sniffer问题，高分请求各位高手

分类: 电脑/网络 >>互联网

问题描述:

我们寝室最段时间老是掉线，用卡巴杀毒又没有毒，用P2P终结者检测网络查出，我们可能处于sniffer状态，请问一下各位高手怎么解决？谢谢啦

解析:

当你在两台计算机上同时使用Sniffer其中一台一般都会报出存在另一个Sniffer，当然也不排除的确存在安全隐患，你可以这样，由于sniffer不能跨网段扫描~你可以划分网段将计算机隔离~完全禁止同寝室的计算机互相通讯~发包都不让~这不影响你们正常上网~平时的通讯尽量用加密等级高的方式比如上支持的站点~计算机路由器的密码都要定期更换~系统重新做~这样就可以防止信息被窃~如果真的存在嗅探者~那你们可要当心~这是个高手~不过我的办法能让你的防御等级上一个台阶~如果嗅探是他的绝招那么他还需要学习一年多才能排除我设下的障碍~速度应该会上去~你们可以用基本的网络命令查一下~看是不是路由器的问题~因为这样一个高手没必要去一个普通学生寝室抓包获取信息~

Sniffer（嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。 在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。

嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。

为了对sniffer的工作原理有一个深入的了解，我们先简单介绍一下HUB与网卡的原理。

预备知识

HUB工作原理

由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。

交换式HUB的内部单片程序能记住每个口的MAC地址，以后就该哪个机器接收就发往哪个口，而不是像共享HUB那样发给所有的口，所以交换HUB下只有该接收数据的机器的网卡能接收到数据，当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了，所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信，而交换HUB两个机器传输数据的时候别的口没有占用，所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方，共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。

网卡工作原理

再讲讲网卡的工作原理。网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断， *** 作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让 *** 作系统处理。

局域网如何工作

数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。

帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉 *** 作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。

通常在局域网（LAN）中同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有“广播地址”。

在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断，该中断能引起 *** 作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

当采用共享HUB，用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。

如果局域网中某台机器的网络接口处于杂收（promiscuous）模式（即网卡可以接收其收到的所有数据包，下面会详细地讲），那么它就可以捕获网络上所有的报文和帧，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。

Sniffer

Sniffer原理

有了这HUB、网卡的工作原理就可以开始讲讲SNIFFER。首先，要知道SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包（一般叫作杂收promiscuous模式：指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。），在共享HUB下就能接收到这个网段的所有包，但是交换HUB下就只能是自己的包加上广播包。

要想在交换HUB下接收别人的包，那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换HUB维护一个物理口（就是HUB上的网线插口，这之后提到的所有HUB口都是指网线插口）与MAC的表，所以可以欺骗交换HUB的。可以发一个包设置源MAC是你想接收的机器的MAC，那么交换HUB就把你机器的网线插的物理口与那个MAC对应起来了，以后发给那个MAC的包就发往你的网线插口了，也就是你的网卡可以SNIFFER到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的，那机器发包后交换HUB就又记住他的口了，所以实际上是两个在争，这只能应用在只要收听少量包就可以的场合。

内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器，如果要想不影响原来两方的通信，可以欺骗两方，让其都发给你的机器再由你的机器转发，相当于做中间人，这用ARP加上编程很容易实现。并且现在很多设备支持远程管理，有很多交换HUB可以设置一个口监听别的口，不过这就要管理权限了。

利用这一点，可以将一台计算机的网络连接设置为接受所有以太网总线上的数据，从而实现sniffer。Sniffer就是一种能将本地网卡状态设成‘杂收’状态的软件，当网卡处于这种“杂收”方式时，该网卡具备“广播地址”，它对遇到的每一个帧都产生一个硬件中断以便提醒 *** 作系统处理流经该物理媒体上的每一个报文包。（绝大多数的网卡具备置成杂收方式的能力）

可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：标准以太网、TCP/IP、IPX、DECNet。

嗅探器造成的危害

sniffing是作用在网络基础结构的底层。通常情况下， 用户并不直接和该层打交道，有些甚至不知道有这一层存在。所以，应该说snffer的危害是相当之大的，通常，使用sniffer是在网络中进行欺骗的开始。它可能造成的危害：

嗅探器能够捕获口令。这大概是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd。

能够捕获专用的或者机密的信息。比如金融帐号，许多用户很放心在网上使用自己的xyk或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、xyk号码、截止日期、帐号和pin。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。

窥探低级的协议信息。

这是很可怕的事，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正要进行一次欺骗（通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号），如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）

事实上，如果你在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。

一般Sniffer只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西……

简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。将嗅探器放置于被攻击机器或网络附近，这样将捕获到很多口令，还有一个比较好的方法就是放在网关上。sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。如果这样的话就能捕获网络和其他网络进行身份鉴别的过程

Sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人，并嗅探到大量的用户口令。本文将详细介绍Sniffer的原理和应用。 一、Sniffer 原理 1．网络技术与设备简介 在讲述Sni计er的概念之前，首先需要讲述局域网设备的一些基本概念。 数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉 *** 作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。 每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。 2．网络监听原理 Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情况下，网络硬件和TCP／IP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进人了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。 基于Sniffer这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权 3 Snifffer的分类 Sniffer分为软件和硬件两种，软件的Sniffer有 NetXray、Packetboy、Net monitor等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。 实际上本文中所讲的Sniffer指的是软件。它把包抓取下来，然后打开并查看其中的内容，可以得到密码等。Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。 4．网络监听的目的 当一个黑客成功地攻陷了一台主机，并拿到了root权限，而且还想利用这台主机去攻击同一网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个LOg文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进人这台主机。 如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。 Sniffer属于第M层次的攻击。就是说，只有在攻击者已经进入了目标系统的情况下，才能使用Sniffer这种攻击手段，以便得到更多的信息。 Sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在以太网上传送的数据包。 Sniffer是一种比较复杂的攻击手段，一般只有黑客老手才有能力使用它，而对于一个网络新手来说，即使在一台主机上成功地编译并运行了Sniffer，一般也不会得到什么有用的信息，因为通常网络上的信息流量是相当大的，如果不加选择地接收所有的包，然后从中找到所需要的信息非常困难；而且，如果长时间进行监听，还有可能把放置Sniffer的机器的硬盘撑爆。

满意请采纳。

简述Sniffer

本文是一简单的关于SHIFFER的描述，对于不太知道SNIFFER的人来说可能适用，

高手就免进了，要深一层次的就看如袁哥，BACKEND写的文章吧。

I 什么是SNIFFER呢？

一般我们在讲的SNIFFER程序是把NIC（网络适配卡，一般如以太网卡）置为一种

叫promiscuous杂乱模式的状态，一旦网卡设置为这种模式，它就能是SNIFFER程序

能接受传输在网络上的每一个信息包。普通的情况下，网卡只接受和自己的地址

有关的信息包，即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式

的信息，就需要系统支持bpf，LINUX下如SOCKET-PACKET，但一般情况下网络硬件

和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包，所以为了绕过

标准的TCP/IP堆栈，网卡就必须设置为我们刚开始将的杂乱模式，一般情况下，

要激活这种方式，必须内核支持这种伪设备bpfilter，而且需要ROOT用户来运行

这种SNIFFER程序，所以大家知道SNIFFER需要ROOT身份安装，而你即使以本地用户

进入了系统，你也嗅探不到ROOT的密码，因为不能运行SNIFFER。

基于SNIFFER这样的模式，可以分析各种信息包可以很清楚的描述出网络的结构

和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着

SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以

这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。

下面描述了一些传输介质被监听的可能性：

Ethernet 监听的可能性比较高，因为Ethernet网是一个广播型的网络，困扰着

INTERNET的大多数包监听时间都是一些运行在一台计算机中的包监听

程序的结果。这台计算机和其他计算机，一个网关或者路由器形成一个

以太网。

FDDI Token- 监听的可能性也比较高，尽管令牌网内的并不是一个广播型网络，

ring实际上，带有令牌的那些包在传输过程中，平均要经过网络上一

半的计算机。但高的传输率将使监听变得困难。

电话线 监听的可能性中等，电话线可以被一些与电话公司协作的人或者一些

有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也

会被截获。在实际中，高速的MODEM比低速的MODEM搭线困难的多，

因为高速MODEM引入了许多频率。

IP通过有监听的可能性比较高，使用有线电视信道发送IP数据包依靠RF调制

线电视信道 解调器，RF调制解调器使用一个TV通道用于上行，一个用于下行。

在这些线路上传输的信息没有加密，因此，可以被一些可以物理上

访问到TV电缆的人截获。

微波和 监听的可能性比较高，无线电本来上一个广播型的传输媒介，任何一

无线电 一个无线电接受机的人可以截获那些传输的信息。

现在多数的SNIFFER只监视连接时的信息包，原因是SNIFFER如果接受全部

的信息包，一个是LOG记录极其大，而且会占用大量的CPU时间，所以在一个担负

繁忙任务的计算机中进行监听，由于占用的CPU和带宽就可以怀疑有SNIFFER在工作，

当你觉得有异常现象的时候就先需要一些简单的方法检测。

虽然可以使用PS或者netstat的命令去查看是否有可以进程和连接信息的转态，

但入侵者改变了ps或者netstat程序也就不能发现这些程序了，其实修改ps命令只

须短短数条SHELL命令，即可将监听软件的名字过滤掉。

下面的两个方法原理简单，但 *** 作起来比较困难：

1，对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去PING，运行

监听程序的机器回有响应，这是因为正常的机器不接受错误的物理地址，处于监

听状态的机器能接受，如果他的IP STACK不再次反向检查的话，就会响应，这种

方法依赖系统的IP STACK，对有些系统可能行不通。

2，往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能

下降，通过比较前后该机器性能（icmp echo delay等方法）加以判断，这种方法

难度较大点。

一些流行的SNIFFER

SNIFFIT：这是一个比较的SNIFFER，它由Brecht Clearhout所写，这是你应该最先

用的程序，这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次

登陆会话进程刚刚好。：p

SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，

用来跟踪一些网络活动。

TCP DUMP：这个SNIFFER很有名，FREEBSD还搭带在系统上，是一个被很多UNIX高手

认为是一个专业的网络管理工具，记得以前Tsutomu Shimomura （应该叫下村

侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVIN MITNICK攻击他系统的

记录，后来就配合FBI抓住了KEVIN MITNICK，后来他写了一文：使用这些LOG

记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack

(http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt)

ADMsniff:这是非常有名的ADM黑客集团写的一个SNIFFER程序。

linsniffer:这是一个专门设计杂一LINUX平台上的SNIFFER。

Esniffer:这个也是一个比较有名的SNIFFER程序。

Sunsniff:这个是用在SUNOS系统上的SNIFFER，此程序应该在十年前推出的吧。

Solsniffer:这是个Solaris sniffer，主要是修改了SunSniff专门用来可以

方便的在Solair平台上编译。

这些程序attrition收集起来了，大家可以到下面的URL下载：

http://www.attrition.org/security/newbie/security/sniffer/

一些流行的检测SNIFFER的程序：

http://www.attrition.org/security/newbie/security/sniffer/promisc.c--

是一个很小的C程序，当编译好后，会查找本地机器上任何处于杂乱模式的NIC网络

适配卡。

http://www.attrition.org/security/newbie/security/sniffer/neped.c--

是一个用来远程检查任何嗅探活动的程序，可惜它只在LINUX下编译，当然你

也可以简单的使用'ifconfig -a'来检查你的UNIX机器是否有PROMISC标志。

http://www.l0pht.com/antisniff/这是L0pht写的很好的反SNIFFER程序，L0PHT

还打算公开LINUX版本上的源码版本。

另外，如果机器上使用两块网卡，把一块设置为杂乱模式，并把IP地址设置

为0.0.0.0，另一块卡处于正常的模式并是正确的地址，这样将很难发现SNIFFER的

存在。

一些资源：

大家可以到http://www.securityfocus.com/找到很多关于SNIFFER的程序，

PHRACK 54（FILE 10）的文章awesome article 很好的解释了很多方法和技巧来对付SNIFFER，

http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt

是Shimomura写的文章(How Mitnick hacked Tsutomu Shimomura with an IP sequence attack)

。也可以到http://www.l0pht.com/站点下载Antisniffer，

这确实是一个不错的工具。

---