当前位置:文档之家 › sniffer嗅探器基本知识

sniffer嗅探器基本知识

  • 格式:doc
  • 大小:121.50 KB
  • 文档页数:13

下载文档原格式

  / 13

合集下载

第3章网络嗅探详解

第3章网络嗅探详解

3.1 嗅探器概述

经过3个Hub串联形成的局域网, 局域网介质访问控制方法 当主机A需要与主机E通信时,A

共享式局域网

所发送的数据报通过Hub的时候 就会向所有与之相连的端口转发。 共享式局域网的典型设备是集线器( HubE ) 在一般情况下,不仅主机 可以收 到数据报,其余的主机也都能够 该设备把一个端口接收的信号向所有其它端口 收到该数据包
计算机直接传送的数据,事实上是大量的二进制数据。那么,嗅探器 是怎样能够听到在网络线路上边传送的二进制数据信号呢?可不可以 在一台普通的PC机上边就可以很好的运作起来完成嗅探任务呢?
3.1 嗅探器概述


嗅探器必须也使用特定的网络协议来分 析嗅探到的数据,也就是说嗅探器必须 能够识别出哪个协议对应于这个数据片 断,只有这样才能够进行正确的解码。 其次,嗅探器能够捕获的通信数据量与 网络以及网络设备的工作方式是密切相 关的。
3.1 嗅探器概述

嗅探器的定义



Sniffer是利用计算机的网络接口截获目的地为其他 计算机的数据报文的一种工具。 一部电话上的窃听装置, 可以用来窃听双方通话的 内容,而嗅探器则可以窃听计算机程序在网络上发 送和接收到的数据。 后者的目的就是为了破环信息安全中的保密性,即 越是不想让我知道的内容我就一定要知道。
分发出去。
Hub连接形成LAN
3.1 嗅探器概述

交换式局域网


典型设备是交换机(Switch) 该设备引入了交换的概念,是对共享式的一个 升级,能够通过检查数据包中的目标物理地址 来选择目标端口,从而将数据只转发到与该目 标端口相连的主机或设备中。 上页描述的网络,如转发设备都采用Switch, 那么只有主机E会正常收到主机A发送的数据, 而其余的主机都不能接收到。

sniffer的基本原理与防范措施

sniffer的基本原理与防范措施
可 以灵 活 采 取 各 种 检 测 防 范措 施 , 最 的威胁。 关 键 词 :嗅 探 器 ;基 本 原 理 ;防 御 攻 击
中图分类号 :T P 3 9 3 . 0 8
文献标识码 :A
文章编号 :1 6 7 4 — 7 7 1 2( 2 0 1 4 ) 0 6 — 0 1 5 0 — 0 1

s n i f f e r( 嗅探器)就是指 能够在 网络上捕 获网络信息 的 设 备,网络技术 人员往往 要借助 它找 出网络 中的问题,这时 s n i f f e r又被称 为网络协 议分析仪。然 而黑客也可 以利用它截 获网络上 的通信信息, 获取其他用户的帐号及密码等重要信息 。 、s n i f f e r 的 基 本 工 作 原 理 s n i f f e r 用 英文翻译的意思为 “ 嗅探器 ”,而 s n i f f e r也 可 以这样 比喻卧底 。它就象进入 敌人 内部的卧底 一样 。不断地 将敌方 的情报送 出来 。s n i f f e r一般运行在路 由器或有路 由器 功能的主机上 。这样就可以达到监控大量数据的 目的。它的运 行平台也 比较 多。如 L i n u x 、 L a n p a t r o l 、L a n w a t c h 、 n e t m o n 等。 s n i f f e r 属 于第 二层次 ( 即数据链路层 )的攻击。一般 是攻击 者进 入 目标系统 。然后利用 s n i f f e r来得到更 多的信息 。 ( 如 用户名、 口令 、银行帐户、密码等等 ),它 几乎能得到 以太网 上传送 的任何数据包 。通常 s n i f f e r 程序只 需要看到一个数据 包的前 2 0 0到 3 5 0个字节 的数据 。就可以得 到用户名和密码等 信 息。由此可见这种攻击手段是非常危险的。通常在 同一个网 段的所有 网络接 口都有访 问在 物理媒体 上传输 的所 有数据 的 能力 ,而每个 网络接 口都还应该有一个 硬件地址 ,该硬件地址 不同于网络 中存在的其他 网络接 口的硬件地 址,同时 ,每个 网 络至少还要一个广播地址 。 ( 代表所有 的接 口地址 ),在 正常 情况下 ,一个合法 的网络接 口应该只响应这样 的两种数据 帧: ( 1 ) 帧 的目标区域具有和本地 网络接 口相 匹配 的硬件地址。( 2 ) 帧 的 目标区域具有 “ 广播地址 ”。在接受到上面两种情况 的数 据 包时,n c通过 c p u产生一个 硬件 中断,该中断 能引起 操作 系统注意 ,然后将帧 中所包含的数据传送给系统进一步处理 。 而 s n i f f e r 就是一种 能将本地 n c 状态 设成 ( p r o m i s c u o u s )状 态的软件 ,当 n c处于这种 混杂 方式时,该 n c具备 广播 地址 ,它对所 有遭 遇到的每 一个 帧都产生一个硬件 中断 以便 提醒操作系统处理流经该物理媒体上的每一个报文包 。 ( 绝大 多数 的 n c 具 备置成 p r o m i s c u o u s方式的能力 )可见,s n i f f e r 工作在网络环 境中的底层 ,它会拦截所有的正在网络上传送的 数据 ,并且通过 相应 的软 件处理 ,可以实 时分析这些数 据的 内容 ,进 而分析所处 的网络状态和整体布局 。值 得注意 的是: s n i f f e r是极其 安静 的,它是一种消极的安全攻击 。 二、s n i f f e r的工作环境 s n i f f f e r就是能够捕 获 网络报 文的设 备。嗅探器 的正当 用处在于分析 网络 的流量,以便找 出所关心的网络 中潜在的问 题 。 例 如 ,假 设 网 络 的 某 一段 运 行 得 不 是 很 好 ,报 文 的发 送 比 较慢 ,而我们又不知道问题 出在什么地方,此 时就可 以用嗅探 器来作出精确 的问题判断。嗅探器在功能和设计方面有很多不 同。有些只能分析一种协 议,而另一些可能能够分析几百种协 议。一般情况下 ,大多数 的嗅探器至少能够 分析下面 的协议: T C P / I P和 I P X ,嗅探器与一般的键 盘捕 获程序不 同。键盘捕获 程序捕获在终端上输入的键值 ,而嗅探 器则捕获真实的网络报 文 。嗅探器通过将其置身于网络接 口来达到这个 目的。 数据 在 网络 上是 以很 小 的称 为帧 ( F t a m e )的单位 传输 的帧 由好几 部分组 成,不 同的部分执行 不 同的功 能。帧通过 特定 的称 为网络驱动程 序 的软 件进行成 型,然后通过 网卡发

第11天 Sniffer网络嗅探器的使用+WWW和FTP服务器的配置

第11天 Sniffer网络嗅探器的使用+WWW和FTP服务器的配置

比较典型的嗅探器有: Sniffer软件、Ethereal 软件。
Sniffer工作原理 Sniffer工作原理
Trigger Alarms Monitor Filters Capture Filters
Adapter
Tools
Packet gen BERT Ping Trace Route DNS Lookup Finger
还是ARP 还是ARP
我们发现很多台工作站在发送ARP广播,为什么? 通过分析数据包解码和该公司人员的配合,我们发现该公司使用了一种业务 程序,该程序在每一台计算机都安装了一个客户端,该客户端利用ARP完成 完成该程序任务的部分功能。该程序是设计为10台以内的工作组共同运行的, 不适合该公司这样的大规模使用。
背景
服务对象:一家大型建筑设计公司 网络建设时间:80年代 网络服务器与工作站 共800台左右,其中UNIX服务器数十台,Macintosh服务器 和工作站150左右,其余为PC工作站 协议类型:TCP/IP和APPLETALK 网络结构 800台计算机分布在三十层大楼之中 骨干网技术 千兆网、 ATM 接入网络设备 交换机、HUB
隔离问题
前文可知一个Intel775435的流量比较大,对其进行隔离分析, 查看广播内容。定义过滤器
连续的ARP 连续的ARP
使用定义好的过滤器进行抓包,然后进行解码分析。 发现Intel正在连续不断地在一端连续的IP地址上进行ARP广播。
ARP
时间间隔极短。产生CPU中断Intel让网络上的计算机中断、连续中断。
Internet
F1/0 F1/1
F0/1
要让f0/2端口侦听f0/1端口的所有数据,f0/2端 口可以接装有嗅探软件的PC,如Sniffer、 F0/2 Ethereal工具。 Siffer工具 工具

第1章1 Sniffer Pro简介

第1章1 Sniffer Pro简介

Ngrep: NGrep 在网络层实现了 GNU grep 的大 多数功能,基于 libpcap ,可以使你通过指定扩 展的正则表达式或十六进制表达式去匹配网络上 的数据流量。它当前能够识别流经以太网、 PPP、 SLIP 、 FDDI 、令牌网和回环设备上的 TCP、 UDP 和 ICMP 数据包,并且和其他常见的嗅探 工具(如 tcpdump )一样,理解 bpf 过滤机制。
5
Sniffer Vs. IDS
新的网络攻击 : Sniffer--防范新的病毒和攻击 并不依赖于特征库或病毒库。针对于网络异常现象 发现问题,对新的病毒或病毒变种,以及新的攻击 或入侵,有较强的发现能力。 IDS--只能检测已知的攻击模式 这是IDS的通病,对攻击的发现,要依赖于自身的特 征库。即使最好的IDS,对新的攻击的识别率也是非 常低的。
5
Sniffer 的作用
•第四,Sniffer可以帮助我们排除潜在的威胁 比如病毒、木马、扫描等,Sniffer可以快速地发现 他们,并且发现攻击的来源,这就为做控制提供根据. 比如QOS,不是根据应用随便去分配带宽就解决的, 需要知道哪一些应用要多少带宽,带宽如何分配,要有 根有据。
5
Sniffer 的作用
3
Sniffer 概述
sniffer技术是一把双刃剑。sniffer既可以做为网
络故障的诊断工具,也可以作为黑客嗅探和监听的 工具。 传统的sniffer技术是被动地监听网络通信、用户 名和口令。而新的sniffer技术出现了主动地控制通 信数据的特点,把sniffer技术扩展到了一个新的领 域。
Sniffer 概述
sniffer中文翻译过来就是嗅探器,在当前网络技
术中使用得非常广泛。
ISS为Sniffer定义为: Sniffer是利用计算机的网络 接口截获目的地为其他计算机的数据报文的一种工 具。

嗅探器的基础知识

嗅探器的基础知识
_________
/.........\
二.
/..Internet.\
+-----+ +----+.............+-----+
UserA-----路由erB
+-----+ ^ +----+.............+-----+
1.3.1 MAC 地址的格式是什么? 以太网卡的 MAC 地址是一组 48 比特的数字,这 48 比特分为两个部分组成,前面的 24 比特用于表示 以太网卡的寄主,后面的 24 比特是一组序列号,是由寄主进行支派的。这样可以担保没有任何两块网 卡的 MAC 地址是相同的(当然可以通过特殊的方法实现)。如果出现相同的地址,将发生问题,所有 这一点是非常重要的。这 24 比特被称之为 OUI(Organizationally Unique Identifier)。 可是,OUI的真实长度只有 22 比特,还有两个比特用于其他:一个比特用来校验是否是广播或者多播地址, 另一个比特用来分配本地执行地址(一些网络允许管理员针对具体情况再分配MAC地址)。 举个例子,你的MAC地址在网络中表示为 03 00 00 00 00 01 。第一个字节所包含的值二进制表示方法为 00000011。 可以看到,最后两个比特都被置为真值。他指定了一个多播模式,向所有的计算机进行广播, 使用了“NetBEUI”协议(一般的,在Windows计算机的网络中,文件共享传输等是不使用TCP/IP协议的)。. 1.3.2 我如何得到自己计算机的MAC地址?
TX packets:994976 errors:0 dropped:0 overruns:0 Interrupt:5 Base address:0x300 Solaris 用 “arp” 或者 “netstat –p” 命令 1.3.3 我如何才能知道有那些计算机和我的MAC地址直接关联? 对于WinNT和Unix机器,可以直接使用“arp –a”查看。 1.3.4 我能够改变我的MAC地址吗? 可以。简单的说一下: 第一种方法,你要做地址欺骗,因为MAC地址是数据包结构的一部分, 因此,当你向以太网发送一个数 据包的时候,你可以覆盖源始的MAC信息。 第二种方法,很多网卡允许在一定的时间内修改内部的MAC地址。 第的三种方法, 你可以通过重新烧录EEPROM来实现MAC地址的修改。但是这种方法要求你必须有特定 的硬件设备和适用的芯片才能修改,而且这种方法将永远的修改你的MAC地址。

第四章 嗅探——Sniffer技术

第四章 嗅探——Sniffer技术

最常用的用户级分组捕获函数库即Libpcap, 它是一个与实现无关的、访问分组捕获机制的函 数库,用于访问数据链路层。 这个库为不同平台提供一致的编程接口,以 Libpcap为接口编写的程序能自由跨平台使用。
Libpcap与BPF结合得最为紧密,通过与底层 的接口,可实现内核级的分组过滤。 Tcpdump和Snort都基于Libpcap编写,著名 的Nmap扫描器也是基于Libpcap来捕获目标主 机返回的数据包的。
对于具有不同IP地址、相同MAC地址的两台主机, 各自对外的网络通信都没有问题,但这两台主机之 间的通信是不可能的。
4.4.2 交换网络嗅探原理 1. MAC洪水 交换机维护一个交换机端口与MAC地址的映 射表,该表放在交换机内存,但由于内存数量 有限,可存储的映射表项也就有限。
如果恶意攻击者向交换机发送大量虚假的 MAC地址数据,有些交换机在应接不暇情况 下,就会像一台普通的Hub那样简单地向所有 端口广播数据,就可设置混杂模式进行嗅探。
要解决这个问题,应该使用可鉴别IP地址的三层 交换机,将端口、MAC地址、IP地址三者绑定,这 样才能防止ARP欺骗式的嗅探行为。 也可对局域网内某台主机与外部主机之间通信进 行嗅探。这时候,一方面要对内部网络主机进行 ARP欺骗,另一方面对连接内外网网关进行欺骗。
4.5 嗅探对策
4.5.1 检查谁在窃听 理论上说,处于被动监听状态的Sniffer是不容易 被发现的。但实际上Sniffer还是有可能被发现的。 例如:借助一些网络流量和性能分析工具,也能 觉察到网络的一些异常(运行有Sniffer的主机总会 有比较异常的网络流量)。
通常网卡的缺省配置同时支持前3种接收模式。 Sniffer的基本原理:以太网基于广播方式传送数 据,所有物理信号都被传送到每一个主机节点,此 外网卡可被设置成混杂模式,这种模式下无论监听 到的数据帧目的地址如何,网卡都能够接收。 Sniffer隐蔽性非常好,它只是被动地接收数据, 而不向外发送数据,所以根本无法觉察到监听。

网络分析SNIFFER软件的使用介绍

网络分析SNIFFER软件的使用介绍

网络分析SNIFFER软件的使用介绍Sniffer(嗅探器)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”(又称:包)的单位传输的,帧由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网的前12个字节存放的是源地址和目的地址,这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议,由网络驱动程序按照一定规则生成,然后通过网络接口卡(网络接口卡,在局域网中一般指网卡)发送到网络中,通过网线传送到它们的目的主机,在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧,并告诉操作系统有新的帧到达,然后对其进行存储。

在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的地址(这里的目的地址是指物理地址而非IP地址,该地址是网络设备的唯一性标志)和自己的物理地址一致或者是广播地址(就是被设定为一次性发送到网络所有主机的特殊地址,当目标地址为该地址时,所有的网络接口卡都会接收该帧),网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况:如果网络中某个网络接口卡的物理地址不确定呢(这可以通过本地网络接口卡设置成“混杂”状态来实现)?网络接口卡会如何处理收到的帧呢?实际的情况是该网络接口卡将接收所有在网络中传输的帧,无论该帧是广播的还是发向某一指定地址的,这就形成了监听。

如果某一台主机被设置成这种监听模式,它就成了一个Sniffer。

网络嗅探工具Sniffer软件

网络嗅探工具Sniffer软件
和IP地址的定义和众多协议的定义。定义过滤规则的操作如下: ❖ 步骤一:打开“捕获”菜单,选择“定义过滤器”命令,弹出如图所示
对话框
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用
(4)设置捕获过滤规则
❖ 步骤二:选择“地址”选项卡,这是最常用的定义。其中包 括MAC地址、IP地址和IPX地址的定义,如下图所示。
否是传给它的。 ❖ 嗅探器sniffer工作时,一般将网卡设置为混杂模式,让网卡接收一切它所能接收
的数据
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用 (1)Sniffer软件启动
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用
(2)获取网络中的机器列表
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用 (3)Sniffer软件常用工具功能简介 主机列表按钮 矩阵按钮 请求响应时间按钮 警报日志按钮
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用
(4)设置捕获过滤规则
❖ sniffer提供了捕获数据帧前的过滤规则的定义,过滤规则包括MAC地址
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用
(4)设置捕获过滤规则
❖ 步骤三:选择“高级”选项卡,定义希望捕获相关协议的数 据帧,如下图所示。
网络嗅探工具Sniffer软件
❖ 1.2 sniffer软件的使用
(4)设置捕获过滤规则
❖ 步骤四:
网络嗅探工具Sniffer软件
❖ 1.1 Sniffer软件的工作原理 ❖ 一般网卡有4种接收模式:
广播方式:该模式下的网卡能够接收网络中的广播信息。 组播方式:设置在该模式下的网卡能够接收组播数据。 直接方式:在这种模式下,只有目的网卡才能接收该数据。 混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是

sniffer详解第三天

sniffer详解第三天

今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单,需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件,但是它不能监测网络任意点的所有流量,sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。

在显示捕获信息的窗口中,包括:高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前,这个窗口不会显示任何信息,捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆:ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。

这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。

这里,我们会与一个流量受到限制的Novell NetWare 服务器进行通讯,这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题,原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时,经常会出现这条信息解码{Decode}:单击Decode选项,显示解码窗口,其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分:总结:给出了捕获的数据,源地址、目标地址、时间和长度详细资料:可以详细查看所捕获的协议信息HEX窗口:以十六进制表示的解码时间标记:绝对时间(Abs.Time)表明了数据包捕获的时间,和当前系统时间一样相对时间(Rel.Time)表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间(Delta Time)表明的是两个相邻数据包之间的时间差。

sniffer技术资料

sniffer技术资料

sniffer技术资料发表时间:2007-6-15 10:05:56 作者/来源:中国通信工程师论坛点击率:209sniffer中文翻译过来就是嗅探器。

是一中威胁性极大的被动攻击工具!使用在个攻击可以监视网络的状态。

数据流动情况以及网络上传输的信息,便可以用网络监听到方式来进行攻击,截获网上的信息。

所以黑客常常喜欢用他来截获用户口令!sniffer可以分为两类一个是硬件的一个软件的,今天给大家讲的主要是软件的sniffer.sniffer只能抓取一个物理网段的包,就是说你和监听的目标中间不能有路由(交换)或其他屏蔽广播包的设备,这一点很重要。

所以对一般拨号上网的用户来说,是不可能利用sniffer来窃听到其他人的通信内容的!sniffer属于第二层次的攻击。

就是说只有在攻击者已经进入了目标系统的情况下,才能使用sniffer这中攻击手段,以便得到更多的信息。

sniffer除了能得到口令或用户名外,还能得到更多的其他的信息,比如一个其他重要的信息,在网上转送的金融信息等等。

sniffer几乎能得到任何在以太网上转送的数据包。

sniffer是一中比较复杂的攻击手段,一般只有黑客老手才有能力使用他(其实只要了解了也可以去试试我就是常常练习才知道!)而对于一个网络新手来说,即使在一台主机上成功地编译并运行了sinffer,一般也不会得到什么有用的信息。

因为通常网络上的信息流量是相当大的,如果不加选绎的接收所有的包,然后要从中找到所需要的信息是非常的困难的,而且如果长时间地进行监听,还有可能把放置sniffer的机器的硬盘撑爆!现在给大家看一个C程序,它可以完成一般的监听功能,【**】是注解!【*下面是包含进行调试用系统和网络的函数的头文件*】#include#include#include【*下面是IP和TCP包头结构*】structip{unsigendintip_length:4;【*定义IP头的长度*】unsigendintip_version:4;【*IP版本,IPV4*】unsigendcharip_tos;【*服务类型*】unsigendshortip_total_length;【*IP数据包的总长度*】unsigendshortip_id;【*鉴定域*】unsigendshortip_flags;【*IP标志*】unsigendcharip_ttl;【*IP包的存活期*】unsigendcharip_protocol;【*IP上层的协议*】unsigendshortip_sksum;【*IP头校研和*】unsigendintip_source;【*源IP地址*】unsigendintip_dest;【*目的IP地址*】}structtcp{unsigendshorttcp_source_port;【*定义TCP源端口*】unsigendshorttcp_dest_port【*TCP目的的端口*】unsigendinttcp_seqno;【*TCP序列号*】unsigendinttcp_ackno;【*发送者期望的下一个序列号*】unsigendinttcp_resl:4;【*下面几个是TCP的标志*】tcp_hlen:4,tcp_fin:1,tcp_syn:1,tcp_rst:1,tcp_psh:1,tcp_ack:1,tcp_urg:1,tcp_res:2,unsigendshorttcp_winsize;【*能接收的最大字节数*】unsigendshorttcp_cksum;【*TCP校研和*】unsigendshorttcp_urgent;【*紧急事件标志*】}【*主函数*】intmain(){intsock,bytes_recieved,fromlen;charbuffer[65535];structsockaddr_infrom;【*定义socket结构*】structipip;【*定义IP和TCP结构*】structtcp*tcpsock=socket(AF_INET,SOCK,IPPROTO_TCP)【*上面是建立socket连接,第一个参数是地址族类型,用INTERNET类型*】【*第二个参数是socket类型,这里用了SOCK--RAW,它可以绕过传输层,*】【*直接访问IP层的包,为了调用SOCK--RAW,需要有ROOT权限*】【*第三个参数是协议,选IPPROTO--TCP指定可接收TCP层的内容*】while(1){fromlen=sizeoffrom;bytes_recieved=recvfrom(sock,bufsockaddr*)&from,&fromlen);fer,sizeofbuffer,0,(struct【*上面这个函数是从建立的socket连接中接收数据*】【*因为recvfrom()需要一个sockaddr数据类型,所以我们用一个强制类型转换*】printf("\nByetsreceived:::%4d\n",bytes_recieved);【*显示出接收的数据字节数*】printf("Sourceaddress:::%s\n",inet_ntoa(ftom.sin_addr);【*显示出源地址*】ip=(structip*)buffer;【*把接收的数据转换为我们预先定义的结构,便于查看*】printf("IPheaderlength:::%d\n",ip->ip_length);【*显示IP头的长度*】printf("Protocol:::%d\n",ip->ip_potocol);【*显示协议类型,6是TCP,17是UDP*】tcp=(structtcp*)(buffer+(4*ip->ip_length);【*上面这句需要详细解释一下,因为接收到的包头数据中,IP头的大小是固定的4字节*】【*所以我们用IP长度乘以4,指向TCP头部分*】printf("Sourcepotr:::%d\n",ntohs(tcp->tcp_source_port)【*显示出源端口*】prinft("Destpotr:::%d\n",ntohs(tcp->tcp_dest_port)【*显示出目标端口*】}以上这个C程序是为了说明sniffer的接收原理而列举的一个最简单的列子,它这是完成了sniffer的接收功能,在运行之前我们还需要手工把网卡设置为混杂模式,在root权限下用命令设置:ifconfigeth0promisc假设eth0是你的以太网设备接口,然后运行编译好的程序清单(就是上面的C程序)就可以看到接受的数据包了!(重要消息:这个程序的功能太简单,只能显示源地址,目标地址和源端口,目标端口等极为简单的信息,对于你来说没有用但是你可以改一下)现在来看看**的sniffer程序sniffit可以运行在linuxSolarisSGINT等各种平台运行的网络监听软件,他主要针对的是TCP/IP协议的不安全性,对运行该协议的计算机进行监听。

Sniffer软件的功能和使用方法

Sniffer软件的功能和使用方法

Sniffer软件的功能和使用方法6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。

使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

二、Sniffer功能Sniffer Pro主要包含4种功能组件(1)监视:实时解码并显示网络通信流中的数据。

(2)捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。

(3)分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。

(4)显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

网络监控是Sniffer的主要功能,其他功能都是为监控功能服务的,网络监控可以提供下列信息。

(1)负载统计数据,包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。

(2)出错统计数据,包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。

(3)按照不同的底层协议进行统计的数据。

(4)应用程序的响应时间和有关统计数据。

(5)单个工作站或会话组通信量的统计数据。

(6)不同大小数据包的统计数据。

三、 Sniffer Pro 网络监控的几种模式1.1 moniter host table图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。

本次以 IP 地址为测量基准。

1.2 monitor matrix 监听矩阵显示该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接,如下图,表示出与192.168.0.250相连接的IP 地址1.3、monitor protocol distribution查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network:显示网络利用率等统计信息。

sniffer嗅探器基本知识

sniffer嗅探器基本知识

嗅探器百科名片嗅探器保护网络嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。

网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。

非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。

目录简介网络技术与设备简介网络监听原理Snifffer的分类网络监听的目的编辑本段简介嗅探器最初由 Network General 推出,由 Network Associates 所有。

最近,Network Associates 决定另开辟一个嗅探器产品单元,该单元组成一家私有企业并重新命名为 Network General,如今嗅探器已成为 Network General 公司的一种特征产品商标,由于专业人士的普遍使用,嗅探器广泛应用于所有能够捕获和分析网络流量的产品。

编辑本段网络技术与设备简介在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。

数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。

帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。

就是在这个传输和接收的过程中,存在安全方面的问题。

每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。

当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。

在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B 的数据,而是简单地忽略这些数据)。

sniffer功能和使用详解

sniffer功能和使用详解

Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。

使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。

因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。

一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。

当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。

Sniffer软件的功能和使用方法

Sniffer软件的功能和使用方法

6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。

使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

二、Sniffer功能Sniffer Pro主要包含4种功能组件(1)监视:实时解码并显示网络通信流中的数据。

(2)捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。

(3)分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。

(4)显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

网络监控是Sniffer的主要功能,其他功能都是为监控功能服务的,网络监控可以提供下列信息。

(1)负载统计数据,包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。

(2)出错统计数据,包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。

(3)按照不同的底层协议进行统计的数据。

(4)应用程序的响应时间和有关统计数据。

(5)单个工作站或会话组通信量的统计数据。

(6)不同大小数据包的统计数据。

三、 Sniffer Pro 网络监控的几种模式1.1 moniter host table图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。

本次以 IP 地址为测量基准。

1.2 monitor matrix 监听矩阵显示该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接,如下图,表示出与192.168.0.250相连接的IP地址1.3、monitor protocol distribution查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network:显示网络利用率等统计信息。

sniffer工作的基本原理

sniffer工作的基本原理

sniffer工作的基本原理Sniffer工作的基本原理Sniffer,也被称为网络嗅探器或数据包嗅探器,是一种用于捕获和分析网络数据包的工具。

它可以监听网络上的数据流量,并提供一种方法来分析和识别通过网络传输的数据。

那么,Sniffer工作的基本原理是什么呢?我们需要了解数据包是什么。

数据包是计算机网络中传输的基本单位,它包含了发送和接收数据的相关信息。

数据包通常由首部和载荷组成。

首部包含了控制信息,如源IP地址、目标IP地址、协议类型等。

载荷则是实际传输的数据。

Sniffer工具通过嗅探网络接口上的数据包来进行工作。

它可以捕获网络上的所有数据包,无论是从本地主机发送还是接收的。

Sniffer 的工作原理可以分为以下几个步骤:步骤一:网络接口的监听Sniffer工具通过打开网络接口的监听模式,可以捕获经过该接口的所有数据包。

它可以监听以太网、无线网卡等不同类型的网络接口。

步骤二:数据包的捕获一旦网络接口处于监听模式,Sniffer工具就会开始捕获经过该接口的数据包。

它会将捕获到的数据包保存到缓冲区中,以便进行后续的分析和处理。

步骤三:数据包的分析捕获到数据包后,Sniffer工具会对数据包进行分析。

它会解析数据包的首部信息,提取出源IP地址、目标IP地址、协议类型等相关信息。

此外,Sniffer还可以解析传输层协议,如TCP和UDP,以及应用层协议,如HTTP和FTP。

步骤四:数据包的记录和展示分析完成后,Sniffer工具会将数据包的相关信息记录下来,并以易于阅读的方式展示给用户。

这包括了数据包的源IP地址、目标IP 地址、协议类型、传输层端口等信息。

此外,Sniffer还可以将数据包的载荷展示出来,用户可以查看传输的实际数据。

步骤五:过滤和筛选Sniffer工具通常提供了过滤和筛选功能,以便用户可以只关注特定的数据包。

用户可以根据源IP地址、目标IP地址、协议类型、传输层端口等条件进行过滤,只显示满足条件的数据包。

sniffer使用教程

sniffer使用教程

Sniffer使用教程测试中心:黄铧焕2005.01.01目 录一 SNIFFER(嗅探器)基础知识 (3)1预备知识 (3)1.1 HUB工作原理 (3)1.2 网卡工作原理 (4)1.3 局域网工作原理 (4)2S NIFFER原理 (5)二 SNIFFER PRO软件软件说明 (7)1S NIFFER P RO网络监控的几种模式 (7)1.1 moniteràhost table (7)1.2 monitoràmatrix (7)1.3 monitoràprotocol distribution 查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议81.4 monitoràdashboard (9)1.5 monitor-size distribution (9)1.6 monitoràapplication responsetime (10)2S NIFFER P RO抓包使用说明 (10)2.1 捕获数据包前的准备工作 (10)2.2 捕获数据包时观察到的信息 (14)2.3 捕获数据包后的分析工作 (15)2.4 sniffer提供的工具应用 (16)2.4.1 包发生器使用详解 (16)一SNIFFER(嗅探器)基础知识Sniffer(嗅探器)是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。

Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。

例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

在合理的网络中,sniffer的存在对系统管理员是致关重要的,系统管理员通过sniffer可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议,借助于sniffer%2C 系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。

sniffer技术原理及应用,包括编程方法和工具使用

sniffer技术原理及应用,包括编程方法和工具使用

sniffer技术原理及应用,包括编程方法和工具使用sniffer技术原理及应用,包括编程方法和工具使用2021-08-25 12:46:07| 分类:网络|字号订阅sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。

sniffer 既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。

最近两年,网络监听(sniffer)技术出现了新的重要特征。

传统的sniffer技术是被动地监听网络通信、用户名和口令。

而新的sniffer技术出现了主动地控制通信数据的特点,把sniffer技术扩展到了一个新的领域。

Sniffer 技术除了目前在传统的网络侦测管理外,也开始被应用在资讯保全的领域。

可以这样说,sniffer技术是一把双刃剑,如何更好的利用它,了解它的一些特性,将能使这项技术更好的为我们带来便利。

sniffer的编程方法比较通用的有以下几种,1.winpcap 这是一个比较通用的库,相信做过抓包的工具大多数人都不会太陌生2.raw socket 在2000以后的版本都支持此项功能,2000 server有个网络监视器就是基于raw socket3.tdi,ndis,spi,hook socket技术,这种技术比较大的不同是可以将包截取而不是仅仅获得包的一份拷贝。

总的说来,一般以前两者居多。

一)winpcap驱动简介winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。

开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。

它提供了以下的各项功能:1> 捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;2> 在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;3> 在网络上发送原始的数据报; 4> 收集网络通信过程中的统计信息。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

嗅探器嗅探器保护网络嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。

网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。

非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。

目录编辑本段简介嗅探器最初由 Network General 推出,由 Network Associates 所有。

最近,Network Associates 决定另开辟一个嗅探器产品单元,该单元组成一家私有企业并重新命名为 Network General,如今嗅探器已成为 Network General 公司的一种特征产品商标,由于专业人士的普遍使用,嗅探器广泛应用于所有能够捕获和分析网络流量的产品。

编辑本段网络技术与设备简介在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。

数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。

帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。

就是在这个传输和接收的过程中,存在安全方面的问题。

每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。

当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。

在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B 的数据,而是简单地忽略这些数据)。

如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。

编辑本段网络监听原理Sniffor程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。

普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。

要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET-PACKET。

但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为混杂模式。

一般情况下,要激活这种方式,核必须支持这种伪设备BPFilter,而且需要root权限来运行这种程序,所以Sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能嗅探到root的密码,因为不能运行Sniffer。

基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。

这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权。

编辑本段Snifffer的分类Sniffer分为软件和硬件两种,软件的Sniffer有NetXray、Packetboy、Net Monitor、Sniffer Pro、WireShark、WinNetCap等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。

硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。

实际上本章所讲的Sniffer指的是软件。

它把包抓取下来,然后打开并查看其中的容,可以得到密码等。

Sniffer只能抓取一个物理网段的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。

所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信容的。

编辑本段网络监听的目的当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。

如果发现符合条件的包,就把它存到一个LOG文件中去。

通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。

一旦黑客截获得了某台主机的密码,他就会立刻进入这台主机。

如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。

Sniffer属于第M层次的攻击。

就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。

Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。

Sniffer几乎能得到任何在以太网上传送的数据包。

Sniffer是一种比较复杂的攻击手段,一般只有黑客老手才有能力使用它,而对于一个网络新手来说,即使在一台主机上成功地编译并运行了Sniffer,一般也不会得到什么有用的信息,因为通常网络上的信息流量是相当大的,如果不加选择地接收所有的包,然后从中找到所需要的信息非常困难;而且,如果长时间进行监听,还有可能把放置Sniffer的机器的硬盘撑爆下文将详细介绍Sniffer的原理和应用。

Sniffer 原理网络技术与设备简介在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。

数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。

帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。

就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。

每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。

当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。

如果使用Hub/即基于共享网络的情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。

如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。

但是现代网络常常采用交换机作为网络连接设备枢纽,在通常情况下,交换机不会让网络中每一台主机侦听到其他主机的通讯,因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。

而衍生的安全技术则通过ARP欺骗来变相达到交换网络中的侦听。

网络监听原理Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。

普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。

要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。

但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。

一般情况下,要激活这种方式,核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能嗅探到root的密码,因此不能运行Sniffer。

也有基于无线网络、广域网络(DDN, FR)甚至光网络(POS、Fiber Channel)的监听技术,这时候略微不同于以太网络上的捕获概念,其常会引入TAP (测试介入点)这类的硬件设备来进行数据采集。

编辑本段分类Sniffer分为软件和硬件两种,软件的Sniffer有Sniffer Pro、Network Monitor、PacketBone等,其优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。

硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。

基于以太网络嗅探的Sniffer只能抓取一个物理网段的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。

所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信容的。

编辑本段网络监听的目的当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一(物理)网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。

如果发现符合条件的包,就把它存到一个LOg文件中去。

通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。

一旦黑客截获得了某台主机的密码,他就会立刻进入这台主机。

如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。

Sniffer属于第M层次的攻击。

就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。

Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。

Sniffer几乎能得到任何在以太网上传送的数据包。

编辑本段产品介绍网络的安全性和高可用性是建立在有效的网络管理基础之上的,网络管理包括配置管理、故障管理、性能管理、安全管理和计费管理五大部分。

对于企业计算机网络来说,网络故障管理主要侧重于实时的监控,而网络性能管理更看中历史分析。

Sniffer网络分析仪是一个网络故障、性能和安全管理的有力工具,它能够自动地帮助网络专业人员维护网络,查找故障,极简化了发现和解决网络问题的过程,广泛适用于Ethernet、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等网络。