Sniffer類經典軟體介紹 http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=84008 Sniffer(嗅探器)是一種常用的收集有用資料方法, 這些資料可以是用戶的帳號和密碼, 可以是一些商用機密資料等等. Sniffer可以作為能夠捕獲網路報文的設備, ISS為Sniffer這樣定義:Sniffer是利用電腦的網路介面截獲目的地為其他電腦的資料報文的一種工具. Sniffer根據網路的類型分為兩個類別: 1.交換環境下的Sniffer 2.共用環境下的Sniffer 交換環境下的Sniffer往往是通過對交換機進行ARP欺騙, 變成一個中間人進行截獲資料. 共用環境下的Sniffer僅僅只需要把本機的網卡設置為混雜模式就可以監聽網路上所有的資料報, 而不需要進行任何欺騙行為. Sniffer的原理: 交換環境的網路使用交換機(Switch)連接各個網路節點, 而共用環境的網路則採用集線器連接各個節點. 先說共用環境吧, 共用網路也成為集線器網路, 資料報到達集線器以後, 集線器會把資料報轉發到每個集線器的埠, 換句話說, 集線器連接的每個網路節點都有權利收到所有的資料報. 運行Sniffer以後, Sniffer會把網卡設置為混雜模式, 一旦設置為混雜模式, Sniffer就可以接受所有的資料報, 這樣也就達到了Sniffer的目的. 交換環境, 通過使用交換機代替共用環境下的集線器, 能夠解決集線器的幾個安全問題, 交換機通過自己的ARP緩存列表來決定把資料報發送到某個埠, 這樣就不是把一個資料報轉發到各個埠了, 這樣的做法一方面大大提高了網路的性能, 另一方面也提高了安全性, 在交換環境下, 即使網卡設置為混雜模式, 也只能監聽本機的資料包, 因為交換機不會把其他節點的資料報轉發給嗅探主機了. 所以, 在交換環境下必須想辦法讓被嗅探主機的資料報發到嗅探主機來, 能夠實現這種目的方法叫做ARP欺騙(ARP Spoofing), 這種方式通過偽造ARP資料包欺騙交換機使交換機更新ARP緩存列表達到欺騙的目的, 這樣發送到被嗅探的主機的資料報完全轉發到嗅探主機來, 而被嗅探主機收不到任何的資料包, 為了使得能夠正常的截獲資料報, 嗅探主機除了充當嗅探的身份之外, 還要充當中間人的身份. 具體的原理和方式可以去Google上搜索ARP欺騙. 交換環境下在不使用ARP欺騙的情況下, 如何能夠進行整網的資料分析呢 我提供2種方法進行參考: 1. 在根節點使用帶有鏡像功能的交換機, 這種功能的交換機可以設置為把所有的資料報都轉發到某一指定埠上, 在該埠上可以連接運行Sniffer的主機. 2. 如果您的根節點交換機沒有這種功能, 那麼可以在根節點上方添加一台集線器, 集線器1個埠連接交換機, 另外一個埠就可以連接運行Sniffer的主機了. 下面的這些是我個人認為比較經典的Sniffer,值得收藏. 1. libpcap 版本: v0.8.3 更新日期: 2004-03-30 介紹: libpcap是Unix或Linux從內核捕獲網路資料包的必備工具, 它是獨立於系統的API介面, 為底層網路監控提供了一個可移植的框架, 可用於網路統計收集、安全監控、網路調試等應用. 很多Unix或Linux下的網路程式都需要libpcap才能夠運行. Windows平臺下類似的程式為Winpcap. 下載路徑: Software/Network/libpcap/ (包括最新版、穩定版以及開發文檔) 2. Winpcap 版本: v3.1 Beta3 更新日期: 2004-05-15 介紹: WinPcap類似於libpcap, 支援Win32平臺, Winpcap提供了3個模組:NPF(Netgroup Packet Filter,內核級的數據報篩檢程式),packet.dll(底層的動態連接庫),wpcap.dll(架構在packet.dll之上,提供了更方便、更直接的編程方法). 很多網路工具(Sniffer等)都是使用Winpcap進行開發的, 運行這些網路工具, 均需要安裝Winpcap. 我曾經使用過VBS調用Winpcap寫過console下的Sniffer. ~_* 下載路徑: Software/Network/Winpcap/ (包括最新版、穩定版以及開發文檔) 3. Network Associates Sniffer Portable 版本: v4.7.5 SP4 更新日期: 2004-05-20 介紹: NAI 公司出品的Sniffer, 作為NAI公司的主打產品, 價格也是不菲的. Sniffer Portable 是一系列網路故障和性能管理解決方案, 網路專業人士可以使用它對多拓樸結構和多協定網路進行維護、故障解決、優化調整和擴展. Sniffer Portable 軟體可以在桌面機、可擕式電腦或者筆記本等硬體平臺上運行, 並且可以利用高級自定義硬體元件確保全線速的捕獲能力. Sniffer Portable非常出色, 其區別於其他Sniffer主要為以下幾個方面: 自定義硬體: 通過自定義硬體, 使Sniffer Portable可以實現線速捕捉、過濾以及觸發功能. 詳細的報告: 可以生成基於 RMON1/RMON2 的圖形報告, 以及由 Sniffer Portable 應用程式收集的類似資料. 從帶寬使用率到潛在的網路衰減, Sniffer Reporter 提供詳盡資料來幫助您規劃未來的網路需求. 有關乙太網和權杖環的可用報告包括: 主機表、矩陣、協定分發、全局統計及其他報告. Sniffer Voice 選項: Sniffer Voice 是一個與 Sniffer Portable 集成的增值包,它提供語音和視頻聚合流量的必要資訊, 主要用於VoIP網路. 下載路徑: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/ 4. WildPackets EtherPeek NX 版本: v2.1 更新日期: 2004-06-12 介紹: EtherPeek NX 是第一個提供資訊包捕獲過程中即時進行專業診斷和結構解碼的網路協定分析器. EtherPeek NX專門為IT人員設計, 幫助他們分析和診斷日益加速變化的網路資料群, 對現今網路面臨的眾多故障提供精確和最新的分析. 我收藏的這個版本中包括iNetTools和PacketGrabber兩款附帶產品, iNetTools提供了一些比較有用的網路工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款遠端資料報收集程式. 同時也提供了Peek SDK, 方便用戶自己開發插件, SDK文檔在安裝路徑下1033\Documents\Peek SDK\的目錄裏. 適用於Windows的EtherPeek是一種屢受嘉獎的乙太網流量和協定分析器. EtherPeek確立了“輕鬆使用”的行業標準. EtherPeek 是"全球國際網路測試聯盟"從五種網路分析器中評選出的最優產品. 下載路徑: Software/Network/WildPackets.EtherPeek.NX.v2.1/ 5. Iris Network Traffic Analyzer 版本: v4.0.7 更新日期: 2003-12-29 介紹: 由業內知名公司Eeye出品的Sniffer, Iris的優點在於:便於使用、全面豐富的流量狀態和報告、高級資料重建功能、精密的資料包操作和偽造能力、擴展的過濾功能、資料分析能力. 個人認為Iris在資料重建功能、資料包偽造以及資料分析能力上比較突出. 資料重建功能可以把原始的資料包還原成完整的HTTP、FTP、SMTP和POP3會話.使用Iris的資料重建功能可以很輕鬆的查看網路傳輸的Mail信件、用戶流覽的網頁以及未加密的FTP傳輸. Iris的資料包編輯器可以讓用戶創建自定義的或者欺騙的資料包. 資料分析能力上在於Iris 可以分析其他知名的Sniffer保存的資料包捕捉檔. 另外值得一提的是, Eeye公司站點上免費提供一些定義好的篩檢程式檔, 大部分主要是針對病毒和蠕蟲的. 下載路徑: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/ 6. TamoSoft CommView 版本: v4.1.344 更新日期: 2004-02-19 介紹: CommView系列是Windows下比較優秀的商業Sniffer產品, 支援NDIS3.0驅動標準, 功能大致上和其他一些Sniffer差不多, 另外, 結合CommView Remote Agent可以實現遠端嗅探. TamoSoft CommView for WIFI 版本: v4.2.360 更新日期: 2004-04-09 介紹: CommView for WiFi 是CommView的特別版本, 設計用來捕獲和分析無線網路, 支援802.11a/b/g協定. 下載路徑: Software/Network/TamoSoft.CommView/ TamoSoft CommView Remote Agent 版本: v1.1.43 更新日期: 2004-03-04 介紹: CommView Remote Agent 是CommView的專用的、可選的元件, 設計用來進行遠端網路監視. 下載路徑: Software/Network/TamoSoft.CommView/ 7. Ettercap 版本: NG 0.7.0 RC1 更新日期: 2004-06-14 介紹: Ettercap 是一套LAN下中間人攻擊的工具, 屬於開源項目, 支持多種平臺(Linux, BSD, Windows, Solaris,Mac OS), 其功能包括嗅探活動連接、On the Fly模式的內容過濾以及其他一些有趣的欺騙功能. Ettercap 支援主動和被動多種協定的分析, 並包括其他網路和主機分析的功能. 另外, Ettercap具有插件功能, 自帶不少功能不錯的插件, 也允許第三方編寫插件. 在安裝了OpenSSL以後可以支援SSH1以及HTTPS. 下載路徑: Software/Network/Ettercap/ 8. Ethereal 版本: v0.10.4 更新日期: 2004-05-13 介紹: Ethereal 是全球最流行的網路協定分析器, 功能強大而且支援平臺最多的一款Sniffer(支持以下平臺:Windows, Linux, Solaris, Mac OS, BSD, BeOS, Tru64 Unix, HP-UX, AIX, Irix等), 屬於開源項目. 支援分析的協定有512種之多, 支持即時和非即時兩種模式.Windows下運行需要Winpcap庫. 下載路徑: Software/Network/Ethereal/ (包括源代碼和Windows下的安裝檔) 9. Packetyzer 版本: v2.0.0 更新日期: 2004-04-22 介紹: Packetyzer 是為數不多的開源的Windows平臺下的優秀Sniffer, 支援483種協定, 與Neutrino Sensor結合在一起可以截獲和分析802.11資料包, 我個人比較喜歡Packetyzer的資料報標記色彩功能. 需要安裝Winpcap. 下載路徑: Software/Network/Packetyzer/ (包括源代碼和安裝檔) 10. Cain & Abel 版本: v2.5 Beta56 更新日期: 2004-06-14 介紹: Cain & Abel 是一套Windows平臺下強大的密碼截獲與破解工具, 只所以我把它歸納為Sniffer裏面來, 主要是因為Cain & Abel主要的功能在於Sniffer方面, 它支持共用環境和交換環境下進行截獲, Cain 和 Abel是分開的的兩個工具(Cain作為用戶端,Abel作為服務端). 功能非常之強大, 詳細功能請訪問: http://www.oxid.it/cain.html . 在新的版本中增加了無線網路的支援. 運行需要Winpcap. 下載路徑: Software/Network/Cain&Abel/ 11. TCPDump / WinDump 版本: v3.8.3 更新日期: 2004-03-30 介紹: Tcpdump是一款眾人皆知和受人喜歡的基於命令行的網路資料包分析和嗅探工具. 它能把匹配規則的資料包的包頭給顯示出來, 使用TCPDump去查找網路問題或者去監視網路上的狀況. WinDump是Tcpdump在Windows平臺上的移植版. 下載路徑: Software/Network/TCPDump/ (包括TCPDump和WinDump) 12. dsniff 版本: v2.4 Beta2 更新日期: 2004-06-14 介紹: dsniff 是一個 UNIX 可執行工具的集合, 它是為執行網路審核和網路滲透而設計的. 擁有ARP欺騙功能, 應該也能算是最早具有交換環境下嗅探功能的Sniffer了. 作者已經在 OpenBSD、Red Hat Linux 和 Solaris 下對它進行了測試. 一個早期版本(1.8)已經被移植到 Windows 下. dsniff 最早由 Dug 於 1999 年 12 月發佈. dsniff 依賴于一些第三方套裝軟體, 包括 Berkeley DB、OpenSSL、libnet、和 libnids. 下載路徑: Software/Network/dsniff/ (包括2.3,2.4b1,2.4b2以及1.8 for Windows版本) 13. sniffit 版本: v0.37 Beta 更新日期: 1998-07-17 介紹: Sniffit是由Lawrence Berkeley Laboratory開發的,可以在Linux、Solaris、SGI、Windows等各種平臺運行的Sniffer,提供了不少商業版Sniffer所沒有的功能,支持腳本和插件功能. 另外可以使用tod(Touch of Death)插件, tod通過向目的機器發送RST包來切斷目的機器的TCP連接. Windows版本由Symbolic遷移, 運行需要Winpcap. 下載路徑: Software/Network/sniffit/ 14. Snarp 版本: v0.9h 更新日期: 2001-03-21 介紹: Windows 平臺下交換網路的嗅探器. 具體的說明請參照Readme.txt. 下載路徑: Software/Network/Snarp/ 15. ARPSniffer 版本: v0.5 更新日期: 2002-08-12 介紹: 小榕寫的Windows 平臺下交換網路的嗅探器. 另外在流光5中, 增加了Remote ANS(Remote ARP Network Sniffer)功能,這個工具採用了Sensor/GUI的結構. 運行需要Winpcap. 下載路徑: Software/Network/ARPSniffer/ 台灣災難都是事後算帳 無人飛行載具(Unmanned Aerial Vehicle，UAV)為什麼沒大量應用於救災行列