一 嗅探器攻擊原理

嗅探器(sniffer) 是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層，把網(wǎng)絡(luò)傳輸?shù)娜�部�?shù)據(jù)記錄下來(lái). 嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能。嗅探器可以分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。

不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽(tīng)性是不同的。一般來(lái)說(shuō)，以太網(wǎng)被監(jiān)聽(tīng)的可能性比較高，因?yàn)橐蕴�網(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)；FDDI Token被監(jiān)聽(tīng)的可能性也比較高，盡管它并不是一個(gè)廣播型網(wǎng)絡(luò)，但帶有令牌的那些數(shù)據(jù)包在傳輸過(guò)程中，平均要經(jīng)過(guò)網(wǎng)絡(luò)上一半的計(jì)算機(jī)；微波和無(wú)線網(wǎng)被監(jiān)聽(tīng)的可能性同樣比較高，因?yàn)闊o(wú)線電本身是一個(gè)廣播型的傳輸媒介，彌散在空中的無(wú)線電信號(hào)可以被很輕易的截獲。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：

標(biāo)準(zhǔn)以太網(wǎng)

TCP/IP

IPX

DECNET

FDDI Token

微波和無(wú)線網(wǎng)。

實(shí)際應(yīng)用中的嗅探器分軟、硬兩種。軟件嗅探器便宜易于使用，缺點(diǎn)是往往無(wú)法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片)，也就可能無(wú)法全面了解網(wǎng)絡(luò)的故障和運(yùn)行情況；硬件嗅探器的通常稱(chēng)為協(xié)議分析儀，它的優(yōu)點(diǎn)恰恰是軟件嗅探器所欠缺的，但是價(jià)格昂貴。目前主要使用的嗅探器是軟件的。

嗅探器捕獲真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器通過(guò)將其置身于網(wǎng)絡(luò)接口來(lái)達(dá)到這個(gè)目的--例如將以太網(wǎng)卡設(shè)置成雜收模式。數(shù)據(jù)在網(wǎng)絡(luò)上是以幀(Frame)的單位傳輸?shù)摹�幀通過(guò)特定的稱(chēng)為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上。通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，每一個(gè)在LAN上的工作站都有其硬件地址。這些地址唯一地表示著網(wǎng)絡(luò)上的機(jī)器。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到LAN上所有可用的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以"聽(tīng)"到通過(guò)的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)。如果某在工作站的網(wǎng)絡(luò)接口處于雜收模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀，如果一個(gè)工作站被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。這也是嗅探器會(huì)造成安全方面的問(wèn)題的原因。通常使用嗅探器的入侵者，都必須擁有基點(diǎn)用來(lái)放置嗅探器。對(duì)于外部入侵者來(lái)說(shuō)，能通過(guò)入侵外網(wǎng)服務(wù)器、往內(nèi)部工作站發(fā)送木馬等獲得需要，然后放置其嗅探器，而內(nèi)部破壞者就能夠直接獲得嗅探器的放置點(diǎn)，比如使用附加的物理設(shè)備作為嗅探器(例如，他們可以將嗅探器接在網(wǎng)絡(luò)的某個(gè)點(diǎn)上，而這個(gè)點(diǎn)通常用肉眼不容易發(fā)現(xiàn)。除非人為地對(duì)網(wǎng)絡(luò)中的每一段網(wǎng)線進(jìn)行檢測(cè)，沒(méi)有其他容易方法能夠識(shí)別出這種連接(當(dāng)然，網(wǎng)絡(luò)拓?fù)溆成涔ぞ吣軌驒z測(cè)到額外的IP地址)。

嗅探器可能造成的危害：

嗅探器能夠捕獲口令；

能夠捕獲專(zhuān)用的或者機(jī)密的信息；

可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限；

分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。

二 嗅探器攻擊實(shí)例

Linux、Unix環(huán)境下的嗅探器有：Tcpdump、Nmap、Linuxsniffer、hunt、sniffit 等。Linsniffer是一個(gè)簡(jiǎn)單實(shí)用的嗅探器。它主要的功能特點(diǎn)是用來(lái)捕捉用戶名和密碼，它在也這方面非常出色。注：編譯該軟件需要所在的Linux系統(tǒng)上必須的網(wǎng)絡(luò)包含文件（tvp.h、ip.h、inet.hif_t、her.h）。 雖然這個(gè)工具易于使用，但是Linsniffer需要完整的IP頭文件，包括常常存儲(chǔ)在/usr/include/net和 /usr/include/netinet的頭文件，在編譯前確保PATH變量包含/usr/include。

獲得這個(gè)軟件后，進(jìn)入src目錄，使用下面的命令來(lái)編譯Linsniffer： $ cc linsniffer.c -o linsniffer

要運(yùn)行Linsniffer，使用下面的命令：$ linsniffer

啟動(dòng)以后linsniffer將創(chuàng)建一個(gè)空文件：tcp.log來(lái)存儲(chǔ)嗅探結(jié)果。

舉例說(shuō)明，在一臺(tái)測(cè)試的Linux服務(wù)器中創(chuàng)建一個(gè)名為“goodcjh”的用戶，密碼為“fad”。然后在主機(jī)CJH上使用該用戶來(lái)登錄這臺(tái)Linux服務(wù)器，并進(jìn)行一些常見(jiàn)的用戶操作。下面是進(jìn)行的一次ftp過(guò)程：

CJH$ ftp www.red.net
Connected to www.red.net.
220 www.red.net FTP server Wed Aug 19 02:55:52 MST 2002) ready.
Name (www.red.net:root): goodcjh
331 Password required for goodcjh.
Password:
230 User goodcjh logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls -al
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 .
drwxr-xr-x 6 root root 1024 May 20 19:28 ..
-rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
-rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
-rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
-rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
-rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
-rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc
-rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
-rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
-rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
-rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg
226 Transfer complete.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 .
drwxr-xr-x 6 root root 1024 May 20 19:28 ..
-rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
-rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
-rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
-rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
-rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
-rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc
-rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
-rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
-rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
-rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg
226 Transfer complete.
ftp> ls -F
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 ./
drwxr-xr-x 6 root root 1024 May 20 19:28 ../rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
-rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
-rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
-rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
-rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
-rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc*
-rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
-rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
-rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
-rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh*
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon/
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg/
226 Transfer complete.
ftp> cd lg
250 CWD command successful.
ftp> ls -F
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 8
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 ./
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 ../rw-r--r-- 1 goodcjh goodcjh 70 Aug 22 2002 lg3_colors
-rw-r--r-- 1 goodcjh goodcjh 629 Aug 22 2002 lg3_prefs
-rw-r--r-- 1 goodcjh goodcjh 728 Aug 22 2002 lg3_soundPref
-rw-r--r-- 1 goodcjh goodcjh 2024 Aug 22 2002 lg3_startup
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:15 lg_layouts/
226 Transfer complete.
ftp> cd lg_layouts
250 CWD command successful.

上面是一個(gè)典型的用戶操作過(guò)程。現(xiàn)在我們看看Linsniffer產(chǎn)生的嗅探結(jié)果:

CJH => www.red.net [21]
USER goodcjh
PASS fad
SYST
PORT 172,16,0,1,4,192
LIST -al
PORT 172,16,0,1,4,193
LIST
PORT 172,16,0,1,4,194
LIST -F
CWD lg
PORT 172,16,0,1,4,195
LIST -F

輸出的內(nèi)容是很直觀的。首先它記錄這是從主機(jī) CJH 到 Linux 主機(jī) www.red.net 的 FTP 連接：主機(jī) CJH => linux.red.net [21]。然后，Linsniffer 捕獲了 goodcjh 的用戶名和密碼。最后，Linsniffer 記錄了用戶 goodcjh 使用的每一個(gè)命令：

SYST
PORT 172,16,0,1,4,192
LIST -al
PORT 172,16,0,1,4,193
LIST
PORT 172,16,0,1,4,194
LIST -F
CWD lg
PORT 172,16,0,1,4,195
LIST -F

可見(jiàn)，Linsniffer 的輸出結(jié)果非常簡(jiǎn)潔，并且非常適于竊聽(tīng)密碼及記錄常見(jiàn)的活動(dòng)。但缺點(diǎn)是不適合于進(jìn)行更加復(fù)雜的分析。

嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能。嗅探器是一把雙刃劍,它也有很大的危害性。嗅探器的攻擊非常普遍。一個(gè)位置好的嗅探器可以捕獲成千上萬(wàn)個(gè)口令。1994年一個(gè)最大的嗅探器攻擊被發(fā)現(xiàn). 這次攻擊被認(rèn)為是危害最大的一次，許多可以FTP，Telnet或遠(yuǎn)程登陸的主機(jī)系統(tǒng)都受到了危害。在這件事故(攻擊者處于Rahul.net)中，嗅探器只運(yùn)行18小時(shí)。在這段時(shí)間里，有幾百臺(tái)主機(jī)被泄密。“受攻擊者包括268個(gè)站點(diǎn)，包括MIT、美國(guó)海軍和空軍、Sun、IBM、NASA、和加拿大、比利時(shí)大學(xué)一些主機(jī)……”

三 嗅探器的安全防范

1、檢測(cè)嗅探器。

檢測(cè)嗅探器可以采用檢測(cè)混雜模式網(wǎng)卡的工具。由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，能夠檢測(cè)混雜模式網(wǎng)卡的AntiSniff是一個(gè)工具。軟件可以在http://www.l0pht.com/antisniff/下載，另外還有詳細(xì)的使用說(shuō)明。

證明你的網(wǎng)絡(luò)有嗅探器有兩條經(jīng)驗(yàn)：

網(wǎng)絡(luò)通訊丟包率非常高： 通過(guò)一些網(wǎng)管軟件，可以看到信息包傳送情況，最簡(jiǎn)單是ping命令。它會(huì)告訴你掉了百分之多少的包。如果你的網(wǎng)絡(luò)結(jié)構(gòu)正常，而又有20％－30％數(shù)據(jù)包丟失以致數(shù)據(jù)包無(wú)法順暢的流到目的地。就有可能有人在監(jiān)聽(tīng)，這是由于嗅探器攔截?cái)?shù)據(jù)包導(dǎo)致的。

網(wǎng)絡(luò)帶寬出現(xiàn)反常：通過(guò)某些帶寬控制器，可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽(tīng)。應(yīng)該也可以察覺(jué)出網(wǎng)絡(luò)通訊速度的變化。

對(duì)于SunOS、和其它BSD Unix系統(tǒng)可以使用lsof(該命令顯示打開(kāi)的文件)來(lái)檢測(cè)嗅探器的存在。lsof的最初的設(shè)計(jì)目地并非為了防止嗅探器入侵，但因?yàn)樵谛崽狡魅肭值南到y(tǒng)中，嗅探器會(huì)打開(kāi)其輸出文件，并不斷傳送信息給該文件，這樣該文件的內(nèi)容就會(huì)越來(lái)越大。如果利用lsof發(fā)現(xiàn)有文件的內(nèi)容不斷的增大，我們就懷疑系統(tǒng)被嗅探。因?yàn)榇蠖鄶?shù)嗅探器都會(huì)把截獲的"TCP/IP"數(shù)據(jù)寫(xiě)入自己的輸出文件中。這里可以用：ifconfig le0檢查端口.然后用：

＃/usr/sbin/lsof >test

＃vi test 或 grep [打開(kāi)的端口號(hào)]

檢測(cè)文件大小的變化。

注意如果你確信有人接了嗅探器到自己的網(wǎng)絡(luò)上，可以去找一些進(jìn)行驗(yàn)證的工具。這種工具稱(chēng)為時(shí)域反射計(jì)量器(Time Domaio Reflectometer，TDR)。TDR對(duì)電磁波的傳播和變化進(jìn)行測(cè)量。將一個(gè)TDR連接到網(wǎng)絡(luò)上，能夠檢測(cè)到未授權(quán)的獲取網(wǎng)絡(luò)數(shù)據(jù)的設(shè)備。不過(guò)很多中小公司沒(méi)有這種價(jià)格昂貴的工具。

2、將數(shù)據(jù)隱藏，使嗅探器無(wú)法發(fā)現(xiàn)。

嗅探器非常難以被發(fā)現(xiàn), 因?yàn)樗鼈兪潜粍?dòng)的程序一個(gè)老練的攻擊者可以輕易通過(guò)破壞日志文件來(lái)掩蓋信息。它們并不會(huì)給別人留下進(jìn)行核查的尾巴.。完全主動(dòng)的解決方案很難找到，我們可以采用一些被動(dòng)的防御措施：

安全的拓?fù)浣Y(jié)構(gòu)；

會(huì)話加密；

用靜態(tài)的ARP或者IP－MAC對(duì)應(yīng)表代替動(dòng)態(tài)的。

安全的拓?fù)浣Y(jié)構(gòu)：

嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)行數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就越少。但是，除非你的公司是一個(gè)ISP，或者資源相對(duì)不受限制，否則這樣的解決方案需要很大的代價(jià)。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備。有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過(guò)的：交換機(jī)、路由器、網(wǎng)橋。我們可以通過(guò)靈活的運(yùn)用這些設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)分段。大多數(shù)早期建立的內(nèi)部網(wǎng)絡(luò)都使用HUB集線器來(lái)連接多臺(tái)工作站，這就為網(wǎng)絡(luò)中數(shù)據(jù)的泛播(數(shù)據(jù)向所有工作站流通)，讓嗅探器能順利地工作提供了便利。普通的嗅探器程序只是簡(jiǎn)單地進(jìn)行數(shù)據(jù)的捕獲，因此需要杜絕網(wǎng)絡(luò)數(shù)據(jù)的泛播。 隨著交換機(jī)的價(jià)格下降，網(wǎng)絡(luò)改造變得可行且很必要了。不使用HUB而用交換機(jī)來(lái)連接網(wǎng)絡(luò)，就能有效地避免數(shù)據(jù)進(jìn)行泛播，也就是避免讓一個(gè)工作站接收任何非與之相關(guān)的數(shù)據(jù)。 對(duì)網(wǎng)絡(luò)進(jìn)行分段，比如在交換機(jī)上設(shè)置VLAN，使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送。一般可以采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)字。然后，每個(gè)月人為地對(duì)每段進(jìn)行檢測(cè)(也可以每個(gè)月采用MD5隨機(jī)地對(duì)某個(gè)段進(jìn)行檢測(cè))。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。如果有一個(gè)500個(gè)工作站的網(wǎng)絡(luò)，分布在50個(gè)以上的部門(mén)中，那么完全的分段的成本上是很高的。

會(huì)話加密：

會(huì)話加密提供了另外一種解決方案。不用特別地?fù)?dān)心數(shù)據(jù)被嗅探，而是要想辦法使得嗅探器不認(rèn)識(shí)嗅探到的數(shù)據(jù)。這種方法的優(yōu)點(diǎn)是明顯的：即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對(duì)他也是沒(méi)有用的。S/key和其它一次性口令技術(shù)一樣，使竊聽(tīng)?zhēng)ぬ?hào)信息失去意義。S/key的原理是遠(yuǎn)程主機(jī)已得到一個(gè)口令（這個(gè)口令不會(huì)在不安全的網(wǎng)絡(luò)中傳輸），當(dāng)用戶連接時(shí)會(huì)獲得一個(gè)"挑戰(zhàn)"(challenge)信息，用戶將這個(gè)信息和口令經(jīng)過(guò)某個(gè)算法運(yùn)算，產(chǎn)生正確的"響應(yīng)"(response)信息（如果通訊雙方口令正確的話）。這種驗(yàn)證方式無(wú)需在網(wǎng)絡(luò)中傳輸口令，而且相同的"挑戰(zhàn)/響應(yīng)"也不會(huì)出現(xiàn)兩次。S/key可從以下網(wǎng)址得到：ftp://thumper.bellcore.com/pub/nmh/skey。它的缺點(diǎn)是所有帳號(hào)信息都存放在一臺(tái)主機(jī)中，如果該主機(jī)被入侵，則會(huì)危及整個(gè)網(wǎng)絡(luò)安全。另外配置它也不是一件簡(jiǎn)單的事情。Kerberos包括流加密rlogind和流加密telnetd等，它可以防止入侵者捕獲用戶在登錄完成后所進(jìn)行的操作。 在加密時(shí)有兩個(gè)主要的問(wèn)題：一個(gè)是技術(shù)問(wèn)題，一個(gè)是人為問(wèn)題。

技術(shù)是指加密能力是否高。例如，64位的加密就可能不夠，而且并不是所有的應(yīng)用程序都集成了加密支持。而且，跨平臺(tái)的加密方案還比較少見(jiàn)，一般只在一些特殊的應(yīng)用之中才有。人為問(wèn)題是指，有些用戶可能不喜歡加密，他們覺(jué)得這太麻煩。用戶可能開(kāi)始會(huì)使用加密，但他們很少能夠堅(jiān)持下。總之我們必須尋找一種友好的媒介-使用支持強(qiáng)大這樣的應(yīng)用程序，還要具有一定的用戶友好性。使用secure shell、secure copy或者IPV6協(xié)議都可以使得信息安全的傳輸。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，SMTP、HTTP、FTP、POP3和Telnet等在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，嗅探器非常容易就可以截獲這些口令和數(shù)據(jù).SSH的英文全稱(chēng)是Secure Shell。通過(guò)使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣"中間服務(wù)器"這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取�SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個(gè)安全的"通道"。SSH綁定在端口22上，其連接采用協(xié)商方式使用RSA加密。身份鑒別完成之后，后面的所有流量都使用IDEA進(jìn)行加密。SSH（Secure　Shell）程序可以通過(guò)網(wǎng)絡(luò)登錄到遠(yuǎn)程主機(jī)并執(zhí)行命令。SSH的加密隧道保護(hù)的只是中間傳輸?shù)陌踩�性，使得任何通常的嗅探工具軟件無(wú)法獲取發(fā)送的內(nèi)容。它提供了很強(qiáng)的安全驗(yàn)證可以在不安全的網(wǎng)絡(luò)中進(jìn)行安全的通信.所以它是防范嗅探器的一種方法。

用靜態(tài)的ARP或者IP－MAC對(duì)應(yīng)表代替動(dòng)態(tài)的ARP或者IP－MAC對(duì)應(yīng)表。

該措施主要是進(jìn)行滲透嗅探的防范，采用諸如ARP欺騙手段能夠讓入侵者在交換網(wǎng)絡(luò)中順利完成嗅探。網(wǎng)絡(luò)管理員需要對(duì)各種欺騙手段進(jìn)行深入了解，比如嗅探中通常使用的ARP欺騙，主要是通過(guò)欺騙進(jìn)行ARP動(dòng)態(tài)緩存表的修改。在重要的主機(jī)或者工作站上設(shè)置靜態(tài)的ARP對(duì)應(yīng)表，比如win2K系統(tǒng)使用arp命令設(shè)置，在交換機(jī)上設(shè)置靜態(tài)的IP-MAC對(duì)應(yīng)表等，防止利用欺騙手段進(jìn)行嗅探的手法。

除了以上三點(diǎn)另外還要重視重點(diǎn)區(qū)域的安全防范 。這里說(shuō)的重點(diǎn)區(qū)域，主要是針對(duì)嗅探器的放置位置而言。入侵者要讓嗅探器發(fā)揮較大功效，通常會(huì)把嗅探器放置在數(shù)據(jù)交匯集中區(qū)域，比如網(wǎng)關(guān)、交換機(jī)、路由器等附近，以便能夠捕獲更多的數(shù)據(jù)。因此，對(duì)于這些區(qū)域就應(yīng)該加強(qiáng)防范，防止在這些區(qū)域存在嗅探器。

四 防范嗅探器應(yīng)用案例

1、Linux下SSH安裝

在www.ssh.com，下載最新版本軟件包SSH2，最好下載源程序軟件包自己進(jìn)行編譯。

# tar -zxvf ssh2-2.4.0.tar.gz
# cd ssh2-2.4.0
# ./configure ;# make ;#make install

這一過(guò)程實(shí)際上將服務(wù)器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端軟件包。 安裝程序?qū)�SSH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。

2、配置

SSH的配置文件在/etc/ssh2下，其中包括sshd2的主機(jī)公鑰和私鑰：hostkey和hostkey.pub。這兩個(gè)文件通常是在安裝SSH時(shí)自動(dòng)生成的。你可以通過(guò)下面的命令重新來(lái)生成它們：（而ssh2_config 文件一般情形下無(wú)需修改）

# rm /etc/ssh2/hostkey*
# ssh-keygen2 -P /etc/ssh2/hostkey

3、啟動(dòng)SSH服務(wù)器

在UNIX/Linux環(huán)境下，服務(wù)器程序放置在/usr/local/sbin目錄下，啟動(dòng)方法如下：

# sshd

# ps x

如果不希望每次重啟動(dòng)系統(tǒng)，都要手工運(yùn)行啟動(dòng),在rc.local中加入一行/usr/local/sbin/sshd。

4、使用SSH

安裝好ssh之后，我們可以很方便地在遠(yuǎn)程服務(wù)器上利用ssh獲得一個(gè)shell。例如，假設(shè)我執(zhí)行：

# ssh cjh@red.forge.net

首先看到系統(tǒng)提示輸入密碼，輸入后我就在遠(yuǎn)程機(jī)器上獲得了一個(gè)shell。從這里開(kāi)始，ssh的會(huì)話過(guò)程和telnet會(huì)話相似。但SSH能夠確信所有在我和服務(wù)器之間傳輸?shù)臄?shù)據(jù)都已經(jīng)經(jīng)過(guò)加密。如果你很熟悉rsh和它的選項(xiàng)，那么你很快就可以開(kāi)始使用ssh。ssh被設(shè)計(jì)成和rsh具有相同的運(yùn)作方式。一般情況下，能夠用rsh作為傳輸端口的程序都允許用ssh來(lái)替代（例如rsync）。安全復(fù)制命令scp的用法也很簡(jiǎn)單，它的語(yǔ)法和cp的語(yǔ)法很相似。例如，要把my.php文件復(fù)制到cjh.org服務(wù)器，則我們使用如下命令：

# scp my.php cjh@cjh.org:/usr/local/apache/htdocs/

此時(shí)，我們將看到密碼輸入提示（正如ssh）。接下來(lái)，本地機(jī)器當(dāng)前目錄下的my.php文件被復(fù)制到cjh.org的/usr/local/apache/htdocs/，使用的登錄名字是cjh。從使用上看，與Telnet沒(méi)有什么不同之處。而且有了SSH客戶端軟件，如果你要上傳文件，不必向以前一樣再開(kāi)一個(gè)FTP窗口，再次認(rèn)證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠(yuǎn)端服務(wù)器上。

scp命令是SSH中最方便有用的命令，如果告訴你在兩臺(tái)服務(wù)器之間直接傳送文件，僅用scp-個(gè)命令就完全解決.你可以在一臺(tái)服務(wù)器上以root身份運(yùn)行:

#scp servername：/home／ftp／pub／file1．／

這樣就把另一臺(tái)服務(wù)器上的文件/home／ftp／pub／file1直接傳到本機(jī)器的當(dāng)前目錄下。

以上我們講的是技術(shù)方面，對(duì)于網(wǎng)絡(luò)的安全，管理顯得格外重要。除網(wǎng)絡(luò)管理員外其他人員禁止在網(wǎng)絡(luò)中使用任何嗅探工具包括一些企業(yè)高級(jí)管理人員，是完全有必要的。這能從制度上明確限制一些工作站主動(dòng)使用嗅探器的情況。

對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)更重要的是要建立安全意識(shí)，了解你的用戶（系統(tǒng)管理員越熟悉自己的用戶和用戶的工作習(xí)慣，就越能快速發(fā)現(xiàn)不尋常的事件，而不尋常的事件往往意味著系統(tǒng)安全問(wèn)題。）、定期檢查你網(wǎng)絡(luò)中的重點(diǎn)設(shè)備如服務(wù)器,交換機(jī),路由器。最好配備一些專(zhuān)業(yè)工具比如前邊介紹的TDR。網(wǎng)絡(luò)管理員還要給用戶提供安全服務(wù)。對(duì)用戶要定期發(fā)送安全郵件,發(fā)送郵件是讓用戶具有安全意識(shí)。管理意識(shí)是提高安全性的另-個(gè)重要因素。如果用戶的管理部門(mén)對(duì)安全要求不強(qiáng)烈，只靠系統(tǒng)管理員也不行。最好讓管理部門(mén)建立一套每個(gè)人都必須遵守的安全標(biāo)準(zhǔn)，如果系統(tǒng)管理員在此基礎(chǔ)再建立自己的安全規(guī)則，就強(qiáng)化了安全。管理有助于加強(qiáng)用戶意識(shí)，讓用戶明確，信息是有價(jià)值的資產(chǎn)。系統(tǒng)管理員應(yīng)當(dāng)使安全保護(hù)方法對(duì)用戶盡可能地簡(jiǎn)單，提供一些提高安全的工具。網(wǎng)絡(luò)管理員要建立合理的用戶痛苦量（痛苦量是指安全限制引起的抵制的函數(shù)），不能僅僅從技術(shù)上考慮問(wèn)題，還要站在用戶的觀點(diǎn)上考慮。例如，我們能夠想每次Macintosh用戶登錄時(shí)都使用S／Key嗎?用戶知道的關(guān)于安全的知識(shí)越多，網(wǎng)絡(luò)安全就更有保障。

五 總結(jié)

嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它工作的時(shí)候就像一部被動(dòng)聲納，默默的接收看來(lái)自網(wǎng)絡(luò)的各種信息，通過(guò)對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出網(wǎng)絡(luò)中的漏洞。在網(wǎng)絡(luò)安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造成很大的安全危害，主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。對(duì)于一個(gè)安全性要求很?chē)?yán)格的企業(yè)，在使用技術(shù)防范的同時(shí)安全管理的制度建設(shè)也是非常重要的。

嗅探器技術(shù)并非尖端科技，只能說(shuō)是安全領(lǐng)域的基礎(chǔ)課題。對(duì)嗅探器技術(shù)的研究并不要求太多底層的知識(shí)，它并不神秘。實(shí)際上我們的一些網(wǎng)管軟件，和一些網(wǎng)絡(luò)測(cè)試儀都使用了嗅探器技術(shù)。只是許多計(jì)算機(jī)軟件供應(yīng)商對(duì)其一直諱莫如深。回避這個(gè)基本事實(shí)是不明智的。了解掌握它才是關(guān)鍵。這也筆者的寫(xiě)作動(dòng)機(jī)。