嗅探是使用嗅探工具监视和捕获通过给定网络的所有数据包的过程.这是一种"窃听电话线"的形式,并了解对话.它也被称为窃听应用于计算机网络.
如果一组企业交换机端口打开,那么他们的员工就有很多可能性可以嗅探网络的整个流量.位于同一物理位置的任何人都可以使用以太网电缆插入网络,或者无线连接到该网络并嗅探总流量.
换句话说,嗅探可以让您看到各种流量,受保护和不受保护.在适当的条件下并且使用正确的协议,攻击方可能能够收集可用于进一步攻击的信息或导致网络或系统所有者的其他问题.
可以从网络中嗅探以下敏感信息 :
电子邮件流量
FTP密码
网络流量
Telnet密码
路由器配置
聊天会话
DNS流量
嗅探器通常会将系统的网卡转为混杂模式,以便侦听其网段上传输的所有数据.
混杂模式是指以太网硬件的独特方式,特别是网络接口卡(NIC),它允许NIC接收网络上的所有流量,即使它不是针对此NIC.默认情况下,NIC会忽略未发送给它的所有流量,这是通过将以太网数据包的目标地址与设备的硬件地址(例如MAC)进行比较来完成的.虽然这对于网络非常有意义,但非混杂模式使得难以使用网络监控和分析软件来诊断连接问题或流量计费.
嗅探器可以通过解码封装在数据包中的信息,持续监控通过NIC到计算机的所有流量.
嗅探可以是主动或被动.
在被动嗅探中,流量被锁定,但不会以任何方式改变.被动嗅探只允许听力.它适用于Hub设备.在集线器设备上,流量将发送到所有端口.在使用集线器连接系统的网络中,网络上的所有主机都可以看到流量.因此,攻击者可以轻松捕获流量.
好消息是,集群现在几乎已经过时了.大多数现代网络使用交换机因此,被动嗅探不再有效.
在主动嗅探中,流量不仅被锁定和监控,而且还可能由攻击决定以某种方式改变.主动嗅探用于嗅探基于交换机的网络.它涉及将地址解析数据包(ARP)注入目标网络以泛滥交换机内容可寻址存储器(CAM)表. CAM跟踪哪个主机连接到哪个端口.
以下是主动嗅探技术 :
MAC Flooding
DHCP攻击
DNS中毒
欺骗攻击
ARP中毒
协议,例如经过验证的TCP/IP从来没有考虑到安全性,因此不会对潜在的入侵者提供太多抵抗力.有几条规则适合轻松嗅探 :
HTTP : 它用于以明文形式发送信息,无需任何加密,因此也是真正的目标.
SMTP (简单邮件传输协议) ) : SMTP基本上用于电子邮件的传输.该协议是有效的,但它不包括任何防止嗅探的保护.
NNTP (网络新闻传输协议) : 它用于所有类型的通信,但其主要缺点是数据甚至密码都以明文形式通过网络发送.
POP (邮局协议) : POP严格用于接收来自服务器的电子邮件.该协议不包括防止嗅探的保护,因为它可以被捕获.
FTP (文件传输协议) : FTP用于发送和接收文件,但它不提供任何安全功能.所有数据都以明文形式发送,可以轻松嗅探.
IMAP (互联网信息访问协议) : IMAP在功能上与SMTP相同,但它很容易被嗅探.
Telnet : Telnet通过网络将所有内容(用户名,密码,击键)作为明文发送,因此可以轻松嗅探.
嗅探器是不是允许您只查看实时流量的哑实用程序.如果您真的想要分析每个数据包,请保存捕获并在时间允许的情况下进行检查.
在我们进一步了解详情之前对于嗅探器,重要的是我们讨论硬件协议分析器.这些设备在硬件级别插入网络,可以监控流量而无需操作.
硬件协议分析仪用于监控并识别系统中安装的黑客软件产生的恶意网络流量.
他们捕获数据包,对其进行解码,并根据某些规则分析其内容.
硬件协议分析器允许攻击者查看通过电缆的每个数据包的各个数据字节.
大多数道德黑客都不能使用这些硬件设备,因为在很多情况下它们的成本很高.
合法拦截(LI)定义为对通信网络数据(如电话或电子邮件)的法律认可访问.为了分析或证据,李必须始终遵守合法的权力.因此,LI是一个安全流程,网络运营商或服务提供商允许执法官员访问个人或组织的私人通信.
几乎所有国家都起草并颁布了法规来规范合法拦截程序;标准化小组正在创建LI技术规范.通常,LI活动是出于基础设施保护和网络安全的目的.但是,私有网络基础设施的运营商可以将自己网络中的LI功能作为固有权利维护,除非另有禁止.
LI以前称为窃听并具有自电子通信开始以来就存在.