7.2.6 如何检测到嗅探

7.2.6  如何检测到嗅探

由于在一个普通的网络环境中，账号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。如何才知道有没有Sniffer在我的网上跑呢？这也是一个很难说明的问题，比较有说服力地证明你的网络有Sniffer，有如下几条特征：

1．网络通信掉包率异常高

通过一些网络软件，可以看到你的信息包传送情况（不是Sniffer），向Ping这样的命令会告诉你掉了百分之几的包。如果网络中有人在听，那么你的信息包传送将无法每次都顺畅地流到你的目的地（这是由于Sniffer拦截每个包导致的）。

2．网络带宽出现异常

通过某些带宽控制器（通常是防火墙所带），你可以实时看到目前网络带宽的分布情况，如果某台机器长时间占用了较大的带宽，这台机器就有可能在听。在非高速信道上，如56Kddn等，如果网络中存在Sniffer，你应该也可以察觉出网络通信速度的变化。

3．Sniffer的记录文件会很快增大并填满文件空间

在一个大型网络中，Sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现Sniffer。

4．将网络接口置为混杂模式以接收所有数据包

对于某些UNIX系统，通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行Sniffer，但这样将只能捕获本机会话。只有在混杂模式下的sniffing才能捕获以太网中的所有会话，其他模式只能捕获本机会话。

要监测只采集数据而不对任何信息进行响应的窃听设备，需要逐个仔细检查以太网上所有物理连接。不可能通过远程发送数据包或Ping检查计算机是否正在窃听。一个主机上的Sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统，通过监测到混杂模式的网络接口可以检测到正在进行监听的计算机。当然，也可以在非混杂模式下运行Sniffer，但这样只能捕获本机会话。入侵者可能通过在诸如sh、telnet、rlogin、in.telnetd等程序中捕获会话，并将用户操作记录到其他文件中。这些都可能通过监视tty和kmem等设备轻易发现。只有在混杂模式下的网络嗅探工具才能捕获到以太网中的所有会话，当网卡采用其他模式时只能捕获本机会话。对于SunOS、NetBSD和其他BSD Unix系统，命令：“ifconfig –a”会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口，可以运行如下命令：

# netstat –r
Routing tables
Internet:
Destination    Gateway         Flags     Refs     Use  Interface
default       iss.net          UG        1        24949  le0
localhost      localhost       UH        2        83  lo0

然后通过如下命令检查每个网络接口：

#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

入侵者经常会替换ifconfig等命令来避开检查，因此一定要检查命令程序的校验值。在ftp.cert.org:/pub/tools/的cpm程序（SunOS平台）可以检查接口是否有混杂模式标记。

对于Ultrix系统，使用pfstat和pfconfig命令也可能监测是否有Sniffer运行。

pfconfig指定谁有权限运行Sniffer。

pfstat显示网络接口是否处于混杂模式。

这些命令只在Sniffer与内核存在链接时有效。而在缺省情况在，Sniffer是没有与内核链接的。大多数的UNIX系统，例如Irix、Solaris、SCO等，都没有任何标记来指示是否处于混杂模式，因此入侵者能够窃听整个网络而却无法监测到它。

通常一个Sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中，Sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现Sniffer。建议使用lsof程序搜索访问数据包设备（如SunOS的/dev/nit）的程序和记录文件。