嗅探器(Sniffer)就是能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備。Sniffer 就是嗅探器，就是竊 聽器，它靜悄悄地工作在網(wǎng)絡(luò)的底層，把用戶的秘密全部記錄下來。嗅探器的正當(dāng)用處在于分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。例如，假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好，報(bào)文的發(fā)送比較慢，而我們又不知道問題出在什么地方，此時(shí)就可以用嗅探器來作出精確地問題判斷。嗅探器在功能和設(shè)計(jì)方面有很多不同，有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)、TCP/IP、IPX、DECNET、FDDI Token、微波和無線網(wǎng)。

　　實(shí)際應(yīng)用中的嗅探器還分軟、硬兩種。軟件嗅探器的優(yōu)點(diǎn)在于比較便宜，易于使用，缺點(diǎn)是往往無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片)，也就可能無法真正全面了解網(wǎng)絡(luò)的故障和運(yùn)行情況。硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點(diǎn)恰恰是軟件嗅探器所欠缺的，但是價(jià)格昂貴。目前流行的嗅探器工具大多是軟件的。

　　FTP、POP和Telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，嗅探器就可以非常容易地截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有弱點(diǎn)的，就是很容易受到“中間服務(wù)器”方式的攻擊。所謂“中間服務(wù)器”攻擊方式，就是“中間服務(wù)器”冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù)，然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和用戶之間的數(shù)據(jù)傳送被“中間服務(wù)器”轉(zhuǎn)手并做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問題。

　　嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器通過將其置身于網(wǎng)絡(luò)接口來達(dá)到這個(gè)目的——例如將以太網(wǎng)卡設(shè)置成雜收模式。數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)摹珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。例如以太網(wǎng)的前12個(gè)字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)數(shù)據(jù)的來源和去處。以太網(wǎng)幀的其他部分存放實(shí)際的用戶數(shù)據(jù)、TCP/IP的報(bào)文頭或IPX報(bào)文頭等等。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上。它通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對其進(jìn)行存儲(chǔ)。在這個(gè)傳輸和接收的過程中，每一個(gè)在LAN上的工作站都有其硬件地址。這些地址唯一地表示著網(wǎng)絡(luò)上的機(jī)器。這一點(diǎn)和Internet地址系統(tǒng)比較相似。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到LAN上所有可用的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對不屬于自己的報(bào)文則不予響應(yīng)。換句話說，工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)，而是簡單的忽略這些數(shù)據(jù)。如果某工作站的網(wǎng)絡(luò)接口處于雜收模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀。如果一個(gè)工作站被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。這也是嗅探器會(huì)造成安全方面的問題的原因。

　　Linux環(huán)境下的嗅探器


　　Linux環(huán)境下的嗅探器有tcpdump、Nmap、linSniffer、LinuxSniffer、hunt、sniffit等。下面就只介紹Linux下優(yōu)秀的嗅探器——tcpdump。

　　tcpdump在Linux下的安裝十分簡單，一般由兩種安裝方式。一種是以rpm包的形式來進(jìn)行安裝。另外一種是以源程序的形式安裝。這里我們講 rpm包的形式安裝。這種形式的安裝是最簡單的安裝方法。rpm包是將軟件編譯后打包成二進(jìn)制的格式，通過rpm命令可以直接安裝，不需要修改任何東西。

　　以超級用戶登錄，使用命令如下：

#rpm -ivh tcpdump-3_4a5.rpm

　　這樣tcpdump就順利地安裝到Linux系統(tǒng)中。

　　tcpdump 是一個(gè)多用途的網(wǎng)絡(luò)通信監(jiān)測器，可捕獲和顯示報(bào)文及其內(nèi)容。它可用來作為協(xié)議分析器，在系統(tǒng)及網(wǎng)絡(luò)設(shè)備間提供一個(gè)最佳途徑來探查通信和（或）連通性問題。大多數(shù)時(shí)候，網(wǎng)絡(luò)疑難問題集中在網(wǎng)絡(luò)配置問題以及診斷硬件相關(guān)故障。然而，用戶將常常面對協(xié)議相關(guān)問題并且被迫鉆研特定協(xié)議的機(jī)制來解決問題。使用tcpdump，被檢查的報(bào)文將用長格式或短格式（根據(jù)使用的命令行選項(xiàng)）顯示其信息。tcpdump 有一個(gè)非常強(qiáng)有力的過濾機(jī)制，可用來查找與指定字符串或規(guī)則相匹配的報(bào)文。

　　tcpdump 提供兩種主要的捕獲模式：雜湊和非雜湊。在雜湊模式下，捕獲每個(gè)在網(wǎng)絡(luò)上傳遞的報(bào)文，不管該報(bào)文是否發(fā)送到執(zhí)行tcpdump 的系統(tǒng)。舉例來說，該模式就是RMON探測器在監(jiān)測網(wǎng)絡(luò)通信時(shí)使用的模式。網(wǎng)絡(luò)探測器（probe）在網(wǎng)絡(luò)上偵聽通信并收集協(xié)議信息和統(tǒng)計(jì)數(shù)據(jù)。因?yàn)榫钟蚓W(wǎng)（LAN）協(xié)議（如Ethernet）是基于廣播的，每個(gè)被傳送的幀可被連接到LAN上的任何網(wǎng)絡(luò)接口所獲得。任何設(shè)備可讀取每個(gè)傳送的幀，只要該設(shè)備選擇這么做并配置成該方式就可以讀取。當(dāng)一個(gè)設(shè)備或接口從網(wǎng)絡(luò)讀取每個(gè)幀，就說明它處于雜湊模式了。實(shí)際中，接口必須為雜湊操作進(jìn)行配置，并且僅僅用于需要網(wǎng)絡(luò)診斷的特殊場合。由于這個(gè)緣故，僅有root可以在一個(gè)接口上啟用雜湊模式。這是非root用戶不允許調(diào)用tcpdump 的主要原因。tcpdump工具提供了許多命令行選項(xiàng)來選擇捕獲模式、控制輸出、指定過濾規(guī)則以及指定其他操作特性。這些選項(xiàng)根據(jù)它們的功能被分組并且包括以下種類：操作模式、顯示選項(xiàng)、報(bào)文過濾選項(xiàng)。

　　操作模式選項(xiàng)用于控制tcpdump 如何捕獲和如何顯示網(wǎng)絡(luò)通信的參數(shù)。 各選項(xiàng)的意義如下：

- c 捕獲指定數(shù)量的報(bào)文；
- F 使用文件作為過濾表達(dá)式的源；
- i 使用可選網(wǎng)絡(luò)接口捕獲報(bào)文；
- p 禁止在雜湊模式下捕獲；
- r 讀取捕獲文件而非網(wǎng)絡(luò)接口；
- w 保存原始報(bào)文到文件中。

　　舉例說明：

　　1.pdump arp將捕獲并顯示所有地址解析協(xié)議（ARP）報(bào)文。捕獲包括請求和應(yīng)答。

　　2.pdump host red and tcp將捕獲并顯示來自（發(fā)往）red 主機(jī)的所有傳輸控制協(xié)議報(bào)文。

　　3.pdump hos red1 and port 23將捕獲并顯示發(fā)往red1或從red1發(fā)出的所有使用23 端口的報(bào)文。用來檢查網(wǎng)絡(luò)上從其他系統(tǒng)到該系統(tǒng)的Telnet報(bào)文。端口23是對所有傳入的報(bào)文來說是Telnet服務(wù)端口。

　　嗅探器的危害

　　嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測網(wǎng)絡(luò)性能。嗅探器是一把雙刃劍,它也有很大的危害性。

　　嗅探器可能造成的危害有：

　　1．嗅探器能夠捕獲口令；

　　2．夠捕獲專用的或者機(jī)密的信息；

　　3．以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限；

　　4．析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。

　　嗅探器的攻擊非常普遍,尤其在Internet上。一個(gè)放置好的嗅探器可以捕獲成千上萬個(gè)口令。1994年一個(gè)最大的嗅探器攻擊被發(fā)現(xiàn)。這次攻擊被人們普遍認(rèn)為是記載中最為惡劣的一次，許多可以FTP、Telnet或遠(yuǎn)程登陸的主機(jī)系統(tǒng)都受到了危害。在這件事故(攻擊者處于Rahul．net)中，嗅探器只運(yùn)行了18個(gè)小時(shí)。在這段時(shí)間里，有幾百臺主機(jī)被泄密。受攻擊者包括268個(gè)站點(diǎn)，如MIT、美國海軍和空軍、Sun微系統(tǒng)公司、IBM、NASA、CERFNet和加拿大、以色列、荷蘭、比利時(shí)的一些大學(xué)的機(jī)器。

　　嗅探器可以捕獲網(wǎng)絡(luò)上所有的報(bào)文，但實(shí)際上，一個(gè)攻擊者必須要對報(bào)文進(jìn)行選擇。嗅探器攻擊并不像聽起來那么容易，它需要攻擊者對網(wǎng)絡(luò)知識有一定的了解。簡單地設(shè)置一個(gè)嗅探器，并將其放到隨便什么地方，將不會(huì)起到什么作用。因?yàn)榧词挂粋€(gè)只有5個(gè)工作站的網(wǎng)絡(luò)，在一小時(shí)之內(nèi)也會(huì)傳輸好幾千個(gè)報(bào)文。這樣在很短的時(shí)間里，嗅探器中用來存儲(chǔ)捕獲報(bào)文的文件就會(huì)充斥整個(gè)硬盤(如果記錄下每一個(gè)報(bào)文的話)。

　　為了巧妙地解決這個(gè)問題，攻擊者只嗅探每個(gè)報(bào)文的前200到300個(gè)字節(jié)。用戶名和口令都包含在這一部分中，這是所有攻擊者真正關(guān)心的部分。當(dāng)然，如果擁有足夠的空間進(jìn)行存儲(chǔ)，擁有足夠的能力進(jìn)行處理的話，也可以嗅探給定接口上的所有報(bào)文，那將會(huì)發(fā)現(xiàn)另一些非常可怕的東西。

　　抵御嗅探器的攻擊


　　有二種方法可能會(huì)對抵御嗅探器的攻擊有所作用：

　　1.檢測和消滅嗅探器；

　　2．將數(shù)據(jù)隱藏，使嗅探器無法發(fā)現(xiàn)。

　　針對于第一種方法：檢測和消滅嗅探器，可以采用檢測混雜模式網(wǎng)卡的工具。

　　由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，所以有效檢測混雜模式網(wǎng)卡的工具Anto-sniff就是一個(gè)好的工具。軟件可以在http://www.securitysoftwatech.com/antisniff下載。但是嗅探器是非常難以被發(fā)現(xiàn)，因?yàn)樗鼈兪潜粍?dòng)的程序。一個(gè)老練的黑客可以輕易通過破壞日志文件來掩蓋信息，它并不會(huì)給別人留下進(jìn)行核查的尾巴。

　　此處將對于第二種方法：將數(shù)據(jù)隱藏，使嗅探器無法發(fā)現(xiàn)重點(diǎn)介紹。

　　一般有兩種防御的方法：

　　1．安全的拓?fù)浣Y(jié)構(gòu)；

　　2．會(huì)話加密。

　　嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)行數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就越少。但是，除非你的公司是一個(gè)ISP，或者資源相對不受限制，否則這樣的解決方案需要很大的代價(jià)。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備。有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過的：交換機(jī)、路由器、橋。

　　我們可以通過靈活的運(yùn)用這些設(shè)備來進(jìn)行網(wǎng)絡(luò)分段。讀者可能采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)字。然后，每個(gè)月人為地對每段進(jìn)行檢測(也可以每個(gè)月采用MD5隨機(jī)地對某個(gè)段進(jìn)行檢測)。網(wǎng)絡(luò)分段只適應(yīng)于小的網(wǎng)絡(luò)。如果有一個(gè)500個(gè)工作站的網(wǎng)絡(luò)，分布在50個(gè)以上的部門中，那么完全的分段是價(jià)格所不允許的。即使在單位預(yù)算時(shí)有安全方面的考慮，也難以讓單位主管相信需要50個(gè)硬件設(shè)備，而這只是為了防止嗅探器的攻擊。在這樣的情況下，對會(huì)話進(jìn)行加密就是一種很好的選擇。會(huì)話加密提供了另外一種解決方案。不要特別地?fù)?dān)心數(shù)據(jù)被嗅探，而是要想辦法使得嗅探器不認(rèn)識嗅探到的數(shù)據(jù)。這種方法的優(yōu)點(diǎn)是明顯的：即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對他也是沒有用的。但是，其存在的缺點(diǎn)也非常明顯。在加密時(shí)有兩個(gè)主要的問題：一個(gè)是技術(shù)問題，一個(gè)是人為問題。

　　技術(shù)問題包括是否該加密到足夠強(qiáng)大的程度，還是僅僅是想當(dāng)然地認(rèn)為它比較強(qiáng)大。例如，40位的加密就可能不夠，而且并不是所有的應(yīng)用程序都集成了加密支持。而且，跨平臺的加密方案還比較少見，一般只在一些特殊的應(yīng)用之中才有。再者，有些用戶可能抵制使用加密，他們覺得這太麻煩。用戶在開始時(shí)可能會(huì)同意使用加密，但他們很少能夠堅(jiān)持下。總之我們必須尋找一種友好的媒介，它還要具有一定的用戶友好性。而Secure Shell（SSH）就具有上述的特征。通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間服務(wù)器”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取SH有很多功能，它既可以代替Telnet，又可以為FTP、POP,甚至PPP提供一個(gè)安全的“通道”。SSH綁定在端口22上，其連接采用協(xié)商方式使用RSA加密。身份鑒別完成之后，后面的所有流量都使用IDEA進(jìn)行加密。SSH（Secure　Shell）程序可以通過網(wǎng)絡(luò)登錄到遠(yuǎn)程主機(jī)并執(zhí)行命令。SSH的加密隧道保護(hù)的只是中間傳輸?shù)陌踩裕沟萌魏瓮ǔ５男崽焦ぞ哕浖o法獲取發(fā)送的內(nèi)容。它提供了很強(qiáng)的安全驗(yàn)證可以在不安全的網(wǎng)絡(luò)中進(jìn)行安全的通信.所以它是防范嗅探器的一種方法。

　　簡單使用SSH

　　安裝

　　1.下載軟件包，下載地址為www.ssh.com，下載最新軟件包SSH2。最好下載源程序軟件包自己進(jìn)行自行編譯。

　　2.解壓及安裝：

# tar -zxvf ssh2-2.4.0.tar.gz
# cd ssh2-2.4.0
# ./configure
# make
#make install

　　安裝完成。這一過程實(shí)際上將服務(wù)器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端軟件包。

　　已編譯好的二進(jìn)制軟件包以rpm格式存放在ftp://ftp.ssh.com/pub/ssh/rpm目錄下。它是一個(gè)給非商業(yè)用戶使用的軟件包，軟件包名稱為：ssh-2.4.0-1.i386.rpm，其中包含了對X-Window的支持。另一個(gè)不支持X-Window的軟件包為ssh-2.4.0-1nox.i386.rpm，下載后可以直接安裝。安裝程序?qū)SH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。

　　配置

　　SSH的配置文件在/etc/ssh2下，其中包括sshd2的主機(jī)公鑰和私鑰：hostkey和hostkey.pub。這兩個(gè)文件通常是在安裝SSH時(shí)自動(dòng)生成的。你可以通過下面的命令重新來生成它們：

#rm/etc/ssh2/hostkey*
#ssh-keygen2?P/etc/ssh2/hostkey

　　而ssh2_config文件一般情形下無需修改。

　　啟動(dòng)

在Uinux/Linux環(huán)境下，服務(wù)器程序放置在/usr/local/sbin目錄下，啟動(dòng)方法如下：

# sshd
# ps x

　　可以看到SSHD已經(jīng)啟動(dòng)了。如果不希望每次重啟動(dòng)系統(tǒng)，都要手工運(yùn)行啟動(dòng)SSHD，則可以自己寫一個(gè)腳本，放置在init.d目錄下，讓系統(tǒng)啟動(dòng)后，自動(dòng)執(zhí)行SSHD服務(wù)的啟動(dòng)工作。或者直接在rc.local中加入/usr/local/sbin/sshd。

　　使用SSH

　　客戶端在Uinux/Linux系統(tǒng)中就是SSH，存放在/usr/local/bin目錄下，中有SSH2、scp等客戶端工具。用SSH登錄遠(yuǎn)程主機(jī)方法如下：

host.ip.of.remote

　　其使用方法如同Telnet一樣，不同之處是要求用戶輸入認(rèn)證字符串。如果認(rèn)證字符串通過了認(rèn)證，則用戶直接登錄成功；如果不成功，則是要求用戶輸入系統(tǒng)口令。口令認(rèn)證成功后，用戶也可以成功登錄系統(tǒng)。從使用上看，它與Telnet沒有什么不同之處。而且有了SSH客戶端軟件，那么你要上傳文件就不必向以前一樣再開一個(gè)FTP窗口，再次認(rèn)證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠(yuǎn)端服務(wù)器上。使用方法如下：

host1:dir/filename host2:/home/abc/filename

　　嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面。它工作的時(shí)候就像一部被動(dòng)聲納，默默的接收來自網(wǎng)絡(luò)的各種信息。通過對這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出網(wǎng)絡(luò)中的漏洞。這里并不想否定嗅探器好的作用。在網(wǎng)絡(luò)安全日益被注意的今天，我們不但要正確使用嗅探器，還要合理防范嗅探器的危害。嗅探器能夠造成很大的安全危害，主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。可以通過學(xué)習(xí)使用嗅探器、了解黑客如何使用嗅探器進(jìn)行攻擊的方法，來抵御嗅探器的攻擊。同時(shí)也要看到，最好地抵御嗅探器的方法是安全的拓?fù)浣Y(jié)構(gòu)和會(huì)話加密。