A夢之IT可憐貓

在組織當中老闆監看員工MNS訊息是常常聽到的

姑且不論其正當或合法性，但在某些情況而言是必要的

例如：保護公司機密(通常是直接不給你MSN用啦)、追蹤犯罪事件等...

A夢今天會研究這個其實是因為研究上的需要啦

實做平台：ubuntu server 8.04

軟體：Msniff

需求設備：

1. 能夠做Port Mirror(Port Monitor)的switch

2. 能夠開啟雜湊模式(Promiscuous Mode)的NIC

因為Msniff是使用監聽，sniffer的方式，不要跟我說你們現在還在用Hub，如果是的話第1點就不需要考慮

開始

1. 先把待會需要的的軟體裝起來

$ sudo apt-get update

$sudo apt-get install  gcc++ gcc make libpcap0.8-dev libshhmsg1-dev libshhopt-dev

剩下交給apt去處理相依性問題

2. 切換工作目錄(因人而異，你也可以選擇在家目錄下，會選/opt是因為比較乾淨)

$ cd /opt

3. 下載Msniff並解壓縮

$ sudo wget http://shh.thathost.com/pub-unix/files/msniff-0.2.0.tar.gz

$ sudo tar -xzvf msniff-0.2.0.tar.gz

$ cd msniff-0.2.0

4. 編輯Makefile指向正確的函式庫路徑

$ sudo vim Makefile

改成如下

# where is libpcap, shhmsg and shhopt??
INCDIR          = -I/usr/local/include
LIBDIR          = -L/usr/local/lib

5. 編譯

$ sudo make

若沒有錯誤訊息，出現一個msniff的執行檔就完成了

6. 其他

而我們除了直接執行它之外也可以將它複製到/usr/sbin之下

$ sudo cp msniff /usr/sbin(不要問我為什麼不是/usr/bin)

這樣就可以直接在命令列上執行它

或者是設定alias

$ sudo vim /etc/bash.bashrc

加入到最下面一行

alias msniff=/opt/msniff-0.2.0/msniff

上面由於道德因素請讓msniff只有root身分才能執行，當然你也可以不那麼做

收工~

如何使用?

msniff -[option] [interface] [host] [port]

[option]只有三種..................

    -h help(直接執行不含任何參數就是help了，有點無聊)

    -v verbose(囉嗦模式，只有這個會用到)

    -V version

[interface]是你要監聽的網卡，ex. eth1

[host]只留該host的訊息，其他全部過濾掉。若要聽全部主機的訊息打'ANY'代表全部

[port]通常msn是走1863

example.

$ sudo msniff -v eth1 ANY 1863 >> /var/log/msnlog.log(將螢幕輸出重新導向到msnlog.log檔案)