嗅探器是什么？嗅探器怎么用？

　　嗅探器是一種監視網絡數據運行的軟件設備，協議分析器既能用于合法網絡管理也能用于竊取網絡信息。網絡運作和維護都可以采用協議分析器：如監視網絡流量、分析數據包、監視網絡資源利用、執行網絡安全操作規則、鑒定分析網絡數據以及診斷并修復網絡問題等等。非法嗅探器嚴重威脅網絡安全性，這是因為它實質上不能進行探測行為且容易隨處插入，所以網絡黑客常將它作為攻擊武器。

　　嗅探器的概念

　　嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network Associates 決定另開辟一個嗅探器產品單元，該單元組成一家私有企業并重新命名為 Network General，如今嗅探器已成為 Network General 公司的一種特征產品商標，由于專業人士的普遍使用，嗅探器廣泛應用于所有能夠捕獲和分析網絡流量的產品。

　　在講述Sniffer的概念之前，首先需要講述局域網設備的一些基本概念。

　　數據在網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

　　每一個在局域網（LAN）上的工作站都有其硬件地址（MAC地址），這些地址惟一地表示了網絡上的機器（這一點與Internet地址系統比較相似）。當用戶發送一個數據包時，這些數據包就會發送到LAN上所有可用的機器。

　　如果使用Hub/即基于共享網絡的情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應（換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單地忽略這些數據）。如果某個工作站的網絡接口處于混雜模式（關于混雜模式的概念會在后面解釋），那么它就可以捕獲網絡上所有的數據包和幀。

　　但是現代網絡常常采用交換機作為網絡連接設備樞紐，在通常情況下，交換機不會讓網絡中每一臺主機偵聽到其他主機的通訊，因此Sniffer技術在這時必須結合網絡端口鏡像技術進行配合。而衍生的安全技術則通過ARP欺騙來變相達到交換網絡中的偵聽。

　　Sniffer程序是一種利用以太網的特性把網絡適配卡（NIC，一般為以太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。

　　普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使Sniffer能接收并處理這種方式的信息，系統需要支持 BPF，Linux下需要支持SOCKET-PACKET。但一般情況下，網絡硬件和TCP/IP堆棧不支持接收或者發送與本地計算機無關的數據包，所以，為了繞過標準的TCP/IP堆棧，網卡就必須設置為混雜模式。一般情況下，要激活這種方式，內核必須支持這種偽設備BPFilter，而且需要root權限來運行這種程序，所以Sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統，那么不可能嗅探到root的密碼，因為不能運行Sniffer。

　　基于Sniffer這樣的模式，可以分析各種信息包并描述出網絡的結構和使用的機器，由于它接收任何一個在同一網段上傳輸的數據包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰果的方法，用來奪取其他主機的控制權。

　　也有基于無線網絡、廣域網絡（DDN， FR）甚至光網絡（POS、Fiber Channel）的監聽技術，這時候略微不同于以太網絡上的捕獲概念，其中通常會引入TAP （測試介入點）這類的硬件設備來進行數據采集。

　　嗅探器的技術應用

　　解碼

　　Sniffer的軟件非常豐富，可以對在各種網絡上運行的400多種協議進行解碼，如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2（Oracle）、Banyan v5.0和v6.0、TDS/SQL（Sybase）、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網絡互聯橋/路由器的幀格式。

　　Sniffer可以在全部七層OSI協議上進行解碼，目前沒有任何一個系統可以做到對協議有如此透徹的分析；它采用分層方式，從最低層開始，一直到第七層，甚至對Oracle數據庫、SYBASE數據庫都可以進行協議分析；每一層用不同的顏色加以區別。

　　Sniffer對每一層都提供了Summary（解碼主要規程要素）、Detail（解碼全部規程要素）、Hex（十六進制碼）等幾種解碼窗口。在同一時間，最多可以打開六個觀察窗口。

　　Sniffer還可以進行強制解碼功能（Protocl Forcing），如果網絡上運行的是非標準協議，可以使用一個現有標準協議樣板去嘗試解釋捕獲的數據。

　　Sniffer提供了在線實時解碼分析和在線捕捉，將捕捉的數據存盤后進行解碼分析二種功能。

　　當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式來進行攻擊。將網絡接口設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。Sniffer技術常常用于網絡故障診斷、協議分析、應用性能分析和網絡安全保障等各個領域。

　　Sniffer被 Network General公司注冊為商標，這家公司以出品Sniffer Pro系列產品而知名。目前最新版本為Sniffer Portable 4.9，這類產品通過網絡嗅探這一技術方式，對數據協議進行捕獲和解析，能夠大大幫助故障診斷和網絡應用性能的分析鑒別。

　　擴展應用

手機信號嗅探器

　　1、專用領域的Sniffer

　　Sniffer被廣泛應用到各種專業領域，例如FIX （金融信息交換協議）、MultiCast（組播協議）、3G （第三代移動通訊技術）的分析系統。其可以解析這些專用協議數據，獲得完整的解碼分析。

　　2、長期存儲的Sniffer應用

　　由于現代網絡數據量驚人，帶寬越來越大。采用傳統方式的Sniffer產品很難適應這類環境，因此誕生了伴隨有大量硬盤存儲空間的長期記錄設備。例如nGenius Infinistream等。

　　3、易于使用的Sniffer輔助系統

　　由于協議解碼這類的應用曲高和寡，很少有人能夠很好的理解各類協議。但捕獲下來的數據卻非常有價值。因此在現代意義上非常流行如何把協議數據采用最好的方式進行展示，包括產生了可以把Sniffer數據轉換成Excel的BoneLight類型的應用和把Sniffer分析數據進行圖形化的開源系統PacketMap等。這類應用使用戶能夠更簡明地理解Sniffer數據。

　　4、無線網絡的Sniffer

　　傳統Sniffer是針對有線網絡中的局域網而言，所有的捕獲原理也是基于CSMA/CD的技術實現。隨著WLAN的廣泛使用，Sniffer進一步擴展到802.11A/B/G/N的無線網絡分析能力。無線網絡相比傳統網絡無論從捕獲的原理和接入的方式都發生了較大改變。這也是Sniffer技術發展趨勢中非常重要的部分。

　　監控流量

　　隨著互聯網多層次性、多樣性的發展，網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用，擴展成為運行大量在線游戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和復雜性，因此，這些應用對我們的網絡服務質量要求更為嚴格和苛刻。

　　目前，大多數網吧的網絡設備不具備高端網絡設備的智能性、交互性等擴展性能，當網吧出現掉線、網絡卡、遭受內部病毒攻擊、流量超限等情況時，很多網絡管理員顯得心有余而力不足。畢竟，靠網絡管理員的經驗和一些簡單傳統的排查方法：無論從時間上面還是準確性上面都存在很大的誤差，同時也影響了工作效率和正常業務的運行。

　　Sniffer Pro 著名網絡協議分析軟件。本文利用其強大的流量圖文系統Host Table來實時監控網絡流量。在監控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實上，很多網吧管理員都有過相關監控網絡經驗：在網絡出現問題、或者探查網絡情況時，使用P2P終結者、網絡執法官等網絡監控軟件。這樣的軟件有一個很大優點：不要配置端口鏡像就可以進行流量查詢（其實sniffer pro也可以變通的工作在這樣的環境下）。這種看起來很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，對地址表進行欺騙，因此可能會衍生出很多節外生枝的問題，如掉線、網絡變慢、ARP廣播巨增等。這對于要求正常的網絡來說，是不可思議的。

　　在這里，我們將通過軟件解決方案來完成以往只有通過更換高級設備才能解決的網絡解決方案，這對于很多管理員來說，將是個夢寐以求的時刻。