本篇文章将讨论通过进入混杂模式下对网络数据包进行监听的工具软件及采取何种对策以降低其破坏性。为了保证网络的安全性和防止不必要的恐慌,系统管理人员应该非常熟悉这些探测工具的能力和其局限性,并在遇到此类问题时应能采取正确的措施。
本机监控
不同操作系统的计算机采用的检测工具也不尽相同。大多数UNIX系列操作系统都使用"ifconfig"。利用"ifconfig"管理人员可以知道网卡是否工作在混杂模式下。但是因为安装未被授权的sniffer时,特洛伊木马程序也有可能被同时安装,因而"ifconfig"的输出结果就可能完全不可信。系统管理人员还可以选择其它的主要工具来检测sniffers(嗅探器)是否存在,例如"ls","df","du","ps","find"和"netstat"等等,但是以上问题仍有可能发生。许多流行的特洛伊木马程序在系统的"/dev/"目录下都有自己的ASCII文件,该文件中包含该木马程序的配置信息。在安全系统中,"/dev/"目录下应该没有ASCII文件,因而系统管理人员应该定时检测"/dev/"目录。如果"/dev/"目录下存在ASCII文件,则表明系统中已经被攻击者安装了sniffer(嗅探器)。特洛伊木马的ASCII配置文件一般包括sniffers(嗅探器)和与其输出文件相关的进程信息和相应的文件信息,这些信息一般都对系统管理人员隐藏。
