目录
1.混杂模式
计算机要网络数据传输,需要安装 网卡 和 网卡驱动。每块网卡都有一个在世界上独一无二的 48 位地址(MAC 地址)。要进行数据传输,还需要绑定一个 32 位的 IP 地址。
网卡的工作模式:
unicast(单播)——网卡在工作时接收 目的地址 是本机硬件地址的数据帧;
broadcast(广播)——网卡接收所有类型为广播报文的数据帧;
multicast(组播)——网卡接收特定的组播报文;
promiscuous(混杂模式)——网卡对报文中的目的硬件地址不加任何检查,全部接收的工作模式。
一般情况下,操作系统会把网卡设为广播模式。在广播模式下,网卡可以接收所有类型为广播报文的数据帧——例如 ARP 寻址。此外,它会忽略目标地址并非自己 MAC 地址的报文,即只接收发往自身的数据报文、广播和组播报文,这才是网卡的正常工作模式。
混杂模式是网络监听的根源,混杂模式下网卡对报文中的目标 MAC 地址不加任何检查而全部接收,这样就造成了无论什么数据,只要是路过的都会被网卡接收的局面。
由网卡各种工作状态的定义可以看出,如果网络监听的目的不仅仅是本机数据,则混杂模式是进行网络监听的一个必要条件。
2.嗅探器(Sniffer)
一般情况下,网卡的工作模式由操作系统设置,并没有公开地让用户进行设置的界面。而嗅探器的出现打破了这一僵局,使用户拥有了设置网卡工作模式的权力。
ISS 为嗅探器进行定义是:Sniffer 是利用计算机的接口截获目的地为其他计算机发送的数据报文的一种工具。Sniffer 的正当用途是网络管理员通过在网关进行嗅探,从而进行网络流量分析和数据分析,以便精确地判断网络中每台计算机可能存在的传输问题。
不同的嗅探器工作原理基本相同,但工作能力差别较大,有的嗅探器只能分析少数几种协议,有的却能分析几百种之多,比较著名的嗅探器有 IRIS、Ethereal 等,其中 Ethereal 为开源产品。
3.共享式网络
共享式网络的特征是通过网络的每一个数据包都被发送至每一台主机,最常见的共享式网络为使用 Hub(集线器)构成的网络。
一般将使用交换机组成的网络称为交换式网络,交换式网络通过交换机构造“MAC-端口”映射表,数据包传送时,只会被送往特定的端口上,通过映射表,也只发送到特定的 MAC 地址。
据统计数据显示,采用全双工模式的交换式以太网最大传输速度约可以达到共享式以太网的 4 倍。
在一个网络中,网络监听效果最好的位置是网关、路由器、防火墙等设备,对于黑客来说,由于网关等设备较难突破,网络监听一般在网络中的某台主机上进行。而对于网络管理人员一般在网关上进行网络监听。
如果一个网络是共享式网络,且将主机的网卡工作模式设置为混杂模式,则可以利用嗅探器在这台主机上监听到网络中传输的每一个数据包。因为网络中数据流量通常较大,黑客关心的是数据中包含的用户名和口令,黑客所用的嗅探器一般具有从数据中将口令筛选出来的功能。
在 UNIX 操作系统下,要将网卡设为混杂模式,需要向网络接口(Interface)发送 I/O 控制命令,而这些 I/O 控制命令,需要超级用户权限。在 Windows 系列操作系统下,这种限制较小,只要能够运行监听软件,就可以将网卡设置为混杂模式。
在交换式网络下进行嗅探,由于网卡只能接收特定端口的数据,需要采用其他技术将正常发往被监听计算机的数据“转移”到本机上来,目前较为成熟的技术为 ARP 欺骗和 DNS欺骗等。
网络监听只能获得同一个局域网的数据,而不能监听到本网络之外的信息。
历史上最著名的嗅探事件发生在 1994 年,当时,黑客通过在骨干设备上安装网络监听软件,嗅探到 10 万个美军的有效用户名和口令,这在 Internet 中引起轰动。