Chinaunix首页 | 论坛 | 博客
  • 博客访问: 754579
  • 博文数量: 771
  • 博客积分: 6000
  • 博客等级: 准将
  • 技术积分: 5005
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-11 14:24
文章分类

全部博文(771)

文章存档

2011年(1)

2008年(770)

我的朋友

分类:

2008-09-11 14:39:06

    编者按:Sniffer是网络故障的有效检测工具,但同时也是企业网络的极大威胁,必要的时候也要抓出Sniffer内鬼。
  
  网卡混杂模式:为Sniffer窃取信息开后门
  寻找Sniffer窃取者的致命弱点
  ARP检测包找出混杂模式节点
  软件过滤破获Sniffer窃取者
  结论:不同系统采用不同的措施

    在局域网中,Sniffer是一个很大的威胁。恶意用户可以籍此看到一些机密文件和及一些个人的隐私。Sniffer对有如此的威胁,但它可以方便的在因特网上下免费下栽并安装在PC上。但是,目前为止,还没有很好的方法来检测谁的PC安装了Sniffer软件。这篇文档将讨论利用ARP包来检测那些在公司和学校局域网内Sniffing的恶意用户。
  
  网卡混杂模式:为Sniffer窃取信息开后门
  
  局域网通常是以太网组成的。在以太网上用的是IPV4,数据是明文传输的,除非用了加密软件。当用户发信息到网络上时,他只希望网络另一端的用户能接收到。不幸的是,以太网的机制给未被授权的用户提供了窃听信息的机会。
  
  我们知道,在以太网中,信息会发送到网络中所有的节点,有些节点会接收这些信息,同时有些节点会简单的丢弃这些信息。接收或丢弃信息由网卡来控制。网卡不会接收所有发到局域网的数据包,即使它连在以太网上;相反它会过滤掉一些特定的数据包。在这篇文档里,我们将称这种过滤为网卡的硬件过滤。Sniffer会被网卡设置成特定的模式,这样网卡就可以接收所有到达的数据包了,而不管它是不是这些包指定的目的地址。这种网卡的模式称为混杂模式。
  
  Sniffer接收所有的数据包,而不是发送一些非法包。所以它不会干扰网络的正常运行,因此很难检测到这种恶意行为。虽然如此,网卡的混杂模式显然是不同于正常模式的。一个本来应该被过滤的包在这种模式下会被允许到达系统内核。是不是做出响应取决于系统内核。

[1]     

【责编:Zenghui】

--------------------next---------------------

阅读(477) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~