应该会被丢弃。
6.如果你看到了应答,说明这个MAC包没有被丢弃,也就是说,嗅探器存在!
7.杀了它! |
|