科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Sniffit常见问题及防范策略深入分析

Sniffit常见问题及防范策略深入分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

telnet/ftp/pop3的密码都是明文传送的,都是易被检测的,apache的基本方式的用户名/密码认证也是UU编码后的口令,也是易被检测的。 不要用普通的共享式HUB,用交换机来代替它,目前只有交换机和路由器能阻止sniffit的作用.

作者: 51cto 2008年4月14日

关键字: 嗅探 网络嗅探 Sniffer 端口扫描

  • 评论
  • 分享微博
  • 分享邮件

  1. sniffit 既是个优秀的管理工具也是个危险的侵入工具。可被管理员用来检查网络中到底传输了些什么,学习各种tcp/ip协议的工作方法,也能被攻击者利用,主要是记录密码。

  2. 工作原理: 为什么能检查密码和不是传送给自己的数据呢?

  在典型的LAN环境中,(指共享式HUB上连接的两个用户A和B),基于共享式HUB的工作原理,用户A发出的所有tcp/ip请求在HUB的每个端口上广播,正常情况下,B不接收这些目标地址不是自己的数据,但是一旦我们在B机上运行sniffit一类的监听工具,就能置网卡于第三种叫混杂模式的状态下(前两种为tcp,udp模式),在该状态下,网卡接受所有的数据,不管是发给自己的,还是不发给自己的,都被网卡接收并直接传给最上层应用层,交由相应的软件如sniffit处理。

  3。常见用法

  a. 检测telnet/ftp/pop3密码:

  #sniffit -a -A. -p 23 -b -t 192.168.11.@

  #sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)

  b. 查看http头信息

  #sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火墙外部地址)

  c. 记录输出到文件

  #sniffit -p 21 -l 0 -b -s 192.168.11.2 &

  d. 查看icmp消息

  #sniffit -p icmp -b -s 192.168.1.2

  e. 交互式界面

  #sniffit -i

  f. 检查本网段内发出名字广播的机器

  #sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255

  g. 注意防火墙的情况

  若要检查防火墙内部网卡上的包eth1,可能你要设置 -F eth1参数,因为默认地sniffit 假设为eth0

  4.哪些信息是敏感的和易被检测的?

  telnet/ftp/pop3的密码都是明文传送的,都是易被检测的,apache的基本方式的用户名/密码认证也是UU编码后的口令,也是易被检测的。

  5. 怎样阻止?

  硬件: 不要用普通的共享式HUB,用交换机来代替它,目前只有交换机和路由器能阻止sniffit的作用

  软件: 用带加密功能的tcp/ip连接,象ssh/scp全面代替telnet/ftp/pop3,用MD5方式的apache认证

  6。作用范围:

  仅在逻辑子网内有效,不能跨子网,因为广播不被路由器传递,但若是在服务器上运行sniffit,则任何方法均无效,对防火墙来说,通常sniffit攻击是第二层攻击,就是先得到一个普通帐号进入再探寻更多的口令。

  7. 怎样判断是否有人在用sniffit?

  可检测网络接口(ifconfig)看是否处于混杂模式来确认是否被侵入并安装了sniffit,只限本机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章