管理工具变入侵利器:Sniffit

管理工具变入侵利器:Sniffit

　　1.Sniffit 既是个优秀的管理工具也是个危险的侵入工具。可被管理员用来检查网络中到底传输了些什么，学习各种tcp/ip协议的工作方法，也能被攻击者利用，主要是记录密码。

　　2.工作原理：为什么能检查密码和不是传送给自己的数据呢？

　　在典型的LAN环境中，（指共享式HUB上连接的两个用户A和B），基于共享式HUB的工作原理，用户A发出的所有tcp/ip请求在HUB的每个端口上广播，正常情况下，B不接收这些目标地址不是自己的数据，但是一旦我们在B机上运行sniffit一类的监听工具，就能置网卡于第三种叫混杂模式的状态下（前两种为tcp,udp模式），在该状态下，网卡接受所有的数据，不管是发给自己的，还是不发给自己的，都被网卡接收并直接传给最上层应用层，交由相应的软件如sniffit处理。

　　3.常见用法

　　a.检测telnet/ftp/pop3密码：

　　#sniffit -a -A. -p 23 -b -t 192.168.11.@
　　#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)

　　b.查看http头信息

　　#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火墙外部地址）

　　c.记录输出到文件

　　#sniffit -p 21 -l 0 -b -s 192.168.11.2 &

　　d.查看icmp消息

　　#sniffit -p icmp -b -s 192.168.1.2

　　e.交互式界面

　　#sniffit -i

　　f.检查本网段内发出名字广播的机器

　　#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255

　　g.注意防火墙的情况

　　若要检查防火墙内部网卡上的包eth1，可能你要设置 -F eth1参数，因为默认地sniffit 假设为eth0。