玖重分享 | 小心“饮茶”：嗅探与反嗅探

玖

重

分

享

小心“饮茶”

嗅探与反嗅探

9月13日，国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》。

报告声明，在对西北工业大学遭境外网络攻击事件进行调查过程中，应急中心在西北工业大学的网络服务器设备上发现了美国国家安全局（NSA）专用的网络武器“饮茶”（NSA命名为“suctionchar”）。

VERC | 美国NSA网络武器“饮茶”分析报告

经技术分析与研判，“饮茶”是一款“嗅探窃密类武器”，主要针对Unix/Linux平台，在此次针对西北工业大学的攻击中，美国NSA通过将“饮茶”植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

没有网络安全就没有国家安全，嗅探攻击侵犯的远不止信息安全。下文，小玖将通过定义、原理、场景、危害、对抗等角度向大家介绍“嗅探”。

一

何为嗅探

通过嗅探攻击以获取密码、口令、敏感文件，并非史无前例，但我们仍缺少对嗅探行为、嗅探原理、嗅探对抗的整体认知 。

了解嗅探技术及其防范手段 , 不仅对维护和保障国家、网络以及信息安全具有重要意义，在数字支付高度发达的今天，对公民个人财产安全和金融安全也大有裨益。

定义

在网络安全范畴中，嗅探（sniff）通常是指对非发送给本进程或本机的数据包利用一定方式加以窃听的过程，因此也被称为监听。

网络嗅探作为一种常见的数据采集方 式，是一把双刃剑。嗅探既能作为管理工具，协助网络安全人员分析判断网络运行状况，定位潜在问题并加以解决，又会被网络入侵者利用以读取或截获任何网络数据包中的用户名、密码、密钥、银行账号、交易记录等具有价值的敏感文本信息。

我们可以将嗅探理解为一种窃取行为，面对不同的网络拓扑环境，入侵者有选择性地将嗅探器部署在单个主机、网关服务器、路由器、交换机的监听端口等位置以获取机密信息。

嗅探器作为实现嗅探行为的工具，既可以表现为软件，又能表现为硬件，极难发现。

因此简单的个人网络嗅探器，不同于将卧室洗劫一空明目张胆地告诉失主你遭贼了的“抢劫”，嗅探这类原则为“不惊扰住户、不打乱陈设”的窃取行为隐蔽性极强。

PIXABAY | 嗅探行为威胁数据安全

原理

嗅探是一种数据链路层的技术, 利用的是共享式的网络传输介质。

共享简单的个人网络嗅探器，即开放，意味着网络中的一台机器可以嗅探到传递给本网段中的所有机器的报文（网络中交换与传输的数据单元）。

比如，最常见的以太网就是一种共享式的网络技术，一般情况下，以太网卡收到报文后, 会像利用筛洞大小来筛选不同体型的豆类一般，通过对目的地址进行检查，来判断报文是否是传递给自己的，如果是，就把报文传递给操作系统；如果不是, 就将报文丢弃，不进行处理。

PIXABAY | 以太网数据传输

但网卡还存在着一种特殊的混杂模式，在这种工作模式下，网卡不对目的地址进行判断，直接将它收到的所有报文都传递给操作系统进行处理。

网络嗅探器就是利用以太网数据传输的这一特点，将网络适配器的工作模式设置为混杂模式，在数据链路层上拦截网络适配器收到的数据封包，将它们首先传递给某些能够直接访问数据链路层的软件，逆向解析还原帧的内容。

此时，网络入侵者已掌握所有流经嗅探机网关的数据，完成信息嗅探。

环球时报 | 攻击场景流程

对抗

要想对抗嗅探，要做好探测识别和消除威胁两步。

嗅探器具备高隐蔽性，但由于嗅探器的工作原理，其网卡始终处于混杂模式，但正常服务的网卡一般不处于该模式，所以网络安全人员可以通过检测网络中是否存在网卡设为混杂模式的计算机来探测识别。

PIXABAY | 服务器

消除威胁比起探测识别来要简单许多，多根据所传输数据的重要性、安全性及项目预算来决定采取的对应措施。

通常情况下，会采取多重加密和网络分割的办法来防止嗅探器的攻击。

二

短信嗅探

短信嗅探是嗅探攻击的一种应用场景。

不同于因“高大上”而曲高和寡的“饮茶”，短信嗅探因涉及到公民财产、金融安全而越发引起公民关注。

定义及原理

短信嗅探是一种伪基站欺诈手段，一般采用“GSM劫持+短信嗅探”技术，通过特殊设备采集附近手机号码和机主信息，实现不接触目标手机，而获得目标手机所接收到的验证短信的目的。进而凭借获取到的信息与验证码，利用各大银行、购物网站和移动支付APP的漏洞，实现信息窃取、资金盗刷和网络诈骗等犯罪。

这种犯罪手段主要是利用了电信基站和GSM(2G) 通信的安全缺陷，以大功率的伪基站拦截、吸附手机号码，嗅探用户的短信内容。

我们可以把短信嗅探器理解成扮演外婆的大灰狼，短信嗅探器通过技术伪装迫使被控制的手机账户向各大软件后台发送验证码请求，晕头转向的“小红帽”受到蛊惑发出验证码信息，“大灰狼”从中完整地获取短信内容。但值得注意的是，嗅探器只能获取信息内容，而无法阻止信息抵达发出请求的手机，这给短信嗅探的对抗留下了一条出路。

PIXABAY | 短信嗅探威胁个人财产安全

危害

由于目前“手机号码+短信验证码”的身份验证方式被广泛地应用于银行APP、支付平台、购物网站等各类 APP的安全验证上，一旦短信嗅探盗刷资金的技术蔓延开来，可能会造成不可估量的危害与影响。

不但可能造成大规模的公民个人财产损失，还可能危及金融系统与互联网安全，还可能导致“手机号码+短信验证码”这种安全验证方式的根本性失效。

而且短信嗅探技术及设备要求较低，不法分子在作案具有较强的流动性和随机性，嗅探器辐射范围内的每一部手机用户都有可能成为下一个受害人，而且不需要事先蹲点、事中预演，没有传统意义上的犯罪现场，犯罪成本、风险较低。

对抗

对抗犯罪，从来不是某个人或者部门单独的责任，而是需要合力为之。

从公安打击来看，公安部门要从源头打击嗅探犯罪产业链，深挖犯罪，及时打击为嗅探犯罪提供信息、技术及工具支持的上游犯罪，加强对违法犯罪信息的巡查力度，严厉打击制售伪基站及嗅探设备的行为，真正实现全链条打击。

同时，要加强电子证据收集和研判能力，注重专业人才队伍建设，强化多警种及区域警务合作，完善与其他单位的对接协调机制，做到最短时间内收集到最齐全的证据破最完整的案子。

网络 | 短信嗅探漫画

从行业协助来看，相关企业需要优化安全验证技术。“手机号码+短信验证码”的安全验证方式的不足已然暴露，推出增加“人物动作认证”等二次身份验证机制以增加安全认证有效性的措施，是势在必行的。

同时，运营商需要加快网络升级换代。既然不法分子是利用了2G网络下信息无加密保护措施的缺陷以实施短信嗅探，运营商需要考虑加快网络基础设施的升级，淘汰安全性能较低的2G网络。

PIXABAY | 从2G到5G，升级的不止是速度

从个人防范来看，分断开受害可能和提高自身安全意识两点。

短信嗅探虽然危害较大，但其想成功犯罪，需要同时满足受害人在嗅探器覆盖范围内，其手机号码是中国联通或中国移动，网络处于2G、手机处于静置状态，同时受害人身份信息被泄露且相关APP、网站存在漏洞，可以为不法分子所用。

哪怕换卡不现实，也可通过设置禁止手机连接2G网络、睡前将手机调至飞行模式等方式断开受害可能。

同时，提高安全意识，定期对手机进行安全检测、避免安装不明软件、拒绝浏览不明网站、取消免密支付、收到异常金融信息后主动挂失冻结银行账号并保留信息及时报案等。

部分参考资料：

1、濮青．基于不同网络环境下的嗅探与反嗅探研究[J]．计算机工程与设计,2004,025(007):1130-1132,1136

2、殷仁杰．利用'短信嗅探'技术实施网络侵财犯罪初探[J]．山西省政法管理干部学院学报,2020,033(002):98-101，

3、高伟,周权,郭艾侠．网络嗅探及其检测和防范[J]．安庆师范学院学报（自然科学版）,2002,008(003):52-54

4、翟溪林,张圆周,邓芙蓉,朱诗琳．网络嗅探技术在信息安全中的应用探究[J]．信息通信,2020,000(008):201-202

5、曾维佳．网络嗅探的原理及反嗅探技术的实现[J]．福建电脑,2005,000(010):5435

扫

码

审

核

/ 钉钉群 / 九数研习室 /