《网络攻防技术（第2版）》 —3.4　针对口令传输的攻击

3.4　针对口令传输的攻击

在网络环境中，往往需要远程验证用户身份，此时就需要被验证方提供用户名和口令等认证信息，在验证程序将用户输入通过网络传送给远程服务器的过程中，攻击者可能通过网络截获相应数据，从而获取目标系统的账号和口令。

3.4.1　口令嗅探

在通过网络进行认证时，认证信息要通过网络传递，有些认证系统的口令是未经严格加密协议传送的“密文”，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名，还原出口令。

在网络上截获认证信息的有效方法是进行嗅探攻击，特别是在局域网上，可以使用嗅探器获得流经同一网段的所有网络数据。嗅探器将系统的网络接口设为混杂模式，这样它就可以监听到所有流经同一以太网网段的数据包，而不管它的接收者或发送者是不是运行嗅探程序的主机。嗅探程序将用户名、口令和其他攻击者感兴趣的数据存入log文件，一段时间之后，攻击者再回到这里下载记录文件。如图3-14所示。这种攻击方法要求运行嗅探程序的主机和被监听的主机必须在同一个以太网段上，在外网主机上执行嗅探是没有效果的。另外，嗅探程序必须以管理员的身份运行，才能够监听到以太网段上的数据流。

网络嗅探器既可以是软件，也可以是硬件。嗅探器一旦在网络上安装，嗅探攻击就已经存在，因为这是一种被动的攻击方式，所以用户通常很难察觉。