5.檢查網絡嗅探器

　　入侵者侵入一個UNIX系統后，為了獲得用戶名和密碼信息，一般會在系統上安裝一個網絡監視程序，這種程序就叫作嗅探器或者數據包嗅探器。對于NT，入侵者會使用遠程管理程序實現上述目的。

　　判斷系統是否被安裝了嗅探器，首先要看當前是否有進程使你的網絡接口處于混雜（Promiscuous）模式下。如果任何網絡接口處于promiscuous模式下，就表示可能系統被安裝了網絡嗅探器。注意如果你重新啟動了系統或者在單用戶模式下操作，可能無法檢測到Promiscuous模式。使用ifconfig命令就可以知道系統網絡接口是否處于promoscuous模式下(注意一定使用沒有被侵入者修改的ifconfig):

#/path-of-clean-ifconfig/ifconfig -a

　　有一些工具程序可以幫助你檢測系統內的嗅探器程序：

　　cpm(Check Promiscuous Mode)--UNIX可以從以下地址下載：

ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/

　　ifstatus--UNIX可以從以下地址下載：

ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/

　　neped.c可以從以下地址的到：

ftp://apostols.org/AposTolls/snoapshots/neped/neped.c

　　一定要記住一些合法的網絡監視程序和協議分析程序也會把網絡接口設置為promiscuous模式。檢測到網絡接口處于promicuous模式下，并不意味著系統中有嗅探器程序正在運行。

　　但是，在Phrack雜志的一篇文章:(Phrack Magazine Volume 8,Issue 53 July 8,1998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些針對FreeBSD、Linux、HP-UX、IRIX和Solaris系統的模塊，可以擦除IFF_PROMISC標志位，從而使嗅探器逃過此類工具的檢查。以此，即使使用以上的工具，你沒有發現嗅探器，也不能保證攻擊者沒有在系統中安裝嗅探器。

　　現在，LKM(Loadable Kernel Model,可加載內核模塊)的廣泛應用，也增加了檢測難度。關于這一方面的檢測請參考使用KSAT檢測可加載內核模塊。

　　還有一個問題應該注意，嗅探器程序的日志文件的大小會急劇增加。使用df程序查看文件系統的某個部分的大小是否太大，也可以發現嗅探器程序的蛛絲馬跡。建議使用lsof程序發現嗅探器程序打開的日志文件和訪問訪問報文設備的程序。在此，還要注意:使用的df程序也應該是干凈的。

　　一旦在系統中發現了網絡嗅探器程序，我們建議你檢查嗅探器程序的輸出文件確定哪些主機受到攻擊者威脅。被嗅探器程序捕獲的報文中目的主機將受到攻擊者的威脅，不過如果系統的密碼是通過明文傳輸，或者目標主機和源主機互相信任，那么源主機將受到更大的威脅。

　　通常嗅探器程序的日志格式如下：

-- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)

　　使用如下命令可以從嗅探器程序的日志文件中得到受到威脅的主機列表：

% grep PATH: $sniffer_log_file | awk '{print $4}' |
awk -F( '{print $1}'| sort -u

　　你可能需要根據實際情況對這個命令進行一些調整。一些嗅探器程序會給日志文件加密，增加了檢查的困難。

　　你應該知道不只是在嗅探器程序日志文件中出現的主機受到攻擊者的威脅，其它的主機也可能受到威脅。

　　建議你參考http://www.cert.org/advisories/CA-94.01.ongoing.network.monitoring.attacks.html獲得更為詳細的信息。