嗅探器是什么？嗅探器怎么用？

　　嗅探器是一種監(jiān)視網(wǎng)絡數(shù)據(jù)運行的軟件設備，協(xié)議分析器既能用于合法網(wǎng)絡管理也能用于竊取網(wǎng)絡信息。網(wǎng)絡運作和維護都可以采用協(xié)議分析器：如監(jiān)視網(wǎng)絡流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡資源利用、執(zhí)行網(wǎng)絡安全操作規(guī)則、鑒定分析網(wǎng)絡數(shù)據(jù)以及診斷并修復網(wǎng)絡問題等等。非法嗅探器嚴重威脅網(wǎng)絡安全性，這是因為它實質(zhì)上不能進行探測行為且容易隨處插入，所以網(wǎng)絡黑客常將它作為攻擊武器。

　　嗅探器的概念

　　嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network Associates 決定另開辟一個嗅探器產(chǎn)品單元，該單元組成一家私有企業(yè)并重新命名為 Network General，如今嗅探器已成為 Network General 公司的一種特征產(chǎn)品商標，由于專業(yè)人士的普遍使用，嗅探器廣泛應用于所有能夠捕獲和分析網(wǎng)絡流量的產(chǎn)品。

　　在講述Sniffer的概念之前，首先需要講述局域網(wǎng)設備的一些基本概念。

　　數(shù)據(jù)在網(wǎng)絡上是以很小的稱為幀（Frame）的單位傳輸?shù)模瑤蓭撞糠纸M成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡驅(qū)動程序的軟件進行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

　　每一個在局域網(wǎng)（LAN）上的工作站都有其硬件地址（MAC地址），這些地址惟一地表示了網(wǎng)絡上的機器（這一點與Internet地址系統(tǒng)比較相似）。當用戶發(fā)送一個數(shù)據(jù)包時，這些數(shù)據(jù)包就會發(fā)送到LAN上所有可用的機器。

　　如果使用Hub/即基于共享網(wǎng)絡的情況下，網(wǎng)絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應（換句話說，工作站A不會捕獲屬于工作站B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)）。如果某個工作站的網(wǎng)絡接口處于混雜模式（關(guān)于混雜模式的概念會在后面解釋），那么它就可以捕獲網(wǎng)絡上所有的數(shù)據(jù)包和幀。

　　但是現(xiàn)代網(wǎng)絡常常采用交換機作為網(wǎng)絡連接設備樞紐，在通常情況下，交換機不會讓網(wǎng)絡中每一臺主機偵聽到其他主機的通訊，因此Sniffer技術(shù)在這時必須結(jié)合網(wǎng)絡端口鏡像技術(shù)進行配合。而衍生的安全技術(shù)則通過ARP欺騙來變相達到交換網(wǎng)絡中的偵聽。

　　Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設置為這種模式，它就能接收傳輸在網(wǎng)絡上的每一個信息包。

　　普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持 BPF，Linux下需要支持SOCKET-PACKET。但一般情況下，網(wǎng)絡硬件和TCP/IP堆棧不支持接收或者發(fā)送與本地計算機無關(guān)的數(shù)據(jù)包，所以，為了繞過標準的TCP/IP堆棧，網(wǎng)卡就必須設置為混雜模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設備BPFilter，而且需要root權(quán)限來運行這種程序，所以Sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統(tǒng)，那么不可能嗅探到root的密碼，因為不能運行Sniffer。

　　基于Sniffer這樣的模式，可以分析各種信息包并描述出網(wǎng)絡的結(jié)構(gòu)和使用的機器，由于它接收任何一個在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰(zhàn)果的方法，用來奪取其他主機的控制權(quán)。

　　也有基于無線網(wǎng)絡、廣域網(wǎng)絡（DDN， FR）甚至光網(wǎng)絡（POS、Fiber Channel）的監(jiān)聽技術(shù)，這時候略微不同于以太網(wǎng)絡上的捕獲概念，其中通常會引入TAP （測試介入點）這類的硬件設備來進行數(shù)據(jù)采集。