全面介紹sniffer（2）

如何監測主機正在竊聽（sniffed）

要監測只采集數據而不對任何信息進行響應的竊聽設備，需要逐個仔細檢查以太網上所有物理連接。

不可能通過遠程發送數據包或ping就可以檢查計算機是否正在竊聽。

一個主機上的sniffer會將網絡接口置為混雜模式以接收所有數據包。對于某些UNIX系統，通過監測到混雜模式的網絡接口。雖然可以在非混雜模式下運行sniffer，但這樣將只能捕獲本機會話。入侵者也可能通過在諸如sh、telnet、login、in.telnetd等

程序中捕獲會話，并將用戶操作記錄到其它文件中。這些都可能通過監視tty和kmem等設備輕易發現。只有混雜模式下的sniffing才能捕獲以太網中的所有會話，其它模式只能捕獲本機會話。

對于SunOS、NetBSD和其它BSD Unix系統，如下命令：

"ifconfig -a"

會顯示所有網絡接口信息和是否在混雜模式。DEC OSF/1和IRIX等系統需要指定設備。要找到系統中有什么網絡接口，可以運行如下命令：

# netstat -r Routing tables Internet: Destination Gateway Flags Refs Use Interface default iss.net UG 1 24949 le0 localhost localhost UH 2 83 lo0

然后通過如下命令檢查每個網絡接口：

#ifconfig le0 le0: flags=8863 inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

入侵者經常會替換ifconfig等命令來避開檢查，因此一定要檢查命令程序的校驗值。

在ftp.cert.org:/pub/tools/的cpm程序（SunOS平臺）可以檢查接口是否有混雜模式標記。

對于Ultrix系統，使用pfstat和pfconfig命令也可能監測是否有sniffer運行。

pfconfig指定誰有權限運行sniffer。

pfstat顯示網絡接口是否處于混雜模式。

這些命令只在sniffer與內核存在鏈接時有效。而在缺省情況，sniffer是沒有與內核鏈接的。大多數的Unix系統，例如Irix、Solaris、SCO等，都沒有任何標記來指示是否處于混雜模式，因此入侵者能夠竊聽整個網絡而卻無法監測到它。

通常一個sniffer的記錄文件會很快增大并填滿文件空間。在一個大型網絡中，sniffer明顯加重機器負荷。這些警告信息往往能夠幫助管理員發現sniffer。建議使用lsof程序搜索訪問數據包設備（如SunOS的/dev/nit）的程序和記錄文件。

原文轉自：http://www.kjueaiud.com