“黑”语字典:嗅探
网络安全
嗅探(Sniffer)技术是网络安全攻防技术中很重要的一种。对于黑客来说,通过嗅探技术能以非常隐蔽的方式获取网络中的大量敏感信息。与主动扫描相比,嗅探更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术的支持,可以对网络活动进行实时监控,并及时发现各种网络攻击行为。
黑客使用一种名为《嗅探器》的工具进行嗅探,这种工具最初是作为网络管理员检测网络通信的一种工具。它既可以是软件,又可以是一个硬件设备。相对来说,软件嗅探器应用方便,针对不同的操作系统平台有各种不同的嗅探器软件,而且很多都是免费的。硬件嗅探器通常被称作协议分析器,其价格一般都很高。通常情况下,Sniffer指的都是软件嗅探器。
在局域网中,由于以太网的共享形式特性决定了嗅探能够成功。因为以太网是基于广播方式传送数据的,所有的物理信号都会被传送到每一个主机节点,此外网卡可以被设置成混杂接收模式。在这种模式下,无论监听到的数据帧目的地址如何,网卡都能接收。而TCP/IP协议栈中的应用协议大多数是以明文在网络上传输的,这些明文数据中往往包含一些敏感信息,如密码、账号等。
因此使用嗅探可以悄无声息地监听到所有局域网内的数据通信,得到敏感信息。同时由于嗅探的隐蔽性好,它只是“被动”的接收数据,而不向外发送数据,所以在传输数据的过程中根本无法觉察到有人监听。当然,嗅探的局限性是只能在局域网的冲突域中进行,或者是在点到点连接的中间节点上进行监听。
曾经的案例
MSN Messenger是微软公司推出的即时通讯软件,凭借自身的优秀性能和简便操作,已跻身为目前世界上使用最为广泛的IM软件之列。可是最近一款名为《MSN Chat Monitor & Sniffer》的软件却让MSN用户忧心忡忡,因为该软件可以记录局域网络中所有正在传输的MSN聊天内容和IP地址,嗅探到的聊天内容将以明文显示,同时可以设置软件将聊天记录保存到硬盘,甚至可以将聊天纪录以电子邮件的形式发送给攻击者。
简单防御方法
1.及时安装相应的补丁
系统管理人员需要定时查看软件服务商或者某些网络安全站点,在这些站点中寻找最新漏洞公告。下载并安装最新的相关补丁、安全配置等内容,并采取建议的相应对策。
2.监控本地局域网的数据帧
查找异常网络行为是较好的检测策略,因此系统管理员可以运行自己的嗅探器,监控网络中指定主机的DNS流量,或使用分析计数器工具测量当前网络的信息包延迟时间。
3.对敏感数据加密.
对敏感数据加密是保证网络安全的必要条件。其安全级别取决于加密算法的强度和密钥的强度,系统管理人员可以使用加密技术,避免使用明文传输信息。