Sniffer窃企业机密 ARP检测抓内鬼

ZDNet 安全频道频道 更新时间:2008-06-13 作者: 来源:SohuIT

本文关键词:Sniffer 混杂模式 ARP

  作者: netexpert,  出处:it168, 责任编辑: 郭秋爽,  2008-06-06 10:47



  Sniffer是网络故障的有效检测工具,但同时也是企业网络的极大威胁,必要的时候也要抓出Sniffer内鬼。



  在局域网中,Sniffer是一个很大的威胁。恶意用户可以籍此看到一些机密文件和及一些个人的隐私。Sniffer对安全有如此的威胁,但它可以方便的在因特网上下免费下栽并安装在PC上。但是,目前为止,还没有很好的方法来检测谁的PC安装了Sniffer软件。这篇文档将讨论利用ARP包来检测那些在公司和学校局域网内Sniffing的恶意用户。



  网卡混杂模式:为Sniffer窃取信息开后门



  局域网通常是以太网组成的。在以太网上用的是IPV4协议,数据是明文传输的,除非用了加密软件。当用户发信息到网络上时,他只希望网络另一端的用户能接收到。不幸的是,以太网的机制给未被授权的用户提供了窃听信息的机会。



  我们知道,在以太网中,信息会发送到网络中所有的节点,有些节点会接收这些信息,同时有些节点会简单的丢弃这些信息。接收或丢弃信息由网卡来控制。网卡不会接收所有发到局域网的数据包,即使它连在以太网上;相反它会过滤掉一些特定的数据包。在这篇文档里,我们将称这种过滤为网卡的硬件过滤。Sniffer会被网卡设置成特定的模式,这样网卡就可以接收所有到达的数据包了,而不管它是不是这些包指定的目的地址。这种网卡的模式称为混杂模式。



  Sniffer接收所有的数据包,而不是发送一些非法包。所以它不会干扰网络的正常运行,因此很难检测到这种恶意行为。虽然如此,网卡的混杂模式显然是不同于正常模式的。一个本来应该被过滤的包在这种模式下会被允许到达系统内核。是不是做出响应取决于系统内核。



  

安全频道 Sniffer 最新报道

安全频道 混杂模式 最新报道

安全频道 ARP 最新报道

[an error occurred while processing this directive]