在UNIX系統下可以使用下面的命令:ps-aux。這個命令列出當前的所有進程、啟動這些進程的使用者、它們佔用CPU的時間以及佔用多少記憶體等等。
在Windoos系統下,可以按下Ctrl+Alt+Del鍵,查看工作清單。不過,編程技巧高的Sniffer即使正在運行,也不會出現在這裡。
另一個方法就是在系統中搜尋,尋找可懷疑的檔案。但人侵者用的可能是他們自己寫的程式,所以這給發現Sniffer造成相當大的困難。還有許多工具能用來查看你的系統會不會處於混雜模式,從而發現是否有一個Sniffer正在運行。 但在網路情況下要檢測出哪一台主機正在運行Sniffer是非常困難的,因為Sniffer是一種被動攻擊軟體,它並不對任何主機發出資料包,而只是靜靜地運行著,等待著要捕獲的資料包經過。from:laky.blog.edu.cn
抵禦 Sniffer
雖然發現一個Sniffer是非常困難的,但是我們仍然有辦法抵禦Sniffer的嗅探攻擊。既然Sniffer要捕獲我們的機密資訊,那我們乾脆就讓它捕獲,但事先要對這些資訊進行加密,駭客即使捕捉到了我們的機密資訊,也無法解密,這樣,Sniffer就失去了作用。
駭客主要用Sniffer來捕獲Telnet、FTP、POP3等資料包,因為這些協議以明文在網上傳輸,我們可以使用一種叫做SSH的安全性通訊協定來替代Telnet等容易被Sniffer攻擊的協議。from:laky.blog.edu.cn
SSH又叫Secure Shell,它是一個在應用程式中提供安全通訊的協議,建立在客戶/伺服器模型上。SSH伺服器分配的連接埠是22,串連是通過使用一種來自RSA的演算法建立的。在授權完成後,接下來的通訊資料用IDEA技術來加密。這種加密方法通常是比較強的,適合於任何非秘密和非經典的通訊。
SSH後來發展成為F-SSH,提供了高層次的、軍方層級的對通訊過程的加密。它為通過TCP/IP的網路通訊提供了通用的最強的加密。如果某個網站使用F—SSH,使用者名稱和口令就不再重要了。目前,還沒有人突破過這種加密方法。即使是Sniffer,收集到的資訊將不再有價值。有興趣的讀者可以參看與SSH相關的書籍。
另一種抵禦Sniffer攻擊的方法是使用安全的拓撲結構。因為Sniffer只對乙太網路、令牌環網等網路起作用,所以盡量使用交換裝置的網路可以從最大程度上防止被Sniffer竊聽到不屬於自己的資料包。還有一個原則用於防止Snther的被動攻擊 一個網路段必須有足夠的理由才能信任另一網路段。網路段應該從考慮具體的資料之間的信任關係上來設計,而不是從硬體需要上設計。一個網路段僅由能互相信任的電腦群組成。通常它們在同一個房間裡,或在同一個辦公室裡,應該固定在建築的某一部分。注意每台機器是通過硬連接線接到集線器(Hub)的,集線器再接到交換器上。由於網路分段了,資料包只能在這個網段上被捕獲,其餘的網段將不可能被監聽。
所有的問題都歸結到信任上面。電腦為了和其他電腦進行通訊,它就必須信任那台電腦。系統管理員的工作就是決定一個方法,使得電腦之間的信任關係很小。這樣,就建立了一種架構,告訴你什麼時候放置了一個Sniffer,它放在哪裡,是誰放的等等。from:laky.blog.edu.cn
如果區域網路要和Internet相連,僅僅使用_blank">防火牆是不夠的。人侵者已經能從一個_blank">防火牆後面掃描,並探測正在啟動並執行服務。應該關心的是一旦人侵者進人系統,他能得到些什麼。你必須考慮一條這樣的路徑,即信任關係有多長。舉個例子,假設你的Web伺服器對電腦A是信任的,那麼有多少電腦是A信任的呢?又有多少電腦是受這些電腦信任的呢?一句話,就是確定最小信任關係的那台電腦。在信任關係中,這台電腦之前的任何一台電腦都可能對你的電腦進行攻擊並成功。你的任務就是保證一旦出現Sniffer,它只對最小範圍有效。
Sniffr往往是在攻擊者侵人系統後使用的,用來收集有用的資訊。因此,防止系統被突破很關鍵。系統安全性系統管理員要週期性對所管理的網路進行安全性測試,防止安全隱患。同時要控制擁有相當許可權的使用者的數量,因為許多攻擊往往來自網路內部。
防止 Sniffer的工具 Antisnff
Antisniff是由著名駭客組織(現在是安全公司了)L0pht開發的工具,用於檢測本網是否有機器處於混雜模式(即監聽模式)。
一台處於混雜模式的機器意味著它很可能已被入侵併被安裝了Sniffer。對於網路系統管理員來說,瞭解哪台機器正處於混雜模式以作進一步的調查研究是非常重要的。
Antisniff 1.X版運行在乙太網路的WindOWS NT系統中,並提供了簡單易用的使用者圖形介面。該工具以多種方式測試遠程系統是否正在捕捉和分析那些並不是發送給它的資料包。這些測試方法與其作業系統本身無關。
Antisniff運行在本地乙太網路的一個網段上。如果在非交換式的C類網路中運行,Antisniff能監聽整個網路;如果網路交換器按照工作群組來隔離,則每個工作群組中都需要運行一個Antisniff。原因是某些特殊的測試使用了無效的乙太網路地址,另外某些測試需要進行混雜模式下的統計(如回應時間、包丟失率等)。
Antisniff的用法非常簡便,在工具的圖形介面中選擇需要進行檢查的機器,並且指定檢查頻率。對於除網路回應時間檢查外的測試,每一台機器會返回一個確定的正值或負值。返回的正值表示該機器正處於混雜模式,這就有可能已經被安裝了Sniffer。from:laky.blog.edu.cn
對於網路回應時間測試的傳回值,建議根據第一次返回的數值計算標準值,然後再對在flood和非flood兩次測試時返回的結果有較大變化的機器進行檢查。一旦這些機器退出混雜模式返回到正常操作模式下,Antisniff的下一次測試將會記錄到混雜模式和非混雜模式的差值(正值)。from:laky.blog.edu.cn
應該周期性地運行Antisniff,具體周期值根據不同的網站、不同的網路負荷、測試的機器數量和網站策略等而有所不同。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
