嗅探网络服务器的数据包

Question 1

嗅探远程服务器是可能的，尽管并不容易。最有效（尽管不可靠）的方法是破坏与 Web 服务器位于同一子网上的另一台设备，使其达到可以执行嗅探器的水平。此时，您可以部署 ARP 中毒来使交换机相信您需要查看该服务器的流量。如果交换机未设置为防御此类攻击，这应该会为您提供到目标 Web 服务器的完整网络流。但是，它确实需要您破坏一台主机才能访问另一台主机，因此获得此功能的引导链本身就相当长且复杂。

下一个最有效的方法是攻陷连接到该网络的路由器。此时，您可以做很多有趣的事情，包括（取决于路由器）将发往该目标 Web 服务器的流量转发到您控制的另一个网络位置。但是，这种方法通常比第一种方法困难得多。网络管理员往往比服务器管理员更难锁定这类东西，这在很大程度上是因为攻击面要小得多。此外，路由器管理地址很少能以任何方式访问公共网络。

作为一种侦察方法，嗅探在入侵时更有用，应用一旦网络服务器已经被破解。也许他们想嗅探后端网络，以查找通过假定安全的通道以明文形式传递给数据库的凭据。这种方法是经验丰富的攻击者使用的，通常不在“漏洞利用工具包”的库中。

Answer

嗅探远程服务器是可能的，尽管并不容易。最有效（尽管不可靠）的方法是破坏与 Web 服务器位于同一子网上的另一台设备，使其达到可以执行嗅探器的水平。此时，您可以部署 ARP 中毒来使交换机相信您需要查看该服务器的流量。如果交换机未设置为防御此类攻击，这应该会为您提供到目标 Web 服务器的完整网络流。但是，它确实需要您破坏一台主机才能访问另一台主机，因此获得此功能的引导链本身就相当长且复杂。

下一个最有效的方法是攻陷连接到该网络的路由器。此时，您可以做很多有趣的事情，包括（取决于路由器）将发往该目标 Web 服务器的流量转发到您控制的另一个网络位置。但是，这种方法通常比第一种方法困难得多。网络管理员往往比服务器管理员更难锁定这类东西，这在很大程度上是因为攻击面要小得多。此外，路由器管理地址很少能以任何方式访问公共网络。

作为一种侦察方法，嗅探在入侵时更有用，应用一旦网络服务器已经被破解。也许他们想嗅探后端网络，以查找通过假定安全的通道以明文形式传递给数据库的凭据。这种方法是经验丰富的攻击者使用的，通常不在“漏洞利用工具包”的库中。

Question 2

要嗅探数据包，您需要获取数据包 - 无论您嗅探的是什么。

有很多方法可以实现这一点，最简单的两种是“中间人”（比如说，在服务器和它所通信的网络之间桥接两个以太网端口的 Linux 系统）或获得一个复制实际流量（您可以在大多数可管理以太网交换机上将端口设置为“监控模式”）。

后者通常用于将网络流量的副本发送到 IDS。在 10mbit 的美好时代和 100mbit 的初期，您还可以使用中心，但这会导致性能低于交换机解决方案，并且不再适用于千兆以太网。

如果您无法直接访问网络，则需要以其他方式获取数据副本，例如在服务器上运行探测器（tcpdump 就是其中之一）。这样，您还可以记录流量以供日后分析。

这是关于“数据包嗅探”的（顺便说一下，这本身并不是什么“坏事”），并且假设您对网络或服务器有一定的控制权。

Answer