在組織當中老闆監看員工MNS訊息是常常聽到的
姑且不論其正當或合法性,但在某些情況而言是必要的
例如:保護公司機密(通常是直接不給你MSN用啦)、追蹤犯罪事件等...
A夢今天會研究這個其實是因為研究上的需要啦
實做平台:ubuntu server 8.04
軟體:Msniff
需求設備:
1. 能夠做Port Mirror(Port Monitor)的switch
2. 能夠開啟雜湊模式(Promiscuous Mode)的NIC
因為Msniff是使用監聽,sniffer的方式,不要跟我說你們現在還在用Hub,如果是的話第1點就不需要考慮
開始
1. 先把待會需要的的軟體裝起來
$ sudo apt-get update
$sudo apt-get install gcc++ gcc make libpcap0.8-dev libshhmsg1-dev libshhopt-dev
剩下交給apt去處理相依性問題
2. 切換工作目錄(因人而異,你也可以選擇在家目錄下,會選/opt是因為比較乾淨)
$ cd /opt
3. 下載Msniff並解壓縮
$ sudo wget http://shh.thathost.com/pub-unix/files/msniff-0.2.0.tar.gz
$ sudo tar -xzvf msniff-0.2.0.tar.gz
$ cd msniff-0.2.0
4. 編輯Makefile指向正確的函式庫路徑
$ sudo vim Makefile
改成如下
# where is libpcap, shhmsg and shhopt??
INCDIR = -I/usr/local/include
LIBDIR = -L/usr/local/lib
5. 編譯
$ sudo make
若沒有錯誤訊息,出現一個msniff的執行檔就完成了
6. 其他
而我們除了直接執行它之外也可以將它複製到/usr/sbin之下
$ sudo cp msniff /usr/sbin(不要問我為什麼不是/usr/bin)
這樣就可以直接在命令列上執行它
或者是設定alias
$ sudo vim /etc/bash.bashrc
加入到最下面一行
alias msniff=/opt/msniff-0.2.0/msniff
上面由於道德因素請讓msniff只有root身分才能執行,當然你也可以不那麼做
收工~
如何使用?
msniff -[option] [interface] [host] [port]
[option]只有三種..................
-h help(直接執行不含任何參數就是help了,有點無聊)
-v verbose(囉嗦模式,只有這個會用到)
-V version
[interface]是你要監聽的網卡,ex. eth1
[host]只留該host的訊息,其他全部過濾掉。若要聽全部主機的訊息打'ANY'代表全部
[port]通常msn是走1863
example.
$ sudo msniff -v eth1 ANY 1863 >> /var/log/msnlog.log(將螢幕輸出重新導向到msnlog.log檔案)