道德黑客 – 嗅探

嗅探是使用嗅探工具监视和捕获通过给定网络的所有数据包的过程。这是一种“窃听电话线”并了解对话的形式。它也被称为应用于计算机网络的窃听。

如果一组企业交换机端口是开放的，那么他们的一个员工可以嗅探网络的整个流量的可能性很大。位于同一物理位置的任何人都可以使用以太网电缆插入网络或无线连接到该网络并嗅探总流量。

换句话说，嗅探允许您查看受保护和未受保护的各种流量。在适当的条件和适当的协议下，攻击方可能能够收集可用于进一步攻击或为网络或系统所有者造成其他问题的信息。

什么东西可以闻？

人们可以从网络中嗅探以下敏感信息 –

• 电子邮件流量
• FTP 密码
• 网络流量
• 远程登录密码
• 路由器配置
• 聊天会话
• DNS 流量

这个怎么运作

嗅探器通常会将系统的 NIC 转换为混杂模式，以便它侦听在其网段上传输的所有数据。

混杂模式是指以太网硬件，特别是网络接口卡 (NIC) 的独特方式，它允许 NIC 接收网络上的所有流量，即使它没有寻址到该 NIC。默认情况下，NIC 会忽略所有未寻址到它的流量，这是通过将以太网数据包的目标地址与设备的硬件地址（也称为 MAC）进行比较来完成的。虽然这对于网络来说非常有意义，但非混杂模式使得使用网络监控和分析软件来诊断连接问题或流量统计变得困难。

嗅探器可以通过解码封装在数据包中的信息，持续监控通过 NIC 进入计算机的所有流量。

嗅探的类型

嗅探本质上可以是主动的或被动的。

被动嗅探

在被动嗅探中，流量被锁定，但不会以任何方式改变。被动嗅探只允许监听。它适用于集线器设备。在集线器设备上，流量被发送到所有端口。在使用集线器连接系统的网络中，网络上的所有主机都可以看到流量。因此，攻击者可以轻松捕获通过的流量。

好消息是，现在集线器几乎已经过时了。大多数现代网络使用交换机。因此，被动嗅探不再有效。

主动嗅探

在主动嗅探中，流量不仅被锁定和监控，而且还可能以某种方式被攻击所确定。主动嗅探用于嗅探基于交换机的网络。它涉及将地址解析数据包(ARP) 注入目标网络以在交换机内容可寻址存储器(CAM) 表上进行泛洪。CAM 会跟踪哪个主机连接到哪个端口。

以下是主动嗅探技术 –

• MAC泛洪
• DHCP 攻击
• DNS中毒
• 欺骗攻击
• ARP中毒

受影响的协议

诸如久经考验的真正 TCP/IP 之类的协议在设计时从未考虑到安全性，因此不会对潜在入侵者提供太多抵抗力。一些规则使其易于嗅探 –

• HTTP – 它用于在没有任何加密的情况下以明文形式发送信息，因此是一个真正的目标。

• SMTP（简单邮件传输协议）- SMTP 主要用于电子邮件传输。该协议是有效的，但它不包括任何防止嗅探的保护。

• NNTP（网络新闻传输协议）- 它用于所有类型的通信，但其主要缺点是数据甚至密码都以明文形式通过网络发送。

• POP（邮局协议）- POP 严格用于从服务器接收电子邮件。该协议不包括对嗅探的保护，因为它可以被捕获。

• FTP（文件传输协议）- FTP 用于发送和接收文件，但它不提供任何安全功能。所有数据都以明文形式发送，可以轻松嗅探。

• IMAP（Internet 消息访问协议）- IMAP 的功能与 SMTP 相同，但它极易被嗅探。

• Telnet – Telnet 以明文形式通过网络发送所有内容（用户名、密码、击键），因此很容易被嗅探。

嗅探器不是仅允许您查看实时流量的愚蠢实用程序。如果您真的想分析每个数据包，请保存捕获并在时间允许的时候查看它。

硬件协议分析仪

在我们深入探讨嗅探器的更多细节之前，重要的是我们先讨论一下硬件协议分析器。这些设备在硬件级别插入网络，无需操作即可监控流量。

• 硬件协议分析器用于监控和识别由安装在系统中的黑客软件产生的恶意网络流量。

• 它们捕获数据包，对其进行解码，并根据一定的规则分析其内容。

• 硬件协议分析器允许攻击者查看通过电缆的每个数据包的单独数据字节。

由于在许多情况下成本巨大，大多数道德黑客并不容易获得这些硬件设备。

合法拦截

合法拦截 (LI) 被定义为合法地访问通信网络数据，例如电话或电子邮件消息。LI 必须始终遵循合法授权进行分析或取证。因此，LI 是一个安全过程，其中网络运营商或服务提供商授予执法人员访问个人或组织私人通信的权限。

几乎所有国家都起草并颁布了立法来规范合法的拦截程序；标准化小组正在创建 LI 技术规范。通常，LI 活动是为了基础设施保护和网络安全。但是，专用网络基础设施的运营商可以在自己的网络内维护 LI 能力作为固有权利，除非另有禁止。

LI 的前身是窃听，自电子通信诞生之日起就已存在。