它在信息安全方面有一個殘酷的諷刺,即許多使計算機更容易或更高效的功能以及用於保護和保護網絡的工具也可用於利用和危害相同的計算機和網絡。 數據包嗅探就是這種情況。
數據包嗅探器 (有時稱為網絡監視器或網絡分析器)可由網絡或系統管理員合法使用,以監視和排除網絡流量。 使用數據包嗅探器捕獲的信息,管理員可以識別錯誤的數據包,並使用這些數據找出瓶頸並幫助保持高效的網絡數據傳輸。
簡單來說,數據包嗅探器僅捕獲通過給定網絡接口的所有數據包。 通常情況下,數據包嗅探器只會捕獲針對相關機器的數據包。 但是,如果進入混雜模式,數據包嗅探器還能夠捕獲所有通過網絡的數據包,而不管目的地是什麼。
通過在網絡上以混雜模式放置數據包嗅探器,惡意入侵者可以捕獲和分析所有網絡流量。 在給定的網絡中,用戶名和密碼信息通常以明文形式傳輸,這意味著通過分析正在傳輸的數據包可以查看信息。
數據包嗅探器只能捕獲給定子網內的數據包信息。 因此,惡意攻擊者不可能在他們的家鄉ISP網絡上放置數據包嗅探器,並從企業網絡內部捕獲網絡流量(儘管存在多種或多或少的“劫持”內部網絡上運行的服務以有效地從遠程位置執行數據包嗅探)。 為此,數據包嗅探器需要在公司網絡內的計算機上運行。 但是,如果內部網絡中的一台計算機因特洛伊木馬或其他安全漏洞而遭到入侵,則入侵者可以從該計算機運行數據包嗅探器,並使用捕獲的用戶名和密碼信息來危害網絡上的其他計算機。
在您的網絡上檢測流氓數據包嗅探器並非易事。 數據包嗅探器本質上是被動的。 它只是捕獲正在傳輸到正在監視的網絡接口的數據包。 這意味著通常沒有簽名或錯誤的流量來查找可識別運行數據包嗅探器的機器。 有許多方法可以確定您的網絡上的混合模式下運行的網絡接口,這可能會被用作定位流氓數據包嗅探器的手段。
如果你是一個好人,你需要維護和監控一個網絡,我建議你熟悉網絡監控器或者數據包嗅探器,比如Ethereal。 了解可以從捕獲的數據中識別哪些類型的信息,以及如何使用它來保持網絡順暢運行。 但是,請注意,您的網絡上的用戶可能正在運行流氓數據包嗅探器,無論是出於好奇還是懷有惡意的目的進行嘗試,並且您應該儘自己所能來確保這種情況不會發生。