什么是sniffer和如何防止sniffer的监听

作者:Jason Drury 日期:NOV.11.2000
翻译:春之律
简介:
sniffers(嗅探器)几乎和internet有一样久的历史了.他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具. 不幸的是,crackers也会运行sniffers以暗中监视你的网络状况和窃走不同种类的数据.这篇文章讲讨论什嘛是sniffers,一些比较普遍的sniffers和如何保护自己不受损失.也讨论一种叫antisniff(防监听)的工具, 它可以自动运行并发现运行在你网络中的sniffers.

什嘛是sniffer
在单选性网络中, 以太网结构广播至网路上所有的机器, 但是只有预定接受信息包的那台计算机才会响应. 不过网路上其他的计算机同样会"看到"这个信息包,但是如果他们不是预定的接受者,他们会排除这个信息包. 当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态, 那么这台计算机就有能力浏览所有的在网络上通过的信息包.
如果你是个internet历史方面的白痴并且在想sniffer这个词从何而来.Sniffer是最初是网络的产物.然后成为市场销售的领先者,人们开始称所有的网络分析器为"sniffers".我猜测这些人是和管棉签叫Q-tip的人一样的.

谁会使用sniffers?
lan/wan 管理员使用sniffers来分析网络信息交通并且找出网络上何处发生问题.一个安全管理员可以同时用多种sniffers, 将它们放置在网络的各处,形成一个入侵警报系统.对于系统管理员来说sniffers是一个非常好的工具,但是它同样是一个经常被hackers使用的工具.crackers安装sniffer以获得用户名和账号,信用卡号码,个人信息,和其他的信息可以导致对你或是你的公司的极大危害如果向坏的方面发展.当它们得到这些信息后,crackers将使用密码来进攻其他的internet 站点甚至倒卖信用卡号码.

常见的sniffers
在securityfocus.com,有8页的sniffer工具.例如Websniff---指定嗅探websever的login(登入)/auth.(准许)信息到Altivore. Network Associates'Sniffer Pro也许是windows环境下最常用的sniffer了.有趣的是,Network Computing将Sniffer Pro放在了它的"10 most important products of the decade"(10年中10种最重要的工具)列表中的第七位.在这里可以找到全部列表:http://www.networkcomputing.com/1119/1119f1products_intro.html

不同于其他的免费软件类sniffers,Sniffer Pro可以探测OSI RDFERENCE模式的7个层并且提供给你一个详细的分析报告.Sniffer是一个非常好的可以帮助你看到网络都在发生什嘛的好工具,不过你可以找到一些好的免费或是共享软件.

UNIX下的sniffers,我比较倾向于snoop.Snoop是按Solaris的标准制作的,虽然Snoop不像是Sniffer Pro那样好,但是它是一个可定制性非常强的sniffer,在加上它是免费的(和Solaris附一起).谁能打败它的地位?你可以在极短时间内抓获一个信息包或是更加深的分析.如果你想学习如何使用snoop,看下面的url:
http://www.enteract.com/~lspitz/snoop.html

击败sniffers
显而易见的,保护网络不受sniffer监听的方法就是不要让它们进入. 如果一个cracker不能通过你的系统进入的话,那么他们无法安装sniffers.我们是有可能防止这个的.但是从发现空前数目的安全漏洞并且大多数公司并没有足够能力来修复以来,crackers开始利用漏洞并安装sniffers.自从crackers看上一个大多数网络通讯流通的中心区域(防火墙或是代理服务器)时,他们便确定这是他们的攻击目标并将被监视.一些可能的"受害者"在服务器的旁边,这时候个人信息将被截获(webserver,smtp sever)
一个好的方式来保护你的网络不受sniffer监视是将网络用以太网接线器代替普通的集线器分成尽可能多的段.接线器可以分割你的网络通讯并防止每一个系统"看到"每个信息包.但是这个解决方法的缺点就是太费钱.这种接线器是普通集线器价钱的两至三倍,但是它值这么多.
另一个方法是,和那种接线器比就是加密术.Sniffer依然可以监视到信息的传送,但是显示的是乱码. 一些加密术的缺点是速度问题和使用一个弱加密术比较容易被攻破.几乎所有的加密术将导致网络的延迟.加密术越强,网络沟通速度就越慢.系统管理员和用户需要在某个地方折中一下. 虽然大多数的系统管理员愿意使用市场上最好的加密术,但是世界上没有一个地方的网络安全用品制造商看起来获益很多.希望近期能有新的加密术,AES(高级加密标准),将提供更好的加密术和透明度给用户以让每个人都开心.有一些加密总是比没有加密要好的多.如果一个crakcer正在你的网络上运行sniffer并发现所有他/她收集的资料都是乱码,那么大多数会转移到其他的没有使用加密术的站点上.但是一份支票或是一个决心,hacker将会破解一个弱加密术标准.所以要变的聪明和提供一个强有力的加密术.

Antisniff
1999年,我们在L0pht Heavy Industries的兄弟发布了一个名为Antisniff的软件.它可以扫描你的网路并测试一台计算机是否运行在混杂模式(监听网路上每个数据包).这是一个很有用的工具因为如果你的网路上有sniffer,那么10次有9次,系统会被危及安全.这曾经发生在Computer Science Department at California State University - stanislaus.这里是他们贴在网站上的:"一个sniffer程序被发现运行在Computer Science网路.Sniffer程序是被用来截获密码的.为了保护我们自己,请更换你的密码.最好用特殊的符号并大于8位的密码"我确定一定有几百个相似的帖子在世界各地被发布但并不被公开.

Antisniff也帮助你找到那些运行sniffer来寻找本地网路上错误的,但缺忘了要求授权的系统管理员.如果你需要运行一个sniffer,那么你应当先得到准许.如果安全系统管理员正在运行Antisniff并发现你正在运行一个sniffer,那么你要解释为什么你没有获得准许就运行sniffer.希望你的安全方针包括关于sniffers的部分并提供一些运行sniffers的指导.

写的同时,Antisniff1.021版本是现在的版本.一个非常好的GUI有效于win95/98/nt机器. 一个命令行译本同样适用于Solaris,OpenBSD和linux.这个版本的antisniff只在单选性线路环境下运行.如果你的网路是又路由器和接线器组成的,那么Antisniff不具备和在单选性网路上的效用.你只能将它用在本地网络而不能通过路由和接线器.根据L0pht的网站来看,下一个版本的Antisniff将有能力通过路由和接线器判断一台计算机是否处于混杂状态.下一个版本的antisniff将对系统管理员十分有益因为集线器的价格正在下降并且大多数公司将提升到100M的速度.cracker依然可以安装sniffers,不同的是,你已经消除了他们获取数据包的能力了.

网络资源
Sniffer Technologies. http://www.sniffer.com/ (2 November 2000)

SecurityFocus http://www.securityfocus.com/ (31 October 2000)

L0pht Heavy Industries, Inc. "AntisSniff Technical Details." http://www.l0pht.com/antisniff/tech-paper.html (31 October 2000)

Morrissey, Pete. "The 10 Most Important Products of the Decade." October 2, 2000
http://www.networkcomputing.com/1119/1119f1products_7.html (8 November 2000)

Machrone, Bill. "How Do I Hack Thee" http://www.zdnet.com/zdnn/stories/comment/0,5859,2385238,00.html (1 November 2000)

Edwards, Mark Joseph. "Antisniff Beta 2" http://www.win2000mag.com/Articles/Index.cfm?ArticleID=7258&SearchString=antisniff (1 November 2000)

Sprenger, Polly. "L0pht Releases AntiSniff" 23 July 1999 http://www.wired.com/news/technology/0,1282,20913,00.html (1 November 2000)

California State University – Stanislaus February 5, 1995 http://yahi.csustan.edu/studnote.html (3 November 2000)

Spitzner, Lance. "The Secrets of Snoop." http://www.enteract.com/~lspitz/snoop.html (9 November 2000)

Book References

Anonymous, "Maximum Security", SAMS, 1998

Skoudis, Edward "Current Hacker Tools and New Hacker Capabilities", SANS December 19, 1999
原文件:http://www.sans.org/infosecFAQ/sniffers.htm 略有改动
转载请著名作者,译者和出处

美国网络联盟(NAI)公司

总部位于著名的加利福尼亚硅谷，是全球第五大独立软件公司，也是最大的致力于网络安全和管理的独立软件公司。

NAI在全世界五大洲拥有3000多名员工，遍布超过65个国家。目前，全球有超过六千万的用户依靠NAI实现关键业务的网络安全、网络可视性及网络管理的需求。

NAI目前是世界上唯一一家能够为企业提供全面网络安全与管理解决方案的厂商。在网络安全涉及的"反病毒"、"入侵检测"、"安全认证"、"加密"、"防火墙"五大领域，只有NAI的产品可以全部覆盖。

NAI--美国网络联盟 (Network Associates Inc.) 的前身是成立于1989年的 McAfee Associates---业界最著名的反病毒安全厂商。1997年，McAfee Associates 与以生产Sniffer著称的Network General 合并，组成了 Network Associates Inc. (NAI--美国网络联盟)。合并后的NAI推出网络防护、管理和监控等业界最全面的产品系列。对PGP和Magic Solutions 的并购，使其进一步完善了网络安全与管理体系的产品线。随着对 TIS (著名生产防火墙的厂商)以及欧洲第一大反病毒公司Dr. Solomon等10家公司收购工作的完成，NAI成为全球网络安全与管理方案的领先供应商。

1998年，NAI的销售收入达到九亿九千万美元。
1999年，NAI确立在网络安全市场的领导地位，占据市场17.1%的份额。
《财富》排名前1000家企业中有97%选择了NAI作为其网络管理解决方案供应商。
《财富》排名前1000家企业中有80%选择了NAI的网络信息安全解决方案。

NAI--美国网络联盟于1998年5月进入中国, 在短短半年的时间内取得了300万美元的销售业绩。现在NAI正致力于向中国的金融、保险、证券、电信、交通、教育系统、政府、能源等多个行业提供关键业务的网络安全保护及全面的解决方案。

全球最好的网络性能提升解决方案

网络对您公司的作用愈来愈重要，同时随之而来的是您要为网络故障付出越来越昂贵的代价。网络速度变慢和停机可以轻而易举使您损失数十万美元的收入。为确保客户和合作伙伴的网络正常使用，在瓶颈造成故障之前，您应该应用网络安全检测和解决的方案。

确保网络的稳定性
在电子商务时代，企业网络已经触及到您公司的每一个角落。在全球范围内，每时每地都有员工使用网络访问商业应用程序，每时每地都有客户登录网站进行交易。为确保持续的网络性能，您需要拥有先进的监控和故障解决工具。据Infonetics Research统计，Sniffer是业界减少网络故障的第一解决方案。这个先进的软件包提供了获奖的网络管理工具，可以帮助您主动监控网络，在故障对使用者、客户和您公司的基础线路产生影响之前将其解决。

Sniffer Technologies

适用于当今复杂的企业网络
Sniffer能确保整个LAN和WAN拓扑网络的最高性能，从10/100兆以太网到最新的高速ATM和千兆位主干网-----贯穿所有企业和Internet。

可以对整个网络的所有七层进行分析
Sniffer软件可以对所有网络七层进行主动的监控和故障解决----从物理层到应用层----所有这些功能都可以实时实现。

确保网络性能
Sniffer Informant软件将为您提供关于网络状况和性能的完整描述，从可使用的带宽网络利用率到应用程序的效率。

可进行完整的网络监测

为使您的网络运行能够保持最高的效率，Sniffer Technologies提供了一整套的便携式及分布式软件工具，可以对网络性能进行监控、故障解决、报告和主动管理。它是业界用于企业网络故障和性能管理的最为智能和强大的工具系列。

显然，没有两个网络具有相同的配置、用户基准、需求或设备。Sniffer在集成的软件包中提供全套主要组件，可以满足您对网络的精确要求。

Sniffer便携式分析软件包
实时网络分析
如果要迅速检测和解决网络故障和性能问题，我们的便携式Sniffer将是全球网络工程师的第一选择。它的专家分析功能可以找出网络、数据库和应用程序故障的根本原因。
Sniffer 的网络分析器可以运行于桌面、便携式和笔记本PC，使用了400多种协议解释和强大的专家分析功能，可以对网络传输进行分析，找出故障和响应缓慢的原因。它甚至可以对多拓扑、多协议网络进行分析---所有这些功能都可以自动地实时实现。

部门网采用Sniffer Basic，可以使用Sniffer的监控和解释分析功能。低成本的实时监控和解释功能使得Sniffer Basic成为MIS人员的理想选择，他们可以对小型企业、远程办公室和部门网进行支持。同时，Sniffer Basic为一线的IS 人员提供了一个可以进行常规故障解决的强大工具。

Sniffer Pro LAN和Sniffer Pro WAN
它们适用于有完整的专家分析和Sniffer先进的协议解释功能要求的网络。Sniffer Pro 对LAN和WAN 网段上的网络传输的所有层进行监测，揭示性能问题，分析反常情况，并推荐解决方案---所有这些功能都可以自动地实时实现。

Sniffer Pro High-Speed
它是用于优化最新的ATM及千兆位以太网性能和其可靠性的工具，Sniffer 独一无二的SmartCapture功能提供了对LAN仿真数据流和IP交换环境的监测。
支持ATM 它在企业网络中，针对每个ATM OC-3和OC-12高速链路，为您提供了一个单独的解决方案。
支持Gigabit它是以全双工速度捕获，解决千兆位协同性问题的唯一的分析器。其强大的处理功能可以提供对千兆位以太网的非对称监测。

Sniffer 分布式分析软件包
集成的专家分析和RMON监控软件包。
我们的分布式Sniffer 解决方案对应用程序传输和网络设备状态进行全天候分析，可以使应用程序保持最高的运行效率。其中包括对部门网、校园网和主干网的集中监控、设备级别报告和故障解决。

分布式Sniffer系统
从一个单独的管理控制台启动自动RMON-适应网段监控和故障识别。Sniffer专家分析软件可以使您以最快的速度解决故障---即使有复杂的网络拓扑、协议和应用程序。

企业故障和网络性能管理解决方案--Distributed Sniffer System/RMON 可以对整个网络中的主要网段（LAN、WAN、ATM和千兆位以太网）提供网络监控、协议解释和专家分析功能。基于标准的监控和专家分析的强有力的结合使之成为多拓扑结构和多协议网络的最优管理工具。

Network Informant Suite
对总体网络性能作出报告
我们强大的基于浏览器的网络信息解决方案可以帮助您识别趋势并管理服务等级。这个企业报告解决方案采取了主动的方式进行网络管理。它通过网络自动从设备中获取数据，然后编译成为网络性能的图形视图。基于浏览器的报告可以提供总体概要分析和详细异常分析，帮助您管理服务级别，控制WAN线路占用，减少网络故障。

Network Informant是用于企业网络性能报告、服务等级管理、WAN线路占用控制和企业诊断的首要的高级解决方案。灵活的基于浏览器的解决方案包括标准的和任选的报告，可以进行配置以满足您公司的特殊需求。Network Informant还可以允许您使用Crystal Reports创建自定义报告，即业界公认的关系数据库报告系统。

RouterPM也是Network Informant软件包中的一个集成部分，为您提供了进行企业WAN和LAN 连续性能分析的最为全面的工具。它是业界唯一的具有预处理和异常报告功能的工具，使您可以预先发现问题并避免故障。最终将使网络具有空前的性能，使最终用户满意。

Sniffer Predictor
当网络需要进行升级时，Sniffer Predictor 将进行预报，确保资源适当以保持运行通畅。
Sniffer Predictor 是一个革命性的基于工具的解决方案，它可以在几秒内预测变化将对网络性能产生何种影响。适用于Sniffer便携式分析软件包和Sniffer

分布式分析软件包。Sniffer Predictor 将供给企业网络管理员和计划者日常使用，他们需要的整个网络及时的性能及计划数据。

专为电子商务而打造的Sniffer

您需要Sniffer，它是最可信赖的解决方案，可以帮助您对网络的有效性和性能进行监控、故障解决、报告和主动管理。据Infonetics Research统计，Sniffer是业界用于减少网络故障的第一解决方案。

为了提供最好的应用程序的响应时间和带宽管理，Sniffer的产品系列中包含了诊断工具，可以在任何时候通知您的网络发生了什么情况。然后Sniffer可以让您使用一整套的工具采取及时的行动，以确保整个LAN和WAN拓扑网络保持最高的性能，从10/100兆以太网到最新的高速ATM和千兆位主干网。 Sniffer的软件可以让您接受今天和可预见的未来所面临的每一个挑战：支持电子商务站点、任务应用程序的有效管理、支持在数据传输中集成声音和视频，或者使交换主干网保持高速。拥有Sniffer软件，您就拥有了解决方案，可以在所有这些领域内都提高性能，同时降低总体成本。

电子商务的投资回收率
Sniffer可以帮助您的电子商务站点高效运行。它为您提供了Web(HTTP和HTIPS)、帧中继、高速企业主干网和网络设备的专家分析和故障解决方案。拥有Sniffer软件，客户将驻足于您的站点进行商务交易，您就可以获得最高的电子商务投资回报率。

对应用的访问
在电子商务中，员工、合作伙伴和客户都需要进行快速、可靠的全天候访问。Sniffer是唯一的可以在网络的所有七层识别和解决问题的网络管理工具----从应用到数据库，从服务器连接到客户处理---所有这些功能都包含在一个产品系列中，都可以实时完成。

集中网络的品质
在每一等级上，Sniffer都是在一个单独的、高带宽网络上管理声音、视频和数据的最好方式。通过分析Voice Over IP(H.323)呼叫设立配置，可以提供更高品质的语音服务，而ATM和千兆位以太网的专家分析功能可以进行高速主干网的故障解决。

交换网络的控制
包含Switch Expert的Sniffer软件是用于以交换机为中心的企业网的唯一专家帮助工具，以清晰的完全自定义报告形式为您提供设备性能、网络利用率甚至VLAN配置的即时监测和控制。