1. sniffit 既是个优秀的管理工具也是个危险的侵入工具。可被管理员用来检查网络中到底传输了些什么，学习各种tcp/ip协议的工作方法，也能被攻击者利用，主要是记录密码。 0E-"&
Mx_
{Wp'�Sih
2. 工作原理： 为什么能检查密码和不是传送给自己的数据呢？ s1 p6Dd
lp7<oejiQ
在典型的LAN环境中，（指共享式HUB上连接的两个用户A和B），基于共享式HUB的工作原理，用户A发出的所有tcp/ip请求在HUB的每个端口上广播，正常情况下，B不接收这些目标地址不是自己的数据，但是一旦我们在B机上运行sniffit一类的监听工具，就能置网卡于第三种叫混杂模式的状态下（前两种为tcp,udp模式），在该状态下，网卡接受所有的数据，不管是发给自己的，还是不发给自己的，都被网卡接收并直接传给最上层应用层，交由相应的软件如sniffit处理。 (rt-g;
j?hH�9Q
3。常见用法 /QlZ%|X
,pgCB]"
a. 检测telnet/ftp/pop3密码： 98Pq+2.
s~2u#Nn'
#sniffit -a -A. -p 23 -b -t 192.168.11.@ G,t*P>,
Dd/M,T9j{
#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server) Z=#qr(%6iQ
d=V*l}CA
b. 查看http头信息 Nq1O,S<7
dbC"VHYQs
#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火墙外部地址） .3qwa<b
qks(.n
c. 记录输出到文件 Zdeb6{&BV
'RmFE
E5K
#sniffit -p 21 -l 0 -b -s 192.168.11.2 & ZA<X7X{$"
eib2RRf#8
d. 查看icmp消息 >zi?SP|v
p9YiX'e
#sniffit -p icmp -b -s 192.168.1.2 VgX>E=R_O
O+XLFO�
e. 交互式界面 It8(<i
qU
#sniffit -i VVUSOK<QQ
j)iTp|!8B
f. 检查本网段内发出名字广播的机器 K d% C)f-
<?8]u dk
#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255 skltq�7n
w vb PYe^
g. 注意防火墙的情况 mb]7=y\Z
?&G\yfp
若要检查防火墙内部网卡上的包eth1，可能你要设置 -F eth1参数，因为默认地sniffit 假设为eth0 |E*IR#meV
c6c[sYU!
4.哪些信息是敏感的和易被检测的？ hC3aT~
{>)k>
telnet/ftp/pop3的密码都是明文传送的，都是易被检测的，apache的基本方式的用户名/密码认证也是UU编码后的口令，也是易被检测的。 6-W|+JX
8#{p[L#/
5. 怎样阻止？ *_(_�"y{
hN$v~3� 
硬件： 不要用普通的共享式HUB，用交换机来代替它，目前只有交换机和路由器能阻止sniffit的作用 rEb~ #m�v

~ctJ@VE^
软件： 用带加密功能的tcp/ip连接，象ssh/scp全面代替telnet/ftp/pop3，用MD5方式的apache认证 ,?6p'^f@`G
?HtlA#bsK
6。作用范围:  &oWhM;n4
v^<JS[xu
仅在逻辑子网内有效，不能跨子网，因为广播不被路由器传递，但若是在服务器上运行sniffit，则任何方法均无效，对防火墙来说，通常sniffit攻击是第二层攻击，就是先得到一个普通帐号进入再探寻更多的口令。 t 4@=!MZ:
Bqrgt|!
7. 怎样判断是否有人在用sniffit? |sLUmehq
!RpD|]
可检测网络接口（ifconfig)看是否处于混杂模式来确认是否被侵入并安装了sniffit，只限本机。

原文链接: http://bbs.tech.ccidnet.com/read.php?tid=528510