嗅探器檢測工具和對策

　  本篇文章將討論通過進入混雜模式下對網絡數據包進行監聽的工具軟件及采取何種對策以降低其破壞性。為了保證網絡的安全性和防止不必要的恐慌，系統管理人員應該非常熟悉這些探測工具的能力和其局限性，并在遇到此類問題時應能采取正確的措施。

本機監控

　  不同操作系統的計算機采用的檢測工具也不盡相同。大多數UNIX系列操作系統都使用"ifconfig"。利用"ifconfig"管理人員可以知道網卡是否工作在混雜模式下。但是因為安裝未被授權的sniffer時，特洛伊木馬程序也有可能被同時安裝，因而"ifconfig"的輸出結果就可能完全不可信。系統管理人員還可以選擇其它的主要工具來檢測sniffers(嗅探器)是否存在，例如"ls"，"df"，"du"，"ps"，"find"和.netstat"等等，但是以上問題仍有可能發生。許多流行的特洛伊木馬程序在系統的"/dev/"目錄下都有自己的ASCII文件，該文件中包含該木馬程序的配置信息。在安全系統中，"/dev/"目錄下應該沒有ASCII文件，因而系統管理人員應該定時檢測"/dev/"目錄。如果"/dev/"目錄下存在ASCII文件，則表明系統中已經被攻擊者安裝了sniffer(嗅探器)。特洛伊木馬的ASCII配置文件一般包括sniffers(嗅探器)和與其輸出文件相關的進程信息和相應的文件信息,這些信息一般都對系統管理人員隱藏。
　
　  大多數版本的UNIX都可以使用lsof(該命令顯示打開的文件)來檢測sniffer(嗅探器)的存在。lsof的最初的設計目地并非為了防止sniffer(嗅探器)入侵，但因為在sniffer(嗅探器)入侵的系統中，sniffer(嗅探器)會打開其輸出文件，并不斷傳送信息給該文件，這樣該文件的內容就會越來越大，因而lsof就有了用武之地。如果利用lsof發現有文件的內容不斷的增大，我們就有理由懷疑系統被人裝了sniffer(嗅探器)。因為大多數sniffers(嗅探器)都會把截獲的"TCP/IP"數據寫入自己的輸出文件中，因而系統管理人員可以把lsof的結果輸出到"grep"來減少系統被破壞的可能性。

　  對于BSD的UNIX，可以使用cpm來檢測sniffer(嗅探器)的存在。cpm(該命令檢測混雜模式的存在)是由CERT/CC開發的工具軟件。在1994年，好多網站報告合法用戶名、用戶密碼和關鍵數據被惡意偷竊，cpm就在那時應運而生。更多的相關內容請參閱如下站點。cpm使用socket(2)和ioctl(2)來判斷是否有網卡處在混雜模式，并向系統匯報檢測結果。cpm只列出處在混雜模式的網卡。

　  對于使用SunOS 5.5和5.6的用戶，可以使用ifstatus檢測sniffer(嗅探器)的存在。用戶可以從站點下載該工具。該工具軟件向系統匯報哪些網卡處在debug模式或者混雜模式。
對于NT系統，并沒有太知名的sniffer(嗅探器)檢測工具供使用。就作者所知，NT平臺上并沒有切實可行的工具去測試網卡的混雜模式。出現這種情況的原因在于作為Microsoft系統平臺一部分的工具也可能已經被安裝了特洛伊木馬程序。使用"alpha"機器的NT用戶可以考慮使用"rootkit"()。Microsoft平臺遠程可以利用的管理員級安全漏洞很少，這可能是Microsoft平臺下sniffer(嗅探器)工具和檢測工具相對較少的一個原因。

監控本地局域網的數據幀
    監控DNS流量。系統管理人員可以運行自己的sniffer(嗅探器)，例如tcpdump，Windump和snoop等等，監控網絡中指定主機的DNS流量。因為系統管理人員通常指定某些特定的服務器進行監控，以便了解網絡的性能，因而sniffer一般都自動的進行IP級的DNS查詢。舉例說明，一個網站的郵件服務器名為mail.foo.com，則其DNS就可能為ns.foo.com。這樣惡意攻擊者就可以利用sniffer進行DNS查詢，并從中獲取網絡有用信息，進而破壞系統。
    考慮使用Antisniff。系統管理人員可以從下載該工具軟件，該軟件是唯一的網絡級商業化sniffer測試工具。按照L0pht的軟件介紹，Antisniff發送特定的數據幀到網絡中，以便發現混雜模式下系統的回應。Antisniff可用于三種不同類型的測試：操作系統詳細測試、DNS測試和系統可能潛伏問題測試。
    操作系統詳細測試：當系統在混雜模式下，系統會對某些特定類型的數據包回應，對其它的數據包則置之不理。在Antisniff進行操作系統詳細測試時，Antisniff會通過廣播或非廣播方式發送一個并不存在的Ether地址，并對系統回應進行監聽。Antisniff發送虛假地址的請求ICMP回應數據幀，如果系統在混雜模式下則會對該數據幀進行應答，否則放棄。在Linux系統下，非廣播方式發送一個虛假的Ether地址。對于BSD，虛假Ether地址則發送給多個地址。如果NT系統在混雜模式下，它不能正確的檢測IP地址的前八位Ether地址，所以構造ff:00:00:00:00:00地址，就可以判斷系統是否在混雜模式下。在NT系統中，Antisniff某些情況下可能判斷失誤，但這只存在于很少的一些網卡中。

    DNS測試：在這種測試情況下，Antisniff發送一個IP的信息到網絡中，并監聽網絡中主機的所有DNS解析請求，從而進行判斷。

    系統可能潛伏問題測試：按照Antisniff的文檔說明，系統可能潛伏問題測試是最徹底的、最深入的測試。Antisniff發送ICMP數據包到網絡中，并計算系統響應時間。在正常的情況下，系統會在網卡級過濾數據包，而混雜模式的情況并非如此。因為處在混雜模式下的系統并不依賴硬件進行流量過濾，因而它的回應時間就會相對較長，利用這種方法就可以判斷混雜模式的存在。

對策

    系統管理人員并不需要移除某些軟件或服務。但是系統管理人員需要定時查詢服務商或者CERT/CC、 Securityfocus和SANS等網絡安全站點，在這些站點中尋找最新漏洞公告、下載補丁、安全配置等內容，并采取建議的相應對策。因為惡意攻擊者總是在安裝完特洛伊木馬程序后才安裝sniffer(嗅探器)，所以系統管理人員需要定時使用tripwire或者防病毒軟件定時檢測系統。

    系統管理人員也可以在本地網絡中加入交換設備，來預防sniffer(嗅探器)的侵入。具有交換功能的網絡可以設定每個集線器只傳送廣播數據包，進而防止每個主機的數據包沖突問題，也可以設定指定的數據包只發送給指定的目的計算機。因為在這樣的網絡環境中，那些非廣播式的數據包只會被交換設備獲取、telnet、 ftp或smtp也只能把數據包直接傳送給給目的計算機，所以sniffer(嗅探器)在此毫無用武之地。但是攻擊者可以利用ARP(地址解析協議)欺騙或者ARP過載等方法迫使交換設備失去作用，成為一個僅僅發送信息的hub，這樣交換設備就失去更新計算機ARP信息的功能。因為交換設備的內存空間有限，如果發送大量ARP數據包使得交換設備處理信息過載，網絡就會處在全廣播模式下，這樣惡意用戶就可以在任意一臺機器上獲取網絡中發送的信息。利用這些信息，攻擊者就可以用虛假的網絡地址來更新交換設備中的信息，進而在從一個被侵入的計算機進行監聽活動。被sniffer的計算機甚至可以把接送的信息在發送到指定的地點來迷惑系統管理人員。通常攻擊者都使用dsniff和parasite這樣利用ARP欺騙的工具進行破壞活動。
    系統管理人員應該堅決阻止系統內核的重新載入。為了把sniffers(嗅探器)隱藏在服務級，惡意攻擊者可能更改內核的代碼內容并重新載入該內核。系統管理人員應該生成靜態的系統內核，并禁止核心相關模塊的重新的卸載和載入。

    系統管理人員可以使用加密技術，防止使用明文傳輸信息。使用secure shell、secure copy或者IPV6協議都可以使得信息安全的傳輸。系統管理人員也可以使用一次性的密碼。雖然這樣無法阻止sniffers(嗅探器)收集特定的信息(如mail)，但是使用一次性密碼可以防止sniffers(嗅探器)非法獲取系統的密碼。在硬件系統和軟件系統中使用一次性密碼都是可行的。詳細資料請參閱如下站點： es/CA-1994-01.html。

結論

    迄今并沒有一個切實可行的方法可以一勞永逸的阻止sniffer的安裝或者防備其對系統的侵害。跟蹤服務商提供的軟件補丁是遠遠不夠的。系統管理人員應該采取一切可行的方法去防止sniffe的侵入，例如重新規劃網絡、監視網絡性能、按時跟蹤安全公告，并要非常了解相關工具的使用及其局限性。

資源

CERT/CC. CERT/CC Advisory 1994-01 Ongoing Network Attacks
2 Feb 95 (13 Oct 2000)

CERT/CC. Tools that Aid in Detecting Intrusions
12 Sep 2000 (9 Oct 2000)

Able, Vic. lsof 22 Aug 2000 (13 Oct 2000)
Curry, David. ifstatus
, 12 Oct 1995 (9 Oct 2000)

CERT/CC. cpm 1 Feb 1996 (9 Oct 2000)

Rootkit
(13 Oct 2000)

L0pht Heavy Industries. Antisniff Technical Documentation
, 19 Jul 1999 (9 Oct 2000)

Song, D. dsniff
(18 Oct 2000)

Van Hauser, parasite
(18 Oct 2000)

Creed (pseud.). Knark Kernel Loadable Module
B4B0 Issue#9, 1999 (Oct 13 2000)

Spoon (pseud.). Linux Capabilities (LCAP)
22 Dec 1999 (11 Oct 2000)

原文轉自：http://www.kjueaiud.com