免费的sniffer--sniffit

---

http://www.vlan9.com 作者: 2005-12-06 来源:进入讨论

　　
　　 二、免费的 sniffer----sniffit
　　 Sniffit是由Lawrence Berkeley Laboratory开发的可以在Linux、Solaris、SGI、NT等各种平台运行的网络监听软件，它主要针对TCP／IP协议的不安全性，对运行该协议的机器进行监听。和所有的Sniffer一样，数据包必须经过运行Sniffit的机器才能被监听，因此，Sniffit只能够监听同一个网段上的机器。
　　 由于Sniffit安装简便、功能强大，目前已成为黑客在UNIX中的首选Sniffer。在对网上一些被人侵的主机进行安全检测时，经常发现相当多的被人侵主机已经被黑客安装了Sniffit。
　　 Sniffit的另一特点是能够自由地为其增加某些插件以实现额外功能，这在后面会专门介绍。
　　1.安装
　　 （1）用 tar zvfx sniffit.*.*.*.tgz将下载的sniffit.*.*.*.tgz解压缩到你想要的目的文件夹，如果版本是0.3.7的话，你会看到该目录下出现一个Sniffit.0.3.7的目录。
　　 （2）打开Sniffit.0.3.7目录。
　　 （3）执行／configure && make命令，只要在这个过程中终端上没有意外的错误信息出现，就算编译成功了一可以得到一个二进制的Sniffit文件，直接运行它即可。
　　 （4）最后用make clean命令清除掉临时文件。
　　2．使用方法
　　 Sniffit有如下一些命令选项：
　　-V: 显示版本信息
　　-t＜ip nr/name＞:让程序去监听指定流向某IP的数据包
　　-s＜ip nr／name＞:让程序去监听从某IP流出的IP数据包，可以使用＠通配符，如-t 199.145.
　　@
　　-i:显示出窗口界面，能查看当前在所属网络上进行连接的机器
　　-I：扩展的交互模式，忽略所有其他选项，比一i强大得多
　　-C＜file＞：利用脚本来运行程序
　　-F＜device＞：强制使程序使用网络硬盘
　　-n:显示出假的数据包。如果使用ARP、RARP或者其他不是P的数据包也会显示出来
　　-N:只运行plugin时的选项，使其他选项失效
　　下面是在-I模式下无法工作的参数:
　　-b:同时做-t和-s的工作
　　-d：将监听所得内容显示在当前终端——以十六进制表示
　　-a：将监听所得内容显示在当前终端——以ASCll字符表示
　　-X:打印 TCP包的扩展信息
　　（SEQ、ACK、Flags），可以与-a、-d、－s、-t、-b一起运作。注意：它是通过标准来输出到屏幕的，如果只用-t、-s、-b 而没有其他参数配合的话，不会被写人文件
　　-R＜file＞:将所有通信记录在文件中
　　-r＜file＞:这一选项将记录文件送往Sniffit，它需要-F的参数配合指明设备假设用'eth0'(第一块网卡)来记录文件,必须在命令行里加上'-F eth0'或'-F eth'，遇到不认识的字符时用指定的字符代替
　　-P＜protocol＞:定义监听的协议，默认为TCP也可以选 IP、ICMP、UDP
　　-p＜port＞定义监听端口，默认为全部
　　-l＜length＞:设定数据包大小，默认是300字节
　　-M＜Plugin＞：激活插件
　　
　　还有一些在一I、一i模式下使用的参数：
　　-D＜device＞：所有的记录会被送到这个磁盘上在一C模式下使用的参数：
　　-L＜logparam＞：其中logparam可以是如下的内容：
　　raw：轻度
　　norm：常规
　　telnet：记录口令（端口23）
　　ftp：记录口令（端口21）
　　mail：记录信件内容（端口25）
　　 这些参数可以组合使用，如 telnet ftP mail norm等。
　　 （1）图形仿真界面：
　　 用上面提到的一i选项，可以进人图形界面的Sniffit，即直接输人 sniffit -i，就会出现一个窗口环境，从中可以看到自己所在的网络中有哪些机器正在连接，使用什么端口号。其中可用的命令如下：
　　 G：产生数据包，正常情况下只有UDP协议才会产生，执行此命令要回答一些关于数据包的问题
　　 N：产生一个小窗口，包括TCP、IP、ICMP、UDP等协议的流量
　　 R：刷新屏幕，重新显示正在连接的机器
　　 Q：退出窗口环境，结束程序
　　 F1：改变来源网域的IP地址，默认为全部
　　F2：改变目的网域的IP地址，默认为全部
　　F3：改变来源机器的端口号，默认为全部
　　F4：改变目的机器的端口号，默认为全部
　　 （2）使用示例：
　　 假设在一个子网中有两台主机，一台运行了Sniffit，为 sniffit.com，另一台的IP地址是 66.66.66.7我们称之为target.com，按下列步骤操作：
　　 1、检查Sniffer是否能运行：
　　 sniffit：~/#sniffit-d-p 7 -t 66.66.66.7
　　 并且打开另一个窗口：
　　 sniffit：~/$telnet target.com 7
　　 应该可以看到Sniffit将远程登录到对方7号端口 echo服务的包捕获了。
　　 2、截获target.com上的用户密码：
　　 sniffit：~/# sniffit-p 23 -t 66.66.66.7
　　 意思是只监听TELNET(23)端口的包。
　　 3、如果target.com主机的根用户声称有陌生的FTP连接并且希望记录其动作：
　　 Siffit:~/# sniffit -p 21 -1 0 -t 66.66.66.7
　　 4、阅读所有进出 target.com 的信件：
　　 sniffit:~/# sniffit -p 25 -1 0 -b -t 66.66.66.7 &
　　 或者
　　 sniffit:~/# sniffit -p 25 -1 0 -b -s 66.66.66.7 &
　　 5、有错误发生时截获控制信息：
　　 sniffit:~/# sniffit -P icmp -b -s 66.66.66.7
　　 6、监听所有从66.66.66.7进出的包，对其进行完全监视：
　　 sniffit:~/# sniffit -P ipicmptcp -p 0 -b -a -d -x -s 66.66.66.7
　　 7 、用more 66* 命令读取用下列方式记录的密码：
　　 sniffit:~/# sniffit -p 23 -A . -t 66.66.66.7
　　 或者
　　 sniffit:~/# sniffit -p 23 -A^-t dummy.net
　　 (3)高级应用
　　 1、用脚本执行
　　 这是配合选项-c的，其执行方法也很简单，比如以下列方式编辑一个叫Sh的文件：
　　 select from host 180．180．180．1
　　 select to host 180．180．180．10
　　 seleCt both Port 21
　　 然后执行：sniffit -c sh
　　 说明：监听从180．18O．180．1送往180．180．180．10的数据包，端口为 FTP口。
　　 2、插件
　　 要获取一个插件是很简单的，只需将它放入sniffit的目录下，并且用如下方式编辑sn_plugin.h 文件：
　　 ＃define PLUGIN1_NAME "My plugin"
　　 ＃define PLUGIN1(X) main_plugin_function(x)
　　 ＃include "my_plugin.plug"
　　 其中：
　　 l）可以让Plugin 从0~9，所以从PLUGINO_NAME……不必是连续的。
　　 2）＃include。"my_plugin.plug"，这是自己的插件源代码放置的地方。
　　3．插件TOD
　　 TOD是Sniffit最有名的一个插件，TOD是Touch Of Death的缩写，因为它可以轻易地切断一个TCP连接。其原理是向一个TCP连接中的一台主机发送一个断开连接的IP包，将这个IP包的RST位置设为1，便可以了。
　　 安装TOD需要将下载的tod.tar.gz 拷贝到sniffit所在目录下，解压安装后，用 In -s tod sniffit_key5命令将这个程序与F5键连接起来，想切断哪台机器的话，只要在窗口中将光标指到需要断线的机器上并按下F5键。当然，你也可以自由地定义成其他的F功能键，但是 F1～F4不行，因为它们已经被定义过了。
　　4 Sniffit的 NT版本
　　 Sniffit 0.3.7推出了NT版本，同时也支持Windows 2000。安装 NT版的 Sniffit需要WinPcap包，这是一个与lib圳ap类似的包，支持Win 32平台，可以进行信息包捕获和网络分析，是基于Unix的libpcap 和BPF(Berkeley分帧过滤器）模型的包。它包括内核级的包过滤驱动程序、低级动态连接库Packet.dll）和高级系统无关性库(libpcap,基于0.4a6版本)。
　　 这个WinPcap信息包捕获启动程序，可把设备sg动增力在Windows 95、Windows 98、Windows NT和Windows 2000上，可以捕获和发送通过原始套接口的信息包(raw packets)，Packet.dll是一个能用来直接访问BPF驱动程序的API，可以从网上找到。
　　 下面是sniffit在NT中的安装步骤：
　　 （1）下载 Packet.exe程序后开始安装。
　　 （2）打开控制面板，双击“网络和拨号连接”图标，再打开“本地连接”图标，并选择“属性”选项。
　　 （3）在显示的对话框中选择“安装”，安装网络组件。
　　 （4）在出现的对话框中选择“协议”，单击“增加”。
　　 （5）在出现的对话框中选择“从磁盘安装”，选择正确路径，就是刚才解压的网络设备驱动程序（这个文件夹中必须包含Packet.inf和packet.sys）的地方，再选择“确定”。
　　 （6）选择“Packet capture Driver v X.XX”，并按照指示完成安装，这一步骤需要将NT系统盘放人光驱。
　　 （7）查看网络组件中有没有 Packet capture Driver v X.XX这一行，有的话说明这个驱动程序已经建立并绑定了网络接回。
　　 （8）重新启动计算机。
　　 （9）解压sniffit_nt0.3.7beta，就可以直接使用了，具体使用方法和前面讲过的Unix版的Sniffit一样。

关键字:网络设备  软件  驱动  黑客  windows nt  windows 98  windows 95  windows 2000  unix  solaris  os  linux  

进入讨论

相关文章 热点排行: ·CSVPN考后心得 ·898分过CSVPN 考后心得 ·VPN技术详解(3) ·“超级”以太网—VPLS技术及应用综述 ·SSL VPN -- 可管理业务的下一个浪潮 ·虚拟专用网VPN在企业中应用 ·IPsec,Freeswan,VPN资料 ·基于IPSec的VPN技术原理于实现 ·IP/MPLS VPN安全吗？ ·CIW实验教程:使用PGP实现VPN的实施 ·浅论网络防火墙技术 ·新型防火墙技术 ·防火墙基础 ·深入浅出谈防火墙（上） ·Cisco PIX 525防火墙 ·防火墙指南之技术篇 ·防火墙，自身别着火！ ·防火墙选择哪一款 ·linux防火墙实现技术比较 ·IPSec基础－IPSec体系结构

Copyright 2006 www.vlan9.com.Cisco及华为网络技术 All rights reserved
返回主页 | 网站地图 | 联系我们 | 版权说明 | 收藏本站 | Power by vlan9.com