8.2 "广播型"网络环境下的嗅探在前面提到的两种网络环境中,相对而言,"广播型"网络环境下的嗅探是最容易进行的。因为它几乎不需要***者掌握任何高深的技术,就能够利用一些简单的工具来完成嗅探。有许多图形化的嗅探软件的操作都很简单。一些软件用来完成某些具有特殊目的的嗅探操作,如专用于嗅探局域网中MSN聊天信息的MSN Sniffer等;另一些软件则用于安装在主机上,进行远程嗅探,如Raw Sniffer等。此外,还有一些专业的嗅探工具,如Sniffer Portable等。
8.2.1 经典嗅探***--Sniffer ProtableSniffer Protable是由NAI公司出品的。NAI公司是世界著名的网络安全维护机构,其Sniffer Portable产品是网络管理员进行网络协议分析的必备软件,对普通"广播型"网络环境中的嗅探***来讲,更方便易用。
1.Sniffer Protable的基本设置安装运行Sniffer Portable时,可能需要卸载用户系统中已安装的"QoS"网络协议,在安装结束时选择"Uninstall the QoS Packet Scheduler Service"复选框即可,如图8-3所示。第一次运行时需要选择用来进行嗅探的网卡。如果有多块网卡,就选择用来连接局域网的网卡,如图8-4所示。
|
| (点击查看大图)图8-3 卸载"QoS"协议 |
|
| (点击查看大图)图8-4 选择嗅探网卡 |
2.设置嗅探协议进入主界面后(见图8-5),选择的【捕获】→【定义过滤器】命令,在弹出对话框的"地址"选项卡中可以设置局域网内所要嗅探的主机及要嗅探的协议等。假设进行嗅探的主机IP地址为"192.168.1.11",要嗅探与局域网中所有其他主机的流量,可以在"地址类型"下拉列表框中选择"IP"选项,在地址列表第一栏中输入主机的IP地址"192.168.1.11",在另一栏中输入"任意的",Dir处的方向设置为收发均进行监听,如图8-6所示。
|
| (点击查看大图)图8-5 Sniffer Protale主界面 |
|
| (点击查看大图)图8-6 设置嗅探协议 |
切换到"高级"选项卡,可以选择要嗅探的网络协议,如常见的FTP、Telnet和HTTP等,都可以在"常用协议"→"IP"→"TCP"下进行选择,如图8-7所示。还可以设置捕获数据包的大小,以过滤掉无用的数据。下面以嗅探Telnet协议密码为例:设置"监听协议"为"TELNET",设置"数据包大小"为"Equal55",设置"数据包类型"为"常规",如图8-8所示。
|
| (点击查看大图)图8-7 选择嗅探的网络协议 |
|
| (点击查看大图)图8-8 过滤无用的数据 |
3.嗅探Telnet协议密码设置完毕后返回程序主窗口,按【F10】键即可开始嗅探本机与其他主机进行的所有数据交换,如图8-9所示。当有人在局域网中通过Telnet下载,或登录主机输入用户名和密码时,都会被Sniffer Protale截取记录。
|
| (点击查看大图)图8-9 开始嗅探 |
按【F9】键,可以停止嗅探并显示嗅探结果。在嗅探结果中单击"解码"标签,切换到结果列表,可以在"摘要"列中看到每行都对应一个输入字符,如图8-10所示,并可以从中发现Telnet协议的用户名和密码。
|
| (点击查看大图)图8-10 捕获的Telnet密码 |
