作者:往事如风  

编者按: Sniffer是一款有名的网络监听技术,它是进行网络管理、网络取证的有力工具。然而,成也Sniffer,败也Sniffer,当被黑客或不怀好意之人利用时,则非常危险。现在,我们通过正反两篇来分析Sniffer,上篇介绍通过Sniffer来学习网络管理,本篇极有实际价值,而下篇则介绍Sniffer被黑客操纵而作乱。

    【IT168 专稿】本来Sniffer作为一种监听技术,它是为了让网络管理员更好的了解网络现状,也可以在网警进行网络取证时也利用此技术来获取必要的信息,进行网络取证。但是如果Sniffer被恶意用户利用,攻击者会通过该技术对系统活动进行监视,从而获得一些安全关键信息,从中盗取机密,其造成的威害是巨大的。

网络监听案例一:用户信息密码丢失

起因:造成局域网内的用户信息密码丢失。
环境:工作室,局域网十六台机,采用Windows XP、windows2000系统。

    网络中的恶意用户通常会利用Sniffer监听软件,了解被监视主机中的信息往来情况,(小提示:传统的Sniffer技术是被动地监听网络通信、用户名和口令,而新的Sniffer技术则主动地控制通信数据。)由于Sniffer工作在网络环境中的底层,它会拦截所有的正在网络中传送的数据,并可以轻松截获传送的用户姓名、口令、信用卡号码、截止日期、账号和pin码等。下面了解一下其安装实施过程。

监听软件过程实施

    首先恶意用户在工作室内的局域网主机中进行Sniffer软件安装,(注:Sniffer pro的监控模式有:仪表板,主机列表,矩阵,请求相应时间,历史取样,协议分布,全局统计表等,在默认情况下,Sniffer将捕获其接入碰撞域中流经的所有数据包);安装完成后的软件由恶意用户设定定义过滤器,包含MAC地址、ip地址和ipx地址的定义。

MediaSessionCompat监听keyevent sniffer监听_加密

    最后恶意用户会选择[定义过滤器]选项中的[高级]选项卡,配置需要捕获的相关协议的数据包,并进行[缓冲]选项里的捕获数据包的缓冲区设置,确定后捕获开始。并将捕获而得的含有信息的数据包进行相关解码后,即可得出明文信息。(图四)图中数据监听中,分析出了工作室被监听主机登陆ko88admin@gmail.com的名称(注:由于其危害性较大,这里不分析密码)。

看完上面的案例,相信很多人不明白什么是网络监听,这就有必要了解一下其技术流程。

网络监听原理

    很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法来获取相关的数据信息(帐号、密码)。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网的调制解调器之间等,当网络中的两台主机通信的时候,源主机将写有目标主机地址的数据包直接以点对点的形式发送。(注:被监听主机的数据只有在经过本机时才会被截获)。

监听技术:如何防止好枪变凶器?

    网络监听,是攻击者在目标网络中刺探网络情报的最有效方法,通过设置网卡的混杂(promiscuous)模式获得网络上通过此点的所有数据包,并从中抽取安全关键信息,如明文方式传输的口令。而如果要查找发生在局域网的其他主机上的监听,有时却十分因难,这是由于产生网络监听行为的主机,在工作时十分低调的收集数据包所造成的,其行为几乎不会主动发出任何信息,但通过相关软件依然能找出其行踪。


网络监听案例二:MSN信息被盗

起因:朋友MSN登陆不了网络,但MSN中却有着重要的客户资料。
环境:局域网内共有主机80多台,其中能上网的主机20台左右,其中都使用Windows系统,没有Unix、Linux主机。

一、问题出现情况

    根据那位朋友的叙述,在此之前也没有别人使用过自己的电脑,他也没有使用MSN的自动登陆的功能,都是每次自己输入密码登陆的,按照这样的情形来看,可能是被盗号木马或网络监听软件窃取了。首先检测网页打开情况,能连接外网,证明网络是良好的;接着退出防火墙登陆MSN,居然问题依旧,难到是病毒引起的?换了一台计算机登陆MSN,结果提示[密码错误],密码不正确,被盗?

二、寻根溯源

    目前需要确定,究竟是盗号木马窃取,还是网络监听偷盗。由于公司规模比较小,并且没有购置网络版的防病毒产品,都是各使用单击版的杀毒软件进行防护(用的多数都是瑞星)。考虑到瑞星的脱壳和查杀木马的能力比较弱,因此先安装了“360安全卫士”用“查杀流行木马”的功能进行快速扫描后,虽然也发现了两个木马(见图1 360安全卫士),但发现这都不是盗MSN的。接着又使用了“木马杀客”进行全盘扫描,结果没有发现木马。
 
360安全卫士

MediaSessionCompat监听keyevent sniffer监听_网络_02



难道真是被网络监听软件窃取了他MSN的密码?

三、查找网络监听主机

    据我所知,Windump、Iris、以及著名的Sniffer等监听工具对交换机组建的局域网的监听能力是不够的,难道监听者是使用了Dsniff或Ettercap等以太网的监听软件?(提示:Dsniff包括了FileSnarf、 MailSnarf、MsgSnarf、UrlSnarf、DnsSpoof、Macof 等诸多很有特色的组件,可以捕获网络中的各种敏感数据。)由于局域网内的这些主机多数集中在公司的主办公楼内,并且大部分还都是领导的电脑,不可能逐一排查。

    决定采用PromiScan对局域网的机器进行测试(下载地址:http://soft.k8d.net/downinfo/21686.html),安装后运行如图2所示。
 
PromiScan界面

MediaSessionCompat监听keyevent sniffer监听_工具_03

    点击图2中的“Start”按钮,PromiScan便开始根据你设置的IP范围发送伪装为广播地址的ARP请求,然后根据对方的反映来判断对方是否处于混杂模式,最终发现IP为“192.168.1.72”的机器确实在进行局域网监听,原来这是他们公司专门提供给设计部的一台上网浏览资料的主机。(设计员使用的电脑是不可以上网的,以防图纸等产品设计信息泄密)公用的,想查出这起监听事件是“天灾”还是“人祸”都很困难,看来他想找回MSN密码的希望也随之破灭了。最后将设计部的这台电脑重新安装了操作系统,以绝后患!但这也只是治标不治本,犹如隔靴搔痒。


 网络监听防法

    面对网络监听,要不定期对系统进行安全检测,打上安全补丁,利用相关的网络监听软件进行扫描,并配以相关策略,如下:

    一、从逻辑或物理上对网络分段:网络分段是控制网络广播风暴的一种方法,通过对其良好的设置可以防止非法监听,实现恶意用户与敏感的网络资源相互隔离。也可以用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,并使用交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而降低非法监听发生率,防止大部分基于网络监听的入侵。

    二、使用加密技术,为了抵御Sniffer的嗅探攻击不让信息外泄,就必须要对数据进行加密,虽然通过监听后仍然可以得到传送的信息,但却显示为乱码。如利用SSH的安全协议来替代易被攻击的对象协议。(注:SSH是一种在应用程序中提供安全通信的协议,其后来发展成F-SSH,被称为军方级加密方式,此协议导至恶意用户利用Sniffer获得的信息不再存在有效价值)。


网络监听检测

    而一但用户不确定网络中是否存在网络监听,那么就需要对网络进行检测。虽然网络监听的种类很多,但是一般用户只要留意计算机的超正常反映,都可以发现网络中被监听的主机,通常发现方法分下列几种:

    1、发送大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化;

    2、许多的网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求;

    3、利用ping模式进行监测,由于监听主机的网卡处于混杂模式,所以它不会去对比IP地址与MAC不匹配的数据包的硬件地址,而是将这个数据包直接传到上层,上层检查数据包的IP地址,符合自己的IP,于是会对对这个Ping的包做出回应。这样,一台处于网络监听模式的主机就被发现了。

    4、利用ARP数据包进行监测,这种模式与上述Ping方式类似,它使用ARP数据包替代了上述的ICMP数据包。向局域网内的主机发送非广播方式的ARP包,如果局域网内的某个主机响应了这个ARP请求,那么就可以判断它很可能就是处于网络监听模式的主机了,这是目前相对来说比较好的监测模式。

只要掌握以上四点,再配以相关的检测工具,做到防止局域网监听也并非难事,系统的安全性决定了信息的良好隐匿。


监听技术:  黑客技术与网管技术的博弈

    当黑客与网管在网络中互拼的时候,问题总是越出越多。小到QQ、MSN,大到机密文件、军事信息,黑客都不会放过。而网络管理员却为了杜绝信息被盗,机密外传总是想方设法的进行拦截加密,补固系统。

    黑客:我们活着总是为了寻找在第三方计算机中一些有价值的东西,有时为了取得目标,我们不择手段不分昼夜的对其漏洞进行分析,并利用其中的软胁进行信息的获得,而文中的网络监听,只是我们取的目标机一定权限后,实施的手段之一。

    网管:黑客技术在一定程序上对计算机处理的信息机密造成一定的丢失,但在某些程度上,也带动了我们安全事业前进的步伐,如果失去黑客技术的网络,那安全事业必将是一潭死水,毫无进步可言,两者是并存的。在网络监听技术中,虽然黑客充分利用了监听技术对系统信息的捕捉,但有经验的网管还是能将其正法,以示网安!

    笔者按:自古攻防有道,网络监听技术作为一种工具,总是扮演着正反两方面的角色。网管对抗黑客事件是屡见不绝,从个人电脑发展到网站服务器,从ASP到PHP,到处都存在着杀险凶招,一个小小的漏洞即能让服务器崩于脚下。网络监听能让密码成明文方式流传,这让怀揣机密文件的用户不得不防,也不可不防!对于入侵者来说,最喜欢的莫过于用户的口令,通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说,网络监听技术又能够在与入侵者的斗争中发挥重要的作用,鉴于目前的网络安全现状,只有从技术上掌握先机才能在安全中取得胜利。


思考:成也Sniffer,败也Sniffer

    事后有人问我:“那以后要是再被安装了监听软件呢?”,这确实是需要考虑的问题。虽然外部网络接入的安全性可以通过SSH2(Secure Shell 把所有传输的数据进行加密)或Kerberos(一种为网络通信提供可信第三方服务的面向开放系统的认证机制)等加密手段得以提高,但公司内部员工的安装行为却很难杜绝,相信这不仅仅是他们一个公司的问题,而是局域网普遍的现象,这就得依赖于个人素质与集体安全整合性了。