设为主页 | 加入收藏 | 繁體中文

Sniffer的资料

  本文是ISS公司在几年前公布的一份Sniffer FAQ。虽然内里触及的技术大概绝对陈腐了一些,但仍然可作为入门级文档。盼望这份Sniffer FAQ能够资助管理员们对网络监听及办理要领有一个较为明白的认识。Sniffer已成为当今互联网上最罕见的主机入侵本领之一。
  在绿盟网络宁静月刊中,我还将陆续先容Sniffer、Sniffer的克星——Anti-Sniffer和Anti-Sniffer的克星——Anti Anti-Sniffer。盼望对这方面有兴趣的朋侪如果有些什么好材料或发起,请与我接洽。
  FAQ目录:
  * 什么是sniffer及其工作原理
  * 那边可以失掉sniffer
  * 如何监测主机正在窃听(sniffed)
  * 阻止sniffer
  o 主动集线器
  o 加密
  o Kerberos
  o 一次性口令技术
  o 非混杂模式网络接口设备
  -------------------------------------------------------------------------------
  什么是sniffer及其工作原理
  与电话电路不同,计算机网络是共享通讯通道的。支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵。共享意味着计算机能够吸收到发送给别的计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。
  以太网是如今应用最广泛的计算机连网方法。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包罗有目的主机的正确地点。一般环境下只要具有该地点的主时机担当这个数据包。如果一台主机能够吸收所有数据包,而不剖析数据包头内容,这种方法通常称为“混杂”模式。
  由于在一个普通的网络环境中,帐号和口令信息以明文方法在以太网中传输,一旦入侵者获得此中一台主机的root权限,并将其置于混杂模式以窃听网络数据,从而有大概入侵网络中的所有计算机。
  -------------------------------------------------------------------
  那边可以失掉sniffer
  Sniffer是黑客们最常用的入侵本领之一。比方Esniff.c,是一个小巧的工具,运行在SunOS平台,可捕获所有telnet、ftp、rloing会话的前300个字节内容。这个由Phrack开发的步伐已成为在黑客中传播最广泛的工具之一。
  你可以在颠末容许的网络中运行Esniff.c,相识它是如何有用地危及本地呆板宁静。
  以下是一些也被广泛用于调试网络妨碍的sniffer工具:
  * Etherfind on SunOs
  * Snoop on Solaris 2.x and SunOs
  * Tcpdump
  * Packetman, Interman, Etherman, Loadman
  商用sniffer:
  * Network General.
  Network General开发了多种产品。最重要的是Expert Sniffer,
  它不但仅可以sniff,还能够通过高性能的专门体系发送/吸收数
  据包,资助诊断妨碍。另有一个增强产品"Distrbuted Sniffer
  System"可以将UNIX工作站作为sniffer控制台,而将sniffer
  agents(署理)漫衍到长途主机上。
  * Microsoft's Net Monitor
  对付某些商业站点,大概同时必要运行多种协议——NetBEUI、
  IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种sniffer资助
  办理网络题目,由于许多sniffer往往将某些正确的协议数据包当
  成了错误数据包。Microsoft的Net Monitor(曩昔叫Bloodhound)
  可以办理这个难题。它能够正确区分诸如Netware控制数据包、NT
  NetBios名字办事播送等独特的数据包。(etherfind只会将这些数
  据包标识为类型0000的播送数据包。)这个工具运行在MS Windows
  平台上。它甚至能够按MAC地点(或主机名)举行网络统计和会话
  信息监督。只需简单地单击某个会话即可获得tcpdump标准的输出。
  过滤器设置也是最为简单的,只要在一个对话框中单击必要监督的
  主机即可。
  --------------------------------------------------------------------
  如何监测主机正在窃听(sniffed)
  要监测只采集数据而不合错误任何信息举行相应的窃听设备,必要逐一仔细查抄以太网上所有物理毗连。
  不大概通过长途发送数据包或ping就可以查抄计算机能否正在窃听。
  一个主机上的sniffer会将网络接口置为混杂模式以吸收所有数据包。对付某些UNIX体系,通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行sniffer,但这样将只能捕获本时机话。入侵者也大概通过在诸如sh、telnet、rlogin、in.telnetd等步伐中捕获会话,并将用户操作记录到别的文件中。这些都大概通过监督tty和kmem等设备方便创造。只要混杂模式下的sniffing才能捕获以太网中的所有会话,别的模式只能捕获本时机话。
  对付SunOS、NetBSD和别的BSD Unix体系,如下命令:
  "ifconfig -a"
  会显示所有网络接口信息和能否在混杂模式。DEC OSF/1和IRIX等体系必要指定设备。要找到体系中有什么网络接口,可以运行如下命令:
  # netstat -r
  Routing tables
  Internet:
  Destination   Gateway      Flags   Refs   Use Interface
  default     iss.net      UG     1  24949 le0
  localhost    localhost     UH     2    83 lo0
  然后通过如下命令查抄每个网络接口:
  #ifconfig le0
  le0: flags=8863
  inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
  入侵者经常会替换ifconfig等命令来避开查抄,因此一定要查抄命令步伐的校验值。
  在ftp.cert.org:/pub/tools/的cpm步伐(SunOS平台)可以查抄接口能否有混杂模式标志。
  对付Ultrix体系,使用pfstat和pfconfig命令也大概监测能否有sniffer运行。
  pfconfig指定谁有权限运行sniffer。
  pfstat显示网络接口能否处于混杂模式。
  这些命令只在sniffer与内核存在链接时有用。而在缺省环境,sniffer是没有与内核链接的。大少数的Unix体系,比方Irix、Solaris、SCO等,都没有任何标志来指示能否处于混杂模式,因此入侵者能够窃听整个网络而却无法监测到它。
  通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中,sniffer明显加重呆板负荷。这些警告信息往往能够资助管理员创造sniffer。发起使用lsof步伐搜刮拜访数据包设备(如SunOS的/dev/nit)的步伐和记录文件。
  ------------------------------------------------------------------
  阻止sniffer
  主动式集线器只向目的地点主机发送数据包,从而使混杂模式sniffer失效。它仅适用于10Base-T以太网。(注:这种如今已在计算机市场消失。)
  只要两家厂商曾消费过主动式集线器:
  * 3Com
  * HP
  随着交换机的本钱和价格的大幅度降低,交换机已成为非常有用的使sniffer失效的设备。如今最罕见的交换机在第三层(网络层)凭据数据包目的地点举行转发,而不太采取集线器的播送方法,从而使sniffer失去了用武之地。
  ------------------------------------------------------------------
  加密
  如今有许多软件包可用于加密毗连,从而使入侵者即使捕获到数据,但无法将数据解密而失去窃听的意义。
  以下是曩昔常用的一些软件包
  * deslogin
  coast.cs.purdue.edu:/pub/tools/unix/deslogin .
  * swIPe
  ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/
  * Netlock
  -----------------------------------------------------------------
  Kerberos
  Kerberos是另一个加密网络中帐号信息的软件包。它的缺陷是所有帐号信息都存放在一台主机中,如果该主机被入侵,则会危及整个网络宁静。别的配置它也不是一件简单的事变。Kerberos包罗流加密rlogind和流加密telnetd等,它可以防备入侵者捕获用户在登录完成后所举行的操作。
  Kerberos FAQ可从ftp站点rtfm.mit.edu中失掉:
  /pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
  ------------------------------------------------------------------
  一次性口令技术
  S/key和别的一次性口令技术一样,使窃听帐号信息失去意义。S/key的原理是长途主机已失掉一个口令(这个口令不会在不宁静的网络中传输),当用户毗连时会获得一个“挑战”(challenge)信息,用户将这个信息和口令颠末某个算法运算,产生正确的“相应”(response)信息(如果通讯两边口令阃确的话)。这种验证方法无需在网络中传输口令,并且雷同的“挑战/相应”也不会出现两次。S/key可从以下网址失掉:ftp://thumper.bellcore.com/pub/nmh/skey
  另有一种一次性口令技术是ID卡体系。每个授权用户都有一个产生用于拜访各自帐号的数字号码的ID卡。如果没有这个ID卡,不大概猜出这个数字号码。
  以下是提供这类办理方案的公司材料:
  Secure Net Key (SNK)
  Digital Pathways, Inc.
  201 Ravendale Dr. Mountainview, Ca.
  97703-5216 USA
  Phone: 415-964-0707 Fax: (415) 961-7487
  Secure ID
  Security Dynamics,
  One Alewife Center
  Cambridge, MA 02140-2312
  USA Phone: 617-547-7820
  Fax: (617) 354-8836
  Secure ID uses time slots as authenication rather than challenge/response.
  ArKey and OneTime Pass
  Management Analytics
  PO Box 1480
  Hudson, OH 44236
  Email: fc@all.net
  Tel:US+216-686-0090 Fax: US+216-686-0092
  WatchWord and WatchWord II
  Racal-Guardata
  480 Spring Park Place
  Herndon, VA 22070
  703-471-0892
  1-800-521-6261 ext 217
  CRYPTOCard
  Arnold Consulting, Inc.
  2530 Targhee Street, Madison, Wisconsin
  53711-5491 U.S.A.
  Phone : 608-278-7700 Fax: 608-278-7701
  Email: Stephen.L.Arnold@Arnold.Com
  CRYPTOCard is a modern, SecureID-sized, SNK-compatible device.
  SafeWord
  Enigma Logic, Inc.
  2151 Salvio #301
  Concord, CA 94520
  510-827-5707 Fax: (510)827-2593
  For information about Enigma ftp to: ftp.netcom.com in directory
  /pub/sa/safeword
  Secure Computing Corporation:
  2675 Long Lake Road
  Roseville, MN 55113
  Tel: (612) 628-2700
  Fax: (612) 628-2701
  debernar@sctc.com
  ----------------------------------------------------------------
  非混杂模式网络接口设备
  曩昔,大少数IBM DOS兼容呆板的网卡都不支持混杂模式,所以无法举行sniffing。但DOS已加入计算机网络舞台,对付如今计算机市场中的网络接口设备,请向提供商盘问能否为非混杂模式设备(即不支持混杂模式)。
  << 完 >>
  ------------------------------------
  材料来源:
  Internet Security Systems, Inc.
  ------------------------------------
  Linux环境下黑客常用嗅探器阐发
  公布日期: 2001-8-23
  内容:
  --------------------------------------------------------------------------------
  作者:<>
  来源:http://Linuxaid.com.cn
  --------------------------------------------------------------------------------
  概述
  本文对Linux环境下黑客每每使用的几种嗅探器举行细致的阐发,这些嗅探器往往被入侵者完成入侵当前莳植在受益者办事器当中。这些嗅探器各自有不同的特点,有的只是简单的用来捕获用户名和暗码,有的则非常壮大可记录所有的网络数据流。本文将对上面几种嗅探器举行阐发:
  *linsniffer
  *linuxsniffer
  *hunt
  *sniffit
  linsniffer
  linsniffer是一个简单实用的嗅探器。它重要的功能特点是用来捕获用户名和暗码,它在这方面非常出色。
  作者:Mike Edulla
  条件: C和IP头文件
  配置文件:无
  位置: http://agape.trilidun.org/hack/network-sniffers/linsnifferc
  宁静汗青: 无
  注: 易于使用。但是lnsniffer必要完整的IP头文件,包罗每每存储在/usr/include/net和 /usr/include/netinet的头文件,在编译前确保PATH变量包罗/usr/include。
  使用上面的命令来编译lnsniffer:
  $cc linsniffer.c -o linsniffer
  要运行linsniffer,使用上面的命令:
  $linsniffer
  启动当前linsniffer将创立一个空文件:tcp.log来存储嗅探结果。
  在测试中我创立一个名为hapless的用户,暗码为unaware。然后使用该用户来登录Linux办事器,并举行一些罕见的用户操作。上面是举行的一次ftp历程:
  GNSS $ ftp 192.168.0.2
  Connected to 192.168.0.2.
  220 linux.test.net FTP server Wed Aug 19 02:55:52 MST 1998) ready.
  Name (192.168.0.2:root): hapless
  331 Password required for hapless.
  Password:
  230 User hapless logged in.
  Remote system type is UNIX.
  Using binary mode to transfer files.
  ftp> ls -al
  200 PORT command successful.
  150 Opening ASCII mode data connection for /bin/ls.
  total 14
  drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 .
  drwxr-xr-x 6 root root 1024 May 20 19:28 ..
  -rw-rw-r-- 1 hapless hapless 96 May 20 19:56 .bash_history
  -rw-r--r-- 1 hapless hapless 49 Nov 25 1997 .bash_logout
  -rw-r--r-- 1 hapless hapless 913 Nov 24 1997 .bashrc
  -rw-r--r-- 1 hapless hapless 650 Nov 24 1997 .cshrc
  -rw-r--r-- 1 hapless hapless 111 Nov 3 1997 .inputrc
  -rwxr-xr-x 1 hapless hapless 186 Sep 1 1998 .kshrc
  -rw-r--r-- 1 hapless hapless 392 Jan 7 1998 .login
  -rw-r--r-- 1 hapless hapless 51 Nov 25 1997 .logout
  -rw-r--r-- 1 hapless hapless 341 Oct 13 1997 .profile
  -rwxr-xr-x 1 hapless hapless 182 Sep 1 1998 .profile.ksh
  drwxr-xr-x 2 hapless hapless 1024 May 14 12:16 .seyon
  drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 lg
  226 Transfer complete.
  ftp> ls
  200 PORT command successful.
  150 Opening ASCII mode data connection for /bin/ls.
  total 14
  drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 .
  drwxr-xr-x 6 root root 1024 May 20 19:28 ..
  -rw-rw-r-- 1 hapless hapless 96 May 20 19:56 .bash_history
  -rw-r--r-- 1 hapless hapless 49 Nov 25 1997 .bash_logout
  -rw-r--r-- 1 hapless hapless 913 Nov 24 1997 .bashrc
  -rw-r--r-- 1 hapless hapless 650 Nov 24 1997 .cshrc
  -rw-r--r-- 1 hapless hapless 111 Nov 3 1997 .inputrc
  -rwxr-xr-x 1 hapless hapless 186 Sep 1 1998 .kshrc
  -rw-r--r-- 1 hapless hapless 392 Jan 7 1998 .login
  -rw-r--r-- 1 hapless hapless 51 Nov 25 1997 .logout
  -rw-r--r-- 1 hapless hapless 341 Oct 13 1997 .profile
  -rwxr-xr-x 1 hapless hapless 182 Sep 1 1998 .profile.ksh
  drwxr-xr-x 2 hapless hapless 1024 May 14 12:16 .seyon
  drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 lg
  226 Transfer complete.
  ftp> ls -F
  200 PORT command successful.
  150 Opening ASCII mode data connection for /bin/ls.
  total 14
  drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 ./
  drwxr-xr-x 6 root root 1024 May 20 19:28 ../rw-rw-r-- 1 hapless hapless 96 May 20 19:56 .bash_history
  -rw-r--r-- 1 hapless hapless 49 Nov 25 1997 .bash_logout
  -rw-r--r-- 1 hapless hapless 913 Nov 24 1997 .bashrc
  -rw-r--r-- 1 hapless hapless 650 Nov 24 1997 .cshrc
  -rw-r--r-- 1 hapless hapless 111 Nov 3 1997 .inputrc
  -rwxr-xr-x 1 hapless hapless 186 Sep 1 1998 .kshrc*
  -rw-r--r-- 1 hapless hapless 392 Jan 7 1998 .login
  -rw-r--r-- 1 hapless hapless 51 Nov 25 1997 .logout
  -rw-r--r-- 1 hapless hapless 341 Oct 13 1997 .profile
  -rwxr-xr-x 1 hapless hapless 182 Sep 1 1998 .profile.ksh*
  drwxr-xr-x 2 hapless hapless 1024 May 14 12:16 .seyon/
  drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 lg/
  226 Transfer complete.
  ftp> cd lg
  250 CWD command successful.
  ftp> ls -F
  200 PORT command successful.
  150 Opening ASCII mode data connection for /bin/ls.
  total 8
  drwxr-xr-x 3 hapless hapless 1024 May 14 12:15 ./
  drwxrwxr-x 4 hapless hapless 1024 May 20 19:35 ../rw-r--r-- 1 hapless hapless 70 Aug 22 1998 lg3_colors
  -rw-r--r-- 1 hapless hapless 629 Aug 22 1998 lg3_prefs
  -rw-r--r-- 1 hapless hapless 728 Aug 22 1998 lg3_soundPref
  -rw-r--r-- 1 hapless hapless 2024 Aug 22 1998 lg3_startup
  drwxr-xr-x 2 hapless hapless 1024 May 14 12:15 lg_layouts/
  226 Transfer complete.
  ftp> cd lg_layouts
  250 CWD command successful.
  这是一个典型的用户操作历程。如今我们看看linsniffer产生的嗅探结果:
  gnss => linux.test.net [21]
  USER hapless
  PASS unaware
  SYST
  PORT 172,16,0,1,4,192
  LIST -al
  PORT 172,16,0,1,4,193
  LIST
  PORT 172,16,0,1,4,194
  LIST -F
  CWD lg
  PORT 172,16,0,1,4,195
  LIST -F
  输出的内容是很直观的。首先它记录这是从GNSS到Linux主机的FTP毗连:
  gnss => linux.test.net [21]
  然后,linsniffer捕获了hapless的用户名和暗码。
  USER hapless
  PASS unaware
  最后,linsniffer记录了hapless使用的每一个命令:
  SYST
  PORT 172,16,0,1,4,192
  LIST -al
  PORT 172,16,0,1,4,193
  LIST
  PORT 172,16,0,1,4,194
  LIST -F
  CWD lg
  PORT 172,16,0,1,4,195
  LIST -F
  输出结果非常简介并且非常适于窃听暗码及记录罕见的运动。但是不适合于举行更加庞大的阐发。这工夫你大概会必要linux_sniffe。
  linux_sniffer
  linux_sniffer提供绝对更庞大的探测结果。
  作者:loq
  要求:C和IP头文件
  配置文件:无
  下载位置: http://www.ryanspc.com/sniffers/linux_sniffer.c.
  宁静汗青:无
  注意:linux_sniffer易于使用,但是必要完全的IP头文件。
  使用上面命令编译linux_sniffer:
  $cc linux_sniffer.c -o linuxsniff
  上面是一次telnet会话历程,同时被linux_sniffer记录:
  GNSS 2# telnet 192.168.0.1
  Connected to 192.168.0.1.
  login: hapless
  password:
  [hapless@linux2 hapless]$ w
  19:55:29 up 58 min, 4 users, load average: 0.00, 0.00, 0.00
  USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
  root tty1 7:44pm 27.00s 0.17s 0.06s -bash
  root tty2 7:46pm 1:56 0.24s 0.01s linuxsniff
  root tty3 7:44pm 10:43 0.17s 0.07s -bash
  hapless ttyp0 gnss 7:55pm 1.00s 0.26s 0.04s w
  [hapless@linux2 hapless]$ who
  root tty1 May 20 19:44
  root tty2 May 20 19:46
  root tty3 May 20 19:44
  hapless ttyp0 May 20 19:55 (gnss)
  [hapless@linux2 hapless]$ finger -l
  Login: root Name: root
  Directory: /root Shell: /bin/bash
  On since Thu May 20 19:44 (PDT) on tty1 35 seconds idle
  On since Thu May 20 19:46 (PDT) on tty2 2 minutes 4 seconds idle
  On since Thu May 20 19:44 (PDT) on tty3 10 minutes 51 seconds idle
  No mail.
  No Plan.
  Login: hapless Name: Caldera OpenLinux User
  Directory: /home/hapless Shell: /bin/bash
  On since Thu May 20 19:55 (PDT) on ttyp0 from gnss
  No mail.
  No Plan.
  异样这是一次典型的登录历程:用户登录,检测哪些用户在登录等等。linux_sniffer记录分外的地点数据,但是异样记录了一些重要的数据。首先它记录了毗连:
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 ff fc 27 - ..'
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 ff fa 1f 00 50 00 28 ff - f0 ....P.(..
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 ff fa 20 00 33 38 34 30 - 30 2c 33 38 34 30 30 ff .. .38400,38400.
  0010 f0 ff fa 23 00 47 4e 53 - 53 3a 30 2e 30 ff f0 ff ...#.GNSS:0.0...
  0020 fa 18 00 49 52 49 53 2d - 41 4e 53 49 2d 4e 45 54 ...IRIS-ANSI-NET
  0030 ff f0 - ..
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 ff fc 01 - ...
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 ff fd 01 - ...
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  随后,linux_sniffer记录了登录历程,上面用黑体表示:
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 68 - h
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 61 - a
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 70 - p
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 6c - l
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 65 - e
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 73 - s
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 73 - s
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 0d 00 - ..
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 75 - u
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 6e - n
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 61 - a
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 77 - w
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 61 - a
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 72 - r
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 65 - e
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  最后,linux_sniffer记录了所有的命令:
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 77 - w
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 0d 00 - ..
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 77 - w
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 68 - h
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 6f - o
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 0d 00 - ..
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 66 - f
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 69 - i
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 6e - n
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 67 - g
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 65 - e
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  0000 72 - r
  eth
  proto: 080008:00:69:07:3e:db->00:e0:29:19:4a:68 192.168.0.1[1239] ->192.168.0.2[23]
  可以看到,linux_sniffer提供了绝对更细致的内容。
  hunt
  hunt在你必要易于读取的结果室的别的一种选择。它具有直观的命令追踪和会话监录功能。
  作者:Pavel Krauz
  条件: C, IP头, Linux 2.0.35+, 支持LinuxThreads的GlibC 2.0.7
  配置文件:无
  位置:http://www.cri.cz/kra/index.html
  宁静汗青:无
  注:作者提供有静态链接和静态毗连的二进制公布。
  hunt是以tar.gz的款式公布的,文件名为hunt-1_3bin.tgz。首先必要解紧缩:
  $tar xvfz hunt-1_3bin.tgz
  则hunt被解紧缩到新创立的目录hunt-1.3种,包罗以下内容:
  -rw-r--r-- 1 206 users 1616 Apr 2 03:54 CHANGES
  -rw-r--r-- 1 206 users 17983 Oct 25 1998 COPYING
  -rw-r--r-- 1 206 users 312 Jan 16 04:54 INSTALL
  -rw-r--r-- 1 206 users 727 Feb 21 11:22 Makefile
  -rw-r--r-- 1 206 users 27373 Feb 15 12:44 README
  -rw-r--r-- 1 206 users 167 Dec 4 14:29 TODO
  -rw-r--r-- 1 206 users 5067 Feb 13 04:23 addpolicy.c
  -rw-r--r-- 1 206 users 7141 Feb 21 23:44 arphijack.c
  -rw-r--r-- 1 206 users 25029 Apr 2 03:26 arpspoof.c
  drwxr-xr-x 2 206 users 1024 Apr 9 02:03 c
  -rw-r--r-- 1 206 users 7857 Nov 9 1998 hijack.c
  -rw-r--r-- 1 206 users 5066 Dec 2 12:55 hostup.c
  -rwxr-xr-x 1 206 users 84572 Apr 9 02:03 hunt
  -rw-r--r-- 1 206 users 24435 Apr 2 03:26 hunt.c
  -rw-r--r-- 1 206 users 16342 Mar 30 01:56 hunt.h
  -rwxr-xr-x 1 206 users 316040 Apr 9 02:03 hunt_static
  -rw-r--r-- 1 root root 265 May 20 22:22 huntdir.txt
  -rw-r--r-- 1 root root 2517 May 20 22:19 huntlog.txt
  -rw-r--r-- 1 206 users 6249 Feb 21 11:21 macdisc.c
  -rw-r--r-- 1 206 users 12105 Feb 21 11:35 main.c
  -rw-r--r-- 1 206 users 12000 Feb 6 02:27 menu.c
  -rw-r--r-- 1 206 users 7432 Apr 2 03:53 net.c
  -rw-r--r-- 1 206 users 5799 Feb 11 04:21 options.c
  -rw-r--r-- 1 206 users 11986 Feb 14 04:59 resolv.c
  -rw-r--r-- 1 206 users 1948 Oct 25 1998 rst.c
  -rw-r--r-- 1 206 users 9545 Mar 30 01:48 rstd.c
  -rw-r--r-- 1 206 users 21590 Apr 2 03:58 sniff.c
  -rw-r--r-- 1 206 users 14466 Feb 21 12:04 synchijack.c
  -rw-r--r-- 1 206 users 2692 Feb 19 00:10 tap.c
  -rw-r--r-- 1 206 users 4078 Feb 15 05:31 timer.c
  -rw-r--r-- 1 206 users 2023 Oct 25 1998 tty.c
  -rw-r--r-- 1 206 users 7871 Feb 11 02:58 util.c
  静态二进制公布为hunt_static,保举使用该版本,由于有工夫从源代码编译大概会出现缺少一些库的错误。使用上面命令来执行hunt:
  $hunt_static
  运行hunt你将惊奇地创造hunt是基于curse的,因此有非常友爱的交互界面。启动当前菜单如下所示:
  --- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
  l/w/r) list/watch/reset connections
  u) host up tests
  a) arp/simple hijack (avoids ack storm if arp used)
  s) simple hijack
  d) daemons rst/arp/sniff/mac
  o) options
  x) exit
  * >
  在整个例子中,我将从GNSS登录到linux.test.net中举行测试。
  GNSS 3% telnet 192.168.0.2
  Trying 192.168.0.2...
  Connected to 192.168.0.2.
  Escape character is '^]'.
  Caldera OpenLinux(TM)
  Version 1.3
  Copyright 1996-1998 Caldera Systems, Inc.
  login:
  --------------------------------------------------------------------------------


    文章作者: 福州军威计算机技术有限公司
    军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:
评论加载中...
内容:
评论者: 验证码: