3 TCPDUMP:这个SNIFFER很有名,linux,FREEBSD还搭带在系统上,是一个被很多UNIX高手认为是一个专业的网 络管理工具,记得以前TsutomuShimomura(应该叫下村侵吧)就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录,后来就配合FBI抓住了KEVINMITNICK,后来他写了一文:使用这些LOG记录描述了那次的攻击,How Mitnick hacked Tsutomu Shimomura with an IP sequence attack ([url]http://www.attrition.org/securit[/url] ... iffer/shimomur.txt)
[2],在nt下的sniffit Sniffit 0.3.7推出了NT版本,也支持WINDOWS2000,这个sniffit需要WinPcap包,就是类似与libpcap的包,支持WIN32平台上可以信息包捕获和网络分析,是基于UNIX的libpcap和BPF(Berkeley 分帧过滤器)模型的包。它包括内核级的包过滤驱动程序,低级动态连接库(packet.dll),和高级系统无关性库(libpcap,基于0.4a6版本)。 这个WinPcap信息包捕获启动程序可把设备驱动增加在Windows 95, Windows 98, Windows NT 和 Windows 2000 上,可以有能力捕获和发送通过原始套接口的信息包(raw packets),Packet.dll是一个能用来直接访问BPF驱动程序的API。 WinPcap在[url]http://netgroup-serv.polito.it/windump[/url]和[url]http://netgroup-serv.polito.it/analyzer[/url]这两个工具中成功应用。最新的WinPcap是版本2.02,修补了2.01版本中的一些缺陷,并且支持WIN2000。具体信息和源代码可以在下面这个站点找到: [url]http://netgroup-serv.polito.it/winpcap/[/url]
然后解压sniffit_nt.0.3.7.beta,再使用命令行模式,我简单的使用了一个命令行,刚开始是使用sniffit -t 192.168.0.1 -p 21,想监视下21 FTP端口的密码捕获成不成功,但出现"Automatic network device lookup not yet supported in Win32、version... use -F DevicePacket_{31BB7ED2-125E-11D4-8F11-D79985727802} 、to force the choice,Read the README.FIRST on how to force network devices. 的提示,于是我按照其提示所示,使用了sniffit -F Devicepacket_{31BB7ED2-125E-11D4-8F11-D79985727、802} -t 192.168.0.1 -p 21命令,这时出现下面的提示: Forcing device to Devicepacket_{31BB7ED2-125E-11D4-8F1 quested)... Make sure you have read the docs carefully. Sniffit.0.3.7 Beta is up and running.... (192.168.0.1)
这就表明sniffit在工作了,于是在FTP到NT的端口,输入密码,随即就可以在刚才SNIFFIT的目录下看到一个关于192.168.0.2.1281-192.168.0.1.21的文件,打开后查看里面的内容如下所示: USER xundi PASS xxxxxxx-------->我隐藏了 SYST PORT 192,168,0,2,5,2 LIST PORT 192,168,0,2,5,3 LIST CWD g: CWD c PORT 192,168,0,2,5,26 LIST CWD hack PORT 192,168,0,2,5,88 LIST
-- DNS测试模式: DNS测试主要是针对网络数据收集工具能执行IP到名字反转解析来提供DNS名字来代替IP地址(The DNS tests operate on the premise that many attacker network data gathering tools perform IP to name inverse resolution to provide DNS names in place of IP addresses)。在执行反转查询中,工具会从被动网络工具模式转变为主动网络工具,而那些没有监视网络书记的工具就不会去解析信息包中的IP地址。利用这种信息,ANTI SNIFFER工具可以自身在本地主机中变为杂乱模式并在我们网络中发送无数个伪造的主机,这样,ANTI SNIFFER工具就可以嗅探DNS请求来查看目标是否在请求解析那些不存在主机。