嗅探網路伺服器的資料包

Question 1

嗅探遠端伺服器是可能的，但並不容易。最有效（儘管不可靠）的方法是破壞與 Web 伺服器位於同一子網路上的另一台設備，使其達到可執行嗅探器的等級。此時，您可以部署 ARP 中毒來說服交換器您需要查看該伺服器的流量。如果交換器未設定為防禦此類攻擊，則這應該為您提供到目標 Web 伺服器的完整網路流。但是，它確實需要您損害一台主機才能存取另一台主機，因此獲得此功能的引導鏈相當長且複雜。

下一個最有效的方法是破壞連接到該網路的路由器。此時，您可以做很多有趣的事情，包括（取決於路由器）將發送到該目標 Web 伺服器的流量轉送到您控制的另一個網路位置。然而，這種方法通常比第一種方法困難得多。網路管理員往往比伺服器管理員更難鎖定此類事物，這在很大程度上是因為攻擊面要小得多。此外，公共網路很少能以任何方式存取路由器管理位址。

作為一種偵察方法，嗅探在闖入某個區域時更有用。應用一旦網路伺服器已經被破解了。也許他們希望嗅探後端網絡，以獲取透過假定的安全通道以明文形式傳遞到資料庫的憑證。這種方法是老練的攻擊者所使用的一種方法，通常不屬於「漏洞利用工具包」。

Answer

嗅探遠端伺服器是可能的，但並不容易。最有效（儘管不可靠）的方法是破壞與 Web 伺服器位於同一子網路上的另一台設備，使其達到可執行嗅探器的等級。此時，您可以部署 ARP 中毒來說服交換器您需要查看該伺服器的流量。如果交換器未設定為防禦此類攻擊，則這應該為您提供到目標 Web 伺服器的完整網路流。但是，它確實需要您損害一台主機才能存取另一台主機，因此獲得此功能的引導鏈相當長且複雜。

下一個最有效的方法是破壞連接到該網路的路由器。此時，您可以做很多有趣的事情，包括（取決於路由器）將發送到該目標 Web 伺服器的流量轉送到您控制的另一個網路位置。然而，這種方法通常比第一種方法困難得多。網路管理員往往比伺服器管理員更難鎖定此類事物，這在很大程度上是因為攻擊面要小得多。此外，公共網路很少能以任何方式存取路由器管理位址。

作為一種偵察方法，嗅探在闖入某個區域時更有用。應用一旦網路伺服器已經被破解了。也許他們希望嗅探後端網絡，以獲取透過假定的安全通道以明文形式傳遞到資料庫的憑證。這種方法是老練的攻擊者所使用的一種方法，通常不屬於「漏洞利用工具包」。

Question 2

要嗅探任何資料包，您需要獲取資料包 - 無論您正在嗅探什麼。

有很多方法可以實現這一點，最簡單的兩種方法是成為「中間人」（例如具有兩個乙太網路連接埠的 Linux 系統，用於在伺服器和與之通訊的網路之間橋接）或取得一個複製實際流量（您可以在大多數可管理的乙太網路交換器上將連接埠設定為「監視模式」）。

後者實際上通常用於將網路流量的副本取得到 IDS。在 10mbit 的美好時光和 100mbit 的早期，您還可以使用中心，但這會導致效能低於交換器解決方案，並且不再適用於千兆位元乙太網路。

如果您無法直接存取網絡，那麼您需要以任何其他方式獲取資料的副本，例如在伺服器上運行探測器（僅舉一個例子，tcpdump）。這樣您也可以記錄流量以便日後分析。

這是關於「資料包嗅探」（順便說一句，這本身並不是「壞」的事情），並假設您對網路或伺服器有一定的控制權。

Answer