컴퓨터가 스니퍼 상태라는 것은 무엇을 의미하나요?

스니퍼는 도청을 의미하고, 스니퍼 상태는 도청 상태여야 합니다.

다음을 자세히 읽어보시면 머리가 크다고 장담합니다~하하

스니퍼(Sniffer)는 거의 인터넷만큼 오랜 역사를 가지고 있습니다. 스니퍼는 유용한 데이터를 수집하는 데 일반적으로 사용되는 방법입니다. 이러한 데이터는 사용자 계정 및 비밀번호, 일부 상업 기밀 데이터 등이 될 수 있습니다. 인터넷과 전자상거래의 대중화로 인해 인터넷 보안에 대한 관심이 더욱 높아지고 있습니다. 인터넷 보안 위험에서 중요한 역할 중 하나인 스니퍼(Sniffer)가 점점 주목을 받고 있는 만큼, 오늘은 스니퍼(Sniffer)와 스니퍼 차단 방법을 소개하겠습니다.

대부분의 해커는 내부 네트워크의 호스트만 탐지하고 제어권을 얻기를 원합니다. 오직 "야심찬" 해커만이 전체 네트워크를 제어하기 위해 트로이 목마와 백도어를 설치하고 기록을 삭제할 것입니다. 그들이 자주 사용하는 기술은 스니퍼를 설치하는 것입니다.

인트라넷에서 해커가 많은 수의 계정(사용자 이름 및 비밀번호 포함)을 빠르게 획득하는 가장 효과적인 방법은 "스니퍼" 프로그램을 사용하는 것입니다. 이 방법을 사용하려면 스니퍼 프로그램을 실행하는 호스트와 모니터링되는 호스트가 동일한 이더넷 세그먼트에 있어야 하므로 외부 호스트에서 스니퍼를 실행해도 아무런 효과가 없습니다. 또한 이더넷 세그먼트의 데이터 흐름을 모니터링하려면 스니퍼 프로그램을 루트로 사용해야 합니다. 이더넷 스니퍼에 대해 이야기할 때는 이더넷 스니핑에 대해서도 이야기해야 합니다.

이더넷 스니퍼란 무엇입니까?

이더넷 스니핑은 이더넷 장치에서 전송된 데이터 패킷을 듣고 관심 있는 패킷을 발견하는 것을 의미합니다. 조건에 맞는 패키지가 발견되면 로그 파일

에 저장하세요. 일반적으로 이러한 조건은 "사용자 이름" 또는 "비밀번호"라는 단어가 포함된 패키지에 설정됩니다. 그 목적은 네트워크 계층을 무차별 모드로 전환하여 무언가를 할 수 있도록 하는 것입니다.

Promiscuous 모드는 네트워크의 모든 장치가 자신의 데이터뿐만 아니라 버스에서 전송되는 데이터를 수신한다는 의미입니다. 2장의 이더넷 작동 원리에 대한 기본 소개에 따르면 장치가 특정 대상으로 데이터를 보내려고 할 때 이더넷으로 브로드캐스팅한다는 것을 알 수 있습니다. 이더넷 버스에 연결된 장치는 언제든지 데이터를 수신합니다. 하지만 단지 자체 데이터를 컴퓨터의 응용 프로그램에 전달할 뿐입니다.

이를 사용하면 모든 이더넷 버스에서 데이터를 받아들이도록 컴퓨터의 네트워크 연결을 설정하여 스니퍼를 구현할 수 있습니다.

스니퍼는 일반적으로 라우터나 라우터 기능이 있는 호스트에서 실행됩니다. 이를 통해 많은 양의 데이터를 모니터링할 수 있습니다. 스니퍼는 2단계 공격입니다. 일반적으로 공격자는 이미 대상 시스템에 진입한 후 더 많은 정보를 얻기 위해 스니퍼 공격 방법을 사용합니다.

스니퍼는 비밀번호나 사용자 이름 외에도 기타 중요한 정보, 온라인으로 전송되는 금융 정보 등 더 많은 정보를 얻을 수 있습니다. 스니퍼는 이더넷에서 전송된 거의 모든 데이터 패킷을 얻을 수 있습니다. 해커는 다양한 방법을 사용하여 시스템을 제어하고 재침입을 위한 백도어를 남겨 스니퍼가 실행될 수 있도록 합니다. Solaris 2.x 플랫폼에서 스니퍼 프로그램은 일반적으로 /usr/bin 또는 /dev 디렉토리에 설치됩니다. 또한 해커는 스니퍼 프로그램이 다른 시스템 프로그램과 동시에 설치된 것처럼 보이도록 교묘하게 시간을 수정합니다.

대부분의 이더넷 스니퍼 프로그램은 백그라운드에서 실행되며 결과를 로그 파일에 출력합니다.

해커는 종종 ps 프로그램을 수정하여 시스템 관리자가 실행 중인 스니퍼 프로그램을 발견하기 어렵게 만듭니다.

이더넷 스니퍼 프로그램은 시스템의 네트워크 인터페이스를 혼합 모드로 설정합니다. 이러한 방식으로 수신자 또는 발신자가 스니퍼를 실행하는 호스트인지 여부에 관계없이 동일한 이더넷 세그먼트를 통해 흐르는 모든 데이터 패킷을 모니터링할 수 있습니다. 이 프로그램은 해커가 관심을 가질 만한 사용자 이름, 비밀번호 및 기타 데이터를 로그 파일에 저장합니다. 해커는 일정 기간 ----- 예를 들어 일주일 후 기다린 후 여기로 돌아와 로그 파일을 다운로드합니다.

그렇게 말했지만 스니퍼를 소개하기 위해 어떤 일반적인 단어를 사용할 수 있습니까?

컴퓨터 네트워크는 전화 회선과 다릅니다. 컴퓨터 네트워크는 통신 채널만 공유합니다. 공유는 컴퓨터가 다른 컴퓨터로 전송된 정보를 받을 수 있음을 의미합니다. 네트워크에서 전송되는 데이터를 캡처하는 것을 스니핑이라고 합니다.

이더넷은 오늘날 가장 널리 사용되는 컴퓨터 네트워킹 방법입니다. 이더넷 프로토콜은 동일한 루프의 모든 호스트에 패킷 정보를 보냅니다. 패킷 헤더에는 대상 호스트의 올바른 주소가 포함되어 있습니다. 일반적으로 이 주소를 가진 호스트만이 이 패킷을 수락합니다. 호스트가 패킷 헤더 내용에 관계없이 모든 패킷을 수신할 수 있는 경우 이를 종종 "무차별" 모드라고 합니다.

일반적인 네트워크 환경에서는 계정과 비밀번호 정보가 이더넷을 통해 일반 텍스트로 전송되기 때문에 침입자가 호스트 중 하나에 대한 루트 권한을 획득하고 네트워크 데이터를 도청하기 위해 무차별 모드로 전환하면 잠재적으로 네트워크의 모든 컴퓨터를 손상시킵니다.

한마디로 스니퍼는 도청에 사용되는 해킹 수법이자 도구이다.

2. 스니퍼 작동 방식

일반적으로 동일한 네트워크 세그먼트에 있는 모든 네트워크 인터페이스는 물리적 미디어에서 전송된 모든 데이터에 액세스할 수 있는 기능을 가지고 있으며 각 네트워크 인터페이스에는 네트워크에 존재하는 다른 네트워크 인터페이스의 하드웨어 주소와 다른 하드웨어 주소 및 각 네트워크에 대한 하나 이상의 브로드캐스트 주소. (모든 인터페이스 주소를 나타냄) 정상적인 상황에서 합법적인 네트워크 인터페이스는 다음 두 가지 유형의 데이터 프레임에만 응답해야 합니다:

1 프레임의 대상 영역에는 로컬 네트워크와 일치하는 하드웨어가 있습니다. 인터페이스.

2. 프레임의 대상 영역에는 '브로드캐스트 주소'가 있습니다.

위 두 가지 상황에서 데이터 패킷을 수신하면 nc는 CPU를 통해 하드웨어 인터럽트를 발생시켜 운영 체제의 주의를 끌 수 있으며, 프레임에 포함된 데이터를 시스템으로 전송하여 추가 처리.

스니퍼는 로컬 nc 상태를 (무차별) 상태로 설정할 수 있는 소프트웨어입니다. nc가 이 "무차별" 모드에 있을 때 nc는 사용되는 "브로드캐스트 주소"를 갖습니다. 각 프레임은 물리적 미디어를 통해 흐르는 각 패킷을 처리하도록 운영 체제에 경고하기 위해 하드웨어 인터럽트를 생성합니다. (대부분의 NC는 무차별 모드로 설정하는 기능이 있습니다.)

스니퍼는 네트워크 환경의 최하층에서 작동하는 것을 볼 수 있습니다. 네트워크에서 전송되는 모든 데이터를 가로채 해당하는 것을 통해 처리합니다. 소프트웨어를 사용하면 이러한 데이터의 내용을 실시간으로 분석할 수 있으며, 이후 네트워크 상태 및 전체 레이아웃을 분석할 수 있습니다. 주목할 만한 점은 스니퍼가 매우 조용하고 수동적인 보안 공격이라는 것입니다.

보통 스니퍼들이 우려하는 콘텐츠는 다음과 같은 카테고리로 나눌 수 있습니다.

1. 비밀번호

이것이 대다수의 이유라고 생각합니다. 스니퍼, 스니퍼 불법 사용 네트워크 전송 중에 암호화된 데이터를 사용하더라도 침입자가 고기 꼬치를 먹다가 알고리즘을 알아내려고 시도할 수 있으므로 전송된 사용자 ID와 비밀번호를 일반 텍스트로 기록할 수 있습니다. 집.

2. 금융계좌번호

많은 사용자가 온라인에서 신용카드나 현금계좌를 사용하는 것이 안전하다고 생각합니다. 그러나 스니퍼는 전송되는 사용자 이름, 비밀번호, 신용카드 번호 등을 쉽게 가로챌 수 있습니다.

3. 기밀 또는 민감한 정보와 데이터를 엿보는 행위

데이터 패킷을 가로채서 타인 간의 민감한 정보 전송을 쉽게 기록할 수 있습니다. 전체 이메일 대화 프로세스를 가로챕니다.

4. 낮은 수준의 프로토콜 정보에 대한 스누프.

두 호스트 간의 네트워크 인터페이스 주소, 원격 네트워크 인터페이스 IP 주소, IP 라우팅 정보 및 TCP 연결 바이트 순서 번호와 같은 기본 정보 프로토콜을 기록하는 것은 끔찍한 일이라고 생각합니다. , 등. 불법 침입자가 이 정보를 장악하면 네트워크 보안에 큰 해를 끼칠 수 있습니다. 일반적으로 누군가가 이 정보를 수집하기 위해 스니퍼를 사용하는 이유는 단 하나입니다. 즉, 사기 행위를 하고 있다는 것입니다. 일반적으로 IP 주소 사기에는 TCP를 정확하게 삽입해야 합니다. 연결 바이트 시퀀스 번호, 이는 향후 기사에서 지적할 것입니다.) 누군가 이 문제에 대해 매우 우려하고 있다면 스니퍼는 그에게 서막일 뿐이며 앞으로의 문제는 훨씬 더 커질 것입니다. (고급 해커들에게는 이것이 스니퍼를 사용하는 유일한 이유라고 생각합니다)

2. 스니퍼의 작업 환경

스니퍼는 네트워크 패킷을 캡처할 수 있는 장치입니다. 스니퍼의 합법적인 사용은 문제가 되는 네트워크의 잠재적인 문제를 식별하기 위해 네트워크 트래픽을 분석하는 것입니다. 예를 들어, 네트워크의 특정 부분이 제대로 작동하지 않고, 메시지 전송이 느리고, 문제가 어디에 있는지 모른다고 가정하면, 이때 스니퍼를 사용하여 정확한 판단을 내릴 수 있습니다. 문제.

스니퍼는 기능과 디자인이 다양합니다. 일부는 하나의 프로토콜만 분석할 수 있는 반면 다른 일부는 수백 개의 프로토콜을 분석할 수 있습니다. 일반적으로 대부분의 스니퍼는 최소한 다음 프로토콜을 분석할 수 있습니다:

1. 표준 이더넷

2. TCP/IP

3.

4.DECNet

스니퍼는 일반적으로 소프트웨어와 하드웨어의 조합입니다. 전용 스니퍼는 매우 비쌉니다. 반면에 무료 스니퍼는 비용이 들지 않지만 지원은 거의 없습니다.

스니퍼는 일반 키보드 캡처 프로그램과 다릅니다. 키보드 캡처 프로그램은 터미널에 입력된 키 값을 캡처하고, 스니퍼는 실제 네트워크 메시지를 캡처합니다. 스니퍼는 이더넷 카드를 무차별 모드로 설정하는 등 네트워크 인터페이스에 이를 배치하여 이를 수행합니다. (무차별 모드가 무엇인지 이해하려면 먼저 LAN 작동 방식을 설명하십시오.)

데이터는 프레임(FTame)이라는 작은 단위로 네트워크에서 전송됩니다. 프레임은 여러 부분으로 구성되며, 각 부분은 서로 다른 기능을 수행합니다. (예를 들어, 이더넷의 처음 12바이트는 소스 및 대상 주소를 저장합니다. 이 비트는 네트워크에 데이터의 소스 및 대상을 알려줍니다. 이더넷 프레임의 다른 부분은 실제 사용자 데이터와 TCP/IP 헤더를 저장합니다. 또는 IPX 헤더 등).

프레임은 네트워크 드라이버라는 특수 소프트웨어로 모양을 만든 다음 네트워크 카드를 통해 네트워크 케이블을 통해 전송됩니다. 네트워크 케이블을 통해 대상 시스템에 도달하고 대상 시스템의 한쪽 끝에서 반대 프로세스를 수행합니다. 수신 시스템의 이더넷 카드는 이러한 프레임을 캡처하고 운영 체제에 도착 사실을 알리고 이를 저장합니다. 스니퍼가 보안 문제를 일으킬 수 있는 것은 바로 이 전송 및 수신 프로세스 동안입니다.

LAN의 모든 워크스테이션에는 자체 하드웨어 주소가 있습니다. 이러한 주소는 네트워크의 시스템을 고유하게 나타냅니다(인터넷 주소 시스템과 유사). 사용자가 메시지를 보내면 이 메시지는 LAN에서 사용 가능한 모든 시스템으로 전송됩니다.

일반적인 상황에서 네트워크의 모든 시스템은 전달되는 트래픽을 "수신"할 수 있지만 해당 시스템에 속하지 않는 패킷에는 응답하지 않습니다. 즉, 워크스테이션 A는 전달되는 패킷을 캡처하지 않습니다. 해당 데이터에 속함) 워크스테이션 B의 데이터를 삭제하고 해당 데이터를 무시하세요.

워크스테이션의 네트워크 인터페이스가 무차별 모드인 경우 네트워크의 모든 패킷과 프레임을 캡처할 수 있습니다. 워크스테이션이 이러한 방식으로 구성되면 해당 워크스테이션(해당 소프트웨어 포함)은 스니퍼입니다.

스니퍼로 인한 잠재적 피해:

1. 스니퍼는 비밀번호를 캡처할 수 있습니다.

2. 특수 정보 또는 기밀 정보를 캡처할 수 있습니다.

3. 네트워크 이웃의 보안을 위협하거나 더 높은 수준의 액세스 권한을 얻는 데 사용될 수 있습니다.

실제로 네트워크에 무단 스니퍼가 있는 경우 귀하의 시스템이 다른 사람에게 노출되었습니다. (Tianxing 2의 스니핑 기능을 사용해 볼 수 있습니다.)

일반적으로 우리는 각 메시지의 처음 200~300바이트만 스니핑합니다. 이 섹션에는 사용자 이름과 비밀번호가 모두 포함되어 있으며 이는 우리가 관심을 갖는 실제 부분입니다. 작업자는 특정 인터페이스에서 모든 메시지를 스니핑할 수도 있습니다. 저장 및 처리를 위한 공간이 충분하다면 다른 매우 흥미로운 점을 발견할 수 있습니다...

단순 스니퍼를 아무데나 배치하는 것은 별로 도움이 되지 않습니다. 스니퍼를 공격받는 시스템이나 네트워크 근처에 배치하여 많은 암호를 캡처하도록 하십시오. 또 다른 더 좋은 방법은 게이트웨이에 배치하는 것입니다. 이는 네트워크를 다른 네트워크에 인증하는 프로세스를 캡처합니다. 이 접근 방식은 우리가 공격할 수 있는 범위를 기하급수적으로 증가시킵니다.

3. 스니퍼 사용법을 아는 사람

스니퍼를 사용할 수 있는 사람은 누구나 알지만, 스니퍼를 사용하는 사람 모두가 네트워크 전문가는 아닙니다. 현재 스니퍼가 많기 때문입니다. 바보가 되십시오. 얼마 전에 가장 많이 사용된 것은 oicq 스니퍼였습니다. 친구의 IP를 확인하고 싶은 친구들은 꼭 기억해두시면 좋을 것 같아요. 하하, 예전에도 써봤지만, 물론 지금은 필요없죠!

물론 시스템 관리자는 스니퍼를 사용하여 네트워크 트래픽을 분석하고 네트워크에서 문제가 발생하는 위치를 찾아냅니다. 보안 관리자는 동시에 여러 스니퍼를 사용하고 네트워크 전체에 배치하여 침입 경보 시스템을 구성할 수 있습니다. 스니퍼는 시스템 관리자를 위한 훌륭한 도구이지만 해커가 자주 사용하는 도구이기도 합니다. 해커는 사용자 이름과 계좌 번호, 신용 카드 번호, 개인 정보 및 공격으로 이어질 수 있는 기타 정보를 얻기 위해 스니퍼를 설치합니다. 회사가 나쁜 방향으로 발전하면 회사에 큰 해를 끼칠 수 있습니다. 이 정보를 얻은 해커는 비밀번호를 사용하여 다른 인터넷 사이트를 공격하고 신용 카드 번호를 재판매할 수도 있습니다.

3. 네트워크에서 스니퍼가 구현되는 방식

이 문제에 대해 이야기하기 전에 이더넷 통신에 대해서도 이야기해야 합니다. 일반적으로 동일한 네트워크 세그먼트에 있는 모든 네트워크 인터페이스는 미디어에서 전송되는 모든 데이터에 액세스할 수 있으며, 각 네트워크 인터페이스는 네트워크 주소에 있는 다른 네트워크 인터페이스의 하드웨어와 다른 하드웨어 주소도 가져야 합니다. 이때 각 네트워크에는 최소한 하나의 브로드캐스트 주소가 필요합니다. 정상적인 상황에서 합법적인 네트워크 인터페이스는 두 가지 유형의 데이터 프레임에만 응답해야 합니다.

1? 프레임의 대상 영역에는 로컬 네트워크 인터페이스와 일치하는 하드웨어 주소가 있습니다.

2? 프레임의 대상 영역에는 "브로드캐스트 주소"가 있습니다.

위 두 가지 상황에서 데이터 패킷을 수신하면 네트워크 카드는 CPU를 통해 하드웨어 인터럽트를 발생시킵니다. 이 인터럽트는 운영 체제의 주의를 끌고 추가 처리를 위해 프레임에 포함된 데이터를 시스템으로 전송할 수 있습니다. 스니퍼는 로컬 네트워크 카드 상태를 무차별 모드로 설정할 수 있는 소프트웨어입니다.

네트워크 카드가 무차별 모드에 있을 때 네트워크 카드에는 "브로드캐스트 주소"가 있으며 운영 체제가 각 패킷을 처리하도록 상기시키기 위해 만나는 모든 프레임에 대해 하드웨어 인터럽트를 생성합니다. (대부분의 네트워크 카드에는 무차별 모드로 설정할 수 있는 기능이 있습니다.

스니퍼는 네트워크 환경의 최하층에서 작동하며 네트워크에서 전송되는 모든 데이터를 가로채는 것을 볼 수 있습니다. 해당 기능을 통해 소프트웨어 처리, 이러한 데이터의 내용을 실시간으로 분석하여 네트워크 상태 및 전체 레이아웃을 분석할 수 있습니다. 스니퍼는 매우 조용하고 수동적인 보안 공격이라는 점은 주목할 가치가 있습니다. 스니퍼를 얻으세요

우리가 말하는 스니퍼는 주로 Unix 시스템에서 사용됩니다. oicq 스니퍼는 우리의 논의 범위에 포함되지 않습니다. 1. 허용된 네트워크에서 스니퍼를 실행하여 로컬 시스템의 보안을 어떻게 효과적으로 손상시킬 수 있는지 알아볼 수 있습니다.

스니퍼는 가장 다양하고 널리 사용될 수 있습니다. 소프트웨어 스니퍼이며 대부분의 해커도 소프트웨어 스니퍼를 사용합니다.

다음은 네트워크 오류를 디버깅하는 데 널리 사용되는 일부 스니퍼 도구입니다.

(1).

1. 네트워크 제너럴.

네트워크 제너럴은 다양한 제품을 개발했는데, 그 중 가장 중요한 것은 스니핑뿐만 아니라 고성능 전송도 가능한 Expert Sniffer이다. /오류 진단에 도움이 되는 데이터 패킷 수신. UNIX 워크스테이션을 스니퍼 콘솔로 사용하고 스니퍼 에이전트(에이전트)를 원격 호스트에 배포할 수 있는 향상된 제품인 "분산 스니퍼 시스템"도 있습니다. >2. Microsoft의 Net Monitor

일부 상용 사이트의 경우 NetBEUI, IPX/SPX, TCP/IP, 802.3 및 SNA와 같은 여러 프로토콜을 동시에 실행해야 할 수 있습니다. 문제를 해결하는 데 도움이 되는 스니퍼를 찾기가 어렵습니다. 많은 스니퍼가 특정 올바른 프로토콜 패킷을 오류 패킷으로 처리하는 경향이 있기 때문입니다. Microsoft의 Net Monitor(이전의 Bloodhound)는 Netware 제어 패킷과 NT를 올바르게 구분할 수 있습니다. NetBios 이름 서비스 브로드캐스트 등(etherfind는 이러한 패킷을 0000 유형의 브로드캐스트 패킷으로만 식별합니다.) 이 도구는 MS Windows 플랫폼에서 실행되며 MAC 주소(또는 호스트 이름)를 통해 네트워크 통계 및 세션 정보도 확인할 수 있습니다. tcpdump의 표준 출력을 얻으려면 세션을 클릭하기만 하면 됩니다. 필터 설정도 가장 쉽습니다. 대화 상자에서 모니터링하려는 호스트를 클릭하기만 하면 됩니다.

(2). 무료 소프트웨어 스니퍼

1. Sniffit은 Lawrence Berkeley Laboratory에서 개발되었으며 Solaris, SGI 및 Linux 플랫폼에서 실행됩니다. 소스, 대상 주소 또는 주소 세트를 선택할 수 있으며 청취 포트, 프로토콜, 네트워크 인터페이스 등을 선택할 수도 있습니다. 기본적으로 이 SNIFFER는 정보 패킷의 처음 400바이트만 허용하며 이는 로그인 세션에 적합합니다.

2. SNORT: 이 SNIFFER에는 사용할 수 있는 다양한 옵션이 있으며 일부 연결 정보를 기록하고 이를 사용하여 일부 네트워크 활동을 추적할 수 있습니다.

3. TCPDUMP: 이 SNIFFER는 매우 유명합니다. Linux와 FREEBSD도 포함되어 있으며, 예전에는 Tsutomu라는 전문적인 네트워크 관리 도구로 간주되었습니다. Shimomura(Shimomura라고 불러야 함)는 자신의 수정된 버전의 TCPDUMP를 사용하여 KEVINMITNICK의 공격을 기록했습니다. 나중에 그는 KEVINMITNICK을 잡기 위해 FBI와 협력했습니다. 그는 이 LOG 기록을 사용하여 해당 공격을 설명했습니다. , 어떻게MitnickhackedTsutomuShimomura withanIPsequenceattack

( /~lspitz/snoop.html

(4). Linux의 스니퍼 도구

Linux의 스니퍼 도구의 경우 Tcpdump를 권장합니다. .

[1].tcpdump 설치

Linux에서 tcpdump를 설치하는 방법은 일반적으로 두 가지가 있습니다. 하나는 rpm 패키지 형태로 설치하는 것입니다. 다른 하나는 프로그램 형태로 설치하는 것입니다.

1. rpm 패키지 형태로 설치하는 것이 가장 간단합니다. 설치 방법 rpm 패키지는 소프트웨어를 컴파일하고 바이너리 형식으로 패키지화하므로 아무것도 수정하지 않고 rpm 명령을 통해 직접 설치할 수 있습니다.

#rpm -ivh tcpdump-3_4a5.rpm

이렇게 하면 tcpdump가 Linux 시스템에 설치됩니다. 설치는 매우 간단합니다. 소스 프로그램의 설치

rpm 패키지 설치는 매우 간단한데 왜 더 복잡해야 할까요? 사실 리눅스의 가장 큰 매력 중 하나는 패키지가 많다는 것입니다. 소스 프로그램을 제공하는 소프트웨어입니다. 사람들은 자신의 특별한 요구에 맞게 소스 프로그램을 수정할 수 있으므로 특히 친구들이 이 소스 프로그램 설치 방법을 사용하는 것이 좋습니다.

· 첫 번째 단계는 다음과 같습니다. 소스 프로그램 설치 방법에서는 먼저 tcpdump 소스 프로그램 배포 패키지를 구해야 합니다. 이 배포 패키지에는 두 가지 형태가 있습니다. 하나는 tar 압축 패키지(tcpdump-3_4a5.tar.Z)입니다. rpm 배포 패키지(tcpdump-3_4a5.src.rpm)입니다. 이 두 형식의 내용은 동일하며, 유일한 차이점은 압축입니다. .tar 압축 패키지는 다음 명령을 사용하여 압축을 풀 수 있습니다. >#tar xvfz tcpdump-3_4a5.tar.Z

rpm 패키지는 다음 명령을 사용하여 설치할 수 있습니다:

#rpm -ivh tcpdump-3_4a5.src.rpm

이렇게 하면 tcpdump의 소스 코드가 /usr/src/redhat/SOURCES 디렉터리에 압축 해제됩니다.

· 두 번째 단계는 소스 프로그램을 컴파일하기 전에 준비하는 것입니다.

소스 프로그램을 컴파일하기 전에 라이브러리 파일 libpcap이 설치되었는지 확인하는 것이 가장 좋습니다. 이 라이브러리 파일은 tcpdump 소프트웨어에 필요합니다. 마찬가지로 표준 C 언어 컴파일러도 필요합니다. Linux의 표준 C 언어 컴파일러는 일반적으로 gcc입니다. tcpdump의 소스 프로그램 디렉터리에 있습니다. Makefile.in이라는 파일이 있는데, 구성 명령을 실행하면 Makefile.in 파일에서 Makefile 파일이 자동으로 생성됩니다.

Makefile.in 파일에서는 시스템 구성에 따라 두 개의 매크로 정의 BINDEST 및 MANDEST를 수정할 수 있습니다. 기본값은

BINDEST = @sbindir @

MANDEST = @mandir입니다. @

첫 번째 매크로 값은 tcpdump가 설치된 바이너리 파일의 경로 이름을 나타내고, 두 번째 매크로 값은 tcpdump man 도움말 페이지의 경로 이름을 나타냅니다. 시스템.

· 3단계: 소스 프로그램 컴파일

소스 프로그램 디렉토리에 있는 구성 스크립트를 사용하여 시스템에서 다양한 필수 속성을 읽습니다. 그리고 Makefile 파일은 Makefile.in 파일에 따라 자동으로 생성되어 컴파일됩니다. .make 명령은 Makefile 파일의 규칙에 따라 tcpdump 소스 프로그램을 컴파일하는 데 사용됩니다. make install 명령을 사용하여 컴파일된 tcpdump 바이너리 파일을 설치합니다.

요약하자면:

# tar xvfz tcpdump-3_4a5.tar.Z

# vi Makefile.in

# / 구성

# make

# make install

[2].Tcpdump 사용

tcpdump는 명령줄과 해당 명령을 사용합니다. 형식은 다음과 같습니다:

tcpdump [ -adeflnNOpqStvx ] [ -c 수량] [ -F 파일 이름]

[ -i 네트워크 인터페이스] [ -r 파일 이름] [ -s snaplen ]

[-T 유형] [-w 파일 이름] [표현식]

1. tcpdump 옵션 소개

-a 네트워크 주소와 브로드캐스트 주소를 변환합니다.

-d는 사람들이 이해할 수 있는 어셈블리 형식으로 정보 패킷과 일치하는 코드를 제공합니다.

-dd는 C의 정보 패킷과 일치하는 코드를 제공합니다. 언어 프로그램 세그먼트 형식은 다음과 같습니다.

-ddd는 일치하는 정보 패킷의 코드를 10진수 형식으로 제공합니다.

-e는 데이터 링크 계층의 헤더 정보를 인쇄합니다. 출력 라인;

-f는 외부 인터넷 주소를 숫자 형식으로 인쇄합니다.

-l은 표준 출력을 버퍼링된 라인으로 만듭니다.

-n은 인쇄하지 않습니다. 네트워크 밖으로 주소를 이름으로 변환합니다.

-t는 출력의 각 줄에 타임스탬프를 인쇄하지 않습니다.

-v는 ttl 및 service와 같은 약간 더 자세한 정보를 출력합니다. ip 패키지 유형 정보에 포함될 수 있습니다.

-vv는 자세한 메시지 정보를 출력합니다.

-c 지정된 수의 패킷을 수신하면 tcpdump가 중지됩니다. p >-F는 지정된 파일에서 표현식을 읽고 다른 표현식은 무시합니다.

-i는 수신 네트워크 인터페이스를 지정합니다.

-r은 지정된 파일에서 읽습니다. -w 옵션을 통해 생성됨)

-w는 패키지를 분석하고 인쇄하지 않고 파일에 직접 기록합니다.

-T는 패키지를 모니터링합니다. 지정된 유형으로 직접 해석됩니다. 메시지의 일반적인 유형에는 rpc(원격 프로시저 호출) 및 snmp(간단한 네트워크 관리 프로토콜)가 포함됩니다.

2. tcpdump 표현식 소개

표현식은 tcpdump가 사용하는 정규 표현식입니다. 패킷을 필터링하기 위한 조건으로, 패킷이 표현식의 조건을 충족하면 패킷이 캡처됩니다. 조건이 지정되지 않으면 네트워크의 모든 패킷이 차단됩니다.

일반적으로 표현식에는 여러 유형의 키워드가 있습니다. 하나는 주로 호스트, 네트워크 및 포트를 포함하는 유형 키워드입니다. 예를 들어 호스트 210.27.48.2는 컴퓨터를 나타냅니다. , net 202.0.0.0은 202.0.0.0이 네트워크 주소임을 나타내고, 포트 23은 포트 번호가 23임을 나타냅니다. 유형이 지정되지 않은 경우 기본 유형은 호스트입니다.

두 번째 유형은 주로 src, dst, dst 또는 src, dst 및 src를 포함하여 전송 방향을 결정하는 키워드입니다. 전송 방향. 예를 들어, src 210.27.48.2는 IP 패킷의 소스 주소가 210.27.48.2임을 나타내고, dst net 202.0.0.0은 대상 네트워크 주소가 202.0.0.0임을 나타냅니다. 방향 키워드가 지정되지 않은 경우 기본값은 src 또는 dst 키워드입니다.

세 번째 유형은 프로토콜의 키워드로 주로 fddi, ip, arp, rarp, tcp, udp 및 기타 유형을 포함합니다. Fddi는 FDDI(Distributed Fiber Optic Data Interface Network)의 특정 네트워크 프로토콜을 나타냅니다. 실제로는 "ether"의 별칭입니다. fddi와 ether는 소스 주소와 대상 주소가 유사하므로 fddi 프로토콜 패킷은 이더넷 패킷으로 간주할 수 있습니다. 처리 및 분석됩니다. 다른 여러 키워드는 모니터링되는 패킷의 프로토콜 내용을 지정합니다. 프로토콜이 지정되지 않으면 tcpdump는 모든 프로토콜의 패킷을 수신합니다.

이 세 가지 유형의 키워드 외에 다른 중요한 키워드는 다음과 같습니다: 게이트웨이, 브로드캐스트, 더 큰, 그리고 부정 연산은 '아님', AND 연산입니다. is 'and', 'amp;'; OR 연산은 'or', '';

이러한 키워드는 사람들의 요구에 맞는 강력한 조합 조건을 형성할 수 있습니다. 설명하기 위해.

(1) 모든 호스트 210.27.48.1에서 주고받는 모든 데이터 패킷을 가로채고 싶습니다.

#tcpdump 호스트 210.27.48.1

(2) If 호스트 210.27.48.1과 호스트 210.27.48.2 또는 210.27.48.3 사이의 통신을 가로채려면 다음 명령을 사용하십시오. 및 \ (210.27.48.2 또는 210.27.48.3 \)

(3) 호스트 210.27.48.2를 제외하고 호스트 210.27.48.1과 통신하는 모든 호스트의 IP 패킷을 얻으려면 다음 명령을 사용하십시오. < /p >

#tcpdump ip 호스트 210.27.48.1 및 ! 210.27.48.2

(4) 호스트 210.27.48.1에서 수신하거나 전송한 텔넷 패킷을 얻으려면 다음 명령을 사용하십시오.

#tcpdump tcp port 23 호스트 210.27.48.1

3. tcpdump 출력 결과 소개

여기에서는 몇 가지 일반적인 tcpdump 명령의 출력 정보를 소개합니다.

(1) 데이터 링크 계층 헤더 정보

#tcpdump --e host ice 명령 사용

ice는 Linux가 설치된 호스트이고 MAC 주소는 0:90:27:58: AF: 1A

H219는 SOLARIC이 탑재된 SUN 워크스테이션입니다. 해당 MAC 주소는 이전 출력의 8:0:20:79:5B:46입니다. 명령은 다음과 같습니다:

21:50:12.847509 eth0 lt 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60:h219.33357 gt;ice .telne

t 0:0(0) ack 22535 win 8760 (DF)

분석: 21:50:12는 표시된 시간, 847509는 ID 번호, eth0 lt ; 데이터 패킷이 네트워크 인터페이스 eth0에서 수락되었음을 나타냅니다. eth0 gt는 데이터 패킷이 네트워크 인터페이스 장치에서 전송되었음을 나타냅니다. 8:0:20:79:5b:46은 호스트 H219의 MAC 주소입니다. 는 소스 주소 H219 패킷에서 전송되었음을 나타냅니다. 0:90:27:58:af:1a는 호스트 ICE의 MAC 주소이며, 데이터 패킷의 대상 주소가 ICE임을 나타냅니다. 는 IP 데이터 패킷이고, 60은 데이터 패킷의 길이이며, h219 .33357 gt; ice.telnet은 데이터 패킷이 호스트 H219의 33357 포트에서 호스트 ICE의 TELNET(23) 포트로 전송됨을 나타냅니다. ack 22535는 시퀀스 번호 222535의 패킷에 대한 응답을 나타냅니다. win 8760은 송신 창의 크기가 8760임을 나타냅니다.

(2) ARP 패킷의 TCPDUMP 출력 정보

#tcpdump arp 명령을 사용하십시오.

출력 결과는 다음과 같습니다:

22:32:42.802509 eth0 gt; :1a)

22:32:42.802902 eth0 lt; arp 응답 경로는 0 :90:27:12:10:66 (0:90:27:58:af:1a)

분석

: 22:32:42는 타임스탬프, 802509는 ID 번호, eth0 gt;는 데이터 패킷이 호스트에서 전송되었음을 나타냅니다. arp는 ARP 요청 패킷임을 나타내며 who-has Route Tell ice는 호스트 ICE는 호스트 ROUTE의 MAC 주소를 요청합니다. 0:90:27:58:af:1a는 호스트 ICE의 MAC 주소입니다.

(3) TCP 패킷의 출력 정보

TCPDUMP로 캡처된 TCP 패킷의 일반적인 출력 정보는 다음과 같습니다.

src dst: flags data-seqno; ack 창 긴급 옵션

src gt; dst: 소스 주소에서 대상 주소까지를 나타냅니다. flags는 TCP 패킷의 플래그 정보, S는 SYN 플래그, F(FIN), P(PUSH) ), R(RST) "."(표시 없음) data-seqno는 패킷에 있는 데이터의 시퀀스 번호이고, ack는 다음 번에 예상되는 시퀀스 번호이고, window는 수신 버퍼의 창 크기이며 긴급함을 나타냅니다. 패킷에 긴급 포인터가 있는지 여부는 옵션입니다.

(4) UDP 패킷의 출력 정보

TCPDUMP로 캡처된 UDP 패킷의 일반적인 출력 정보는 다음과 같습니다. /p>

route.port1 gt; ice.port2: udp lenth

UDP는 매우 간단합니다. 위의 출력 라인은 UDP 패킷이 호스트 ROUTE의 port1 포트로 전송된다는 것을 나타냅니다. port2 호스트 ICE의 포트입니다. 종류는 UDP이고 패킷의 길이는 lenth입니다. 위에서 TCPDUMP의 설치 및 사용법을 자세히 소개했는데, 많은 분들께 도움이 되었으면 좋겠습니다. LINUX 환경의 SNIFFER 도구인 TCPDUMP를 능숙하게 사용하려면 실제 경험을 요약하고 그 기능을 최대한 활용해야 합니다.

(5). Windows 플랫폼에서의 스니퍼

저는 모두가 사용해 본 적이 있을 거라 생각하는 netxray와 sniffer pro 소프트웨어를 추천하지만 여기서는 간단히 소개하겠습니다.

netxray 사용 지침

1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 ShareHub에 연결된 LAN입니다.

5.5.5.5 포트 8080에 있습니다.

캡처를 시작하시겠습니까?