黑客攻擊技術概要--嗅探偵聽法

原理：
網絡的一個特點就是數據總在流動中，從一處到另外一處，而互聯網由錯綜復雜的各種網絡交匯而成的，也就是說，當你的數據從網絡的一臺電腦到另一臺電腦的時候，通常會經過大量不同的網絡設備，我們用tracert命令就可以看到這種路徑是如 
何進行的。
如果傳輸過程中，有人看到了傳輸中的數據，那么問題就出現了，這就好比你給人發了一封郵件，在半路上被人拆開偷看一樣。
這里面需要解釋的一點是，網絡傳輸分為明文傳輸和密文傳輸，如果采用密文傳輸，當中途數據被截取時，偷窺者所看到的是亂成一團的字符，他們需要相當費力的去解碼（限于筆者的技術水平，加密解密，公開密鑰，私人密鑰等問題，不在本系列文章討論之內），這就好比二戰時候的間諜戰，電報發送的東西敵軍雖然可以收到，但是需要解碼才能閱讀。不過更可怕的是，大部分網絡數據傳輸都是明文的，也就是一旦被人截獲，所有的秘密將被一覽無余，也許是你的商業機密，也許是你的存款信息，甚至是你郵箱的帳號密碼等等。

嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網絡連接的設備或者放到可以控制網絡連接設備的電腦上，這里的網絡連接設備，比如網關服務器，比如路由器。當然要實現這樣的效果可能也需要其他黑客技術，比如通過木馬方式將嗅探器發給某個網絡管理員，使其不自覺的為攻擊者進行了安裝。另外一種是針對不安全的局域網（采用交換hub實現），放到個人電腦上就可以實現對整個局域網的偵聽，這里的原理是這樣的，共享hub獲得一個子網內需要接收的數據時，并不是直接發送到指定主機，而是通過廣播方式發送到每個電腦，對于處于接受者地位的電腦就會處理該數據，而其他非接受者的電腦就會過濾這些數據，這些操作與電腦操作者無關，是系統自動完成的，但是電腦操作者如果有意的話，他是可以將那些原本不屬于他的數據打開的。

攻擊方法：
第一，根據網絡通訊協議的標準，編寫將數據報文截取保留的程序，除了能夠將數據報文保存之外，還應該具有基本的過濾，判斷功能，因為也許你將偵聽大堆無用的，不可識別或者無價值的網絡傳輸數據，有價值的信息往往被這些數據所淹沒，因此過濾和判斷，是實現有效偵聽非常必要的。
第二，將偵聽工具有效的和需要偵聽的網絡連接。
第三，采集偵聽數據，進行處理。
第四，如果拿到了數據還不滿意的話，那么怎么利用這些數據，就要看每個人的道德素質了。

其實只要在大的搜索引擎上查Sniffer關鍵字，就可以知道這個領域是多么的繁榮了。

防護手段：
第一，確認你所進行的請求和數據傳遞，是處于明文還是加密的狀態。比如不用telnet而用ssh實現對主機的遠程管理，比如確認只有在瀏覽器下方出現關閉的小鎖頭（證明連接處于加密狀態）情況下才輸入一些私密性的帳號和密碼。
第二，不在公開網絡環境中進行私密性信息的錄入（比如在網吧，通常任何一臺電腦都可以偵聽整個網段的內容）
第三，如果有非常機密的文件要傳遞，最好選擇優秀的加密工具，在傳遞文件前先進行一次加密。
第四，隨時對自己所處的網絡環境進行監控，在力所能及的范圍內杜絕監聽工具的存在。
第五，加強對網絡設備的安全性檢查，在具有安全要求的網絡內，嚴禁使用老式的共享hub，同時注意網絡端口的維護，以前曾報道某黑客通過一個廢棄不用的網絡通訊端口進入某局域網竊取數據的犯罪案件。
第六，小心自己的共享目錄和共享服務，如果非要開放，最好通過密碼認證開放。

典型案例：

局域網：筆者1998年在廣州的時候，曾在某個下午通過NetXray(一款非常方便的網絡偵聽工具)獲取了本部門的網絡管理員登陸公司對外服務器的密碼（Telnet協議，明文傳輸），以及某員工收取郵件的密碼（POP協議，明文傳輸），幾乎是不費吹灰之力。當然，如果讓筆者做一個NetXray那樣的工具，就另當別論了。

廣域網：幾年前FLG猖獗的時候，公安部曾對海外網站進行了一次大封殺，只要網絡傳輸中出現了“FaLunGong"三個漢字，該網址就會被屏蔽，這種行為也是靠網絡偵聽，在骨干路由安裝sniffer實現的。當然，他們安裝sniffer的途徑，就和其他黑客們大不同了

其他變種：很多人都玩聯眾的四國軍旗，曾一度，網絡上出現了針對聯眾四國軍旗的工具，能夠讓四家棋子都變成明棋，從而"知己知彼，百戰不怠”，其實這個工具也是源于著名的網絡偵聽工具"ipman"改寫的，為了減少主服務器的負載壓力，通常對軍旗這種游戲，吃子，走子的運算是在客戶端進行的，服務端只傳遞不同客戶端移動棋子的狀態，這意味著，四家的棋子，實際上已經分別傳遞給了四個玩家，只不過客戶端軟件并不顯示其他三家的棋子，只在進行碰子的運算中調用。別有用心的玩家，就通過偵聽工具，進行自我偵聽，將該客戶端軟件接收的數據進行截取，并進行翻譯，從而實現對別人棋子的可視化。后來聯眾忍無可忍，只好將運算放到中央服務器運行，以增加系統運行成本的代價，制止了這種自我偵聽的鬧劇的繼續。
聯眾的鬧劇結束了，qq的鬧劇開始了，現在很多小插件，可以顯示對方qq的來源ip和來源城市，其實也是一種自我偵聽的體現。原理是同上的。

總結：設計一個優秀的偵聽工具，通常都是以網絡上共享的Ipman的源代碼起步，通過對各種協議的甄別，對數據包的保存和過濾，實現數據的偵聽和截獲。一些具有不良企圖的工具，還會對截獲的數據進行進一步甄別，從而自動實現攻擊或入侵。
使用一個偵聽工具，如果是一種簡單的偵聽工具，他必須有對基本通訊協議的理解才能對大量無序和難懂的數據包進行分析和研究，并得到他想要的結果，但是傻瓜化的偵聽工具的出現，使得這個門檻也降低了，所以喜歡在網吧偷窺MM的qq號碼的boy數量急劇膨脹了

原文轉自：http://www.anti-gravitydesign.com