嗅探

嗅探（英语:Sniffing）是一种窃听流经网络的数据包的方法，一般指嗅探器对数据流进行拦截和数据包分析。根据工作环境和工作原理，嗅探技术可分为本地嗅探、广播网络嗅探和基于交换机的嗅探。嗅探技术是一种重要的网络安全攻防技术。在嗅探技术的帮助下，安全管理人员可以实时监控网络活动并发现各种网络攻击。但是，由于嗅探易于操作且难以检测，它也可能被黑客用于网络攻击，以获取网络中大量未加密的敏感信息。 Famous Encyclopedia String

定义嗅探是一种网络流量数据分析方法，它可以在不重定向数据传输或更改其内容的情况下捕获和拦截在计算机网络上传输的数据包，使接受数据的用户难以发现。网络管理员可以使用嗅探技术实时监控网络运行，捕获和分析通信数据，并发现网络安全漏洞。它还可以用作黑客工具来窃取用户数据，窥探用户隐私，并进行会话劫持等网络攻击。 Famous Encyclopedia String

本地嗅探：原生嗅探是指嗅探器程序在计算机中以某种方式获取发送给进程的数据包的过程。例如，当邮件客户端正在发送和接收邮件时，嗅探器程序可以窃听所有的交互进程和其中传递的数据。网络数据包需要多次解析才能获得应用程序数据。在获得它们之后，它们通常要经过硬件驱动程序和操作系统协议栈，然后才能进入应用程序处理。因此，如果将数据包捕获代码写入硬件驱动程序层或操作系统协议栈层，则可以获取其他应用程序的网络数据。 Famous Encyclopedia String

广播网络嗅探：广播网络嗅探是广播网络中的一种网络嗅探行为。广播网络通常是使用集线器（HUB）的局域网，其工作原理基于总线模式。在该网络中，所有数据包都将被广播和发送到所有端口。广播网络中的嗅探使用广播网络中“共享”的通信模式，其中所有网卡将接收所有数据包，然后通过各自的过滤器过滤不必要的数据包。因此，只要本地网卡设置为混杂模式，嗅探工具就可以支持对广播网络或多播网络的嗅探。 Famous Encyclopedia String

基于交换机的嗅探：基于交换机的嗅探是指在交换环境中以某种方式实施的嗅探。交换机的工作原理与集线器不同。它不是将数据包转发到所有端口，而是通过“包交换”一对一地传输数据。也就是说，交换机可以记住每个端口的MAC地址，并根据数据包的目的地址选择目的端口，因此只有与目的地址对应的网卡才能接收数据。端口镜像、MAC泛洪、MAC复制和ARP欺骗可用于实现基于交换机的嗅探。

大多数可管理的交换机都支持端口镜像功能，这是交换机为调试而保留的功能。通过端口镜像，本机嗅探器工具可以嗅探交换机上的任何端口。基于端口镜像的嗅探受到交换机可支持的镜像功能的限制。因为基于端口镜像的嗅探必须具有交换机的管理权限，所以网络管理员经常使用这种嗅探方法。

Famous Encyclopedia String

攻击者经常使用MAC泛洪嗅探。为了执行分组交换，网络交换机必须在内部维护一个转换表，以将不同的MAC地址转换为它们自己的物理端口。因为交换机的工作内存是有限的，如果交换机不断受到虚假MAC地址的攻击，直到交换机的工作内存满了为止，它将进入“失效开放模式”，并开始像集线器一样工作，向网络上的所有机器广播数据包。在这种情况下，交换机嗅探可以通过广播网络嗅探来实现。

www.qwbaike.cn

Famous Encyclopedia String

MAC复制是修改本地MAC地址，使其与要嗅探的主机的MAC地址相同。交换机将发现有两个端口对应于同一个MAC地址，因此发往该MAC地址的数据包将同时从这两个交换机端口发出。

ARP欺骗技术是指骗子利用ARP协议的漏洞。根据ARP协议的设计，为了减少网络上过多的ARP数据通信，每当主机收到ARP回复包时，都会自动更新ARP缓存。通过这种方式，攻击者可以向目标主机发送伪造的ARP数据包进行欺骗，从而达到监控的目的。一旦局域网中存在ARP攻击，它将欺骗局域网中的所有主机和网关，并让所有通信通过ARP攻击者控制的主机。 Famous Encyclopedia String
https://www.qwbaike.cn

嗅探攻击是一种常见的被动网络攻击类型，它只会复制网络信息，而不会直接改变信息的状态。嗅探器是嗅探攻击技术中常用的一种设备，它可以实时监控网络的运行状态，当在大量信息中发现有用和有价值的信息时，就开始窃取它。攻击者可以窃听通信数据，监视网络状态，并在网络拓扑中的某些节点或链路上窃取用户帐户和密码等敏感数据。

信息交互需要建立信息传输通道，发送方通过该通道向接收方发送数据信息。嗅探攻击的原理与信息传输的原理基本相同，但信息不仅从发送者传输到接收者，而且沿着从终端到黑客终端的路径传输，从终端到黑客终端的传输对发送者和接收者都是完全透明的。集线器从端口接收到MAC帧后，它不仅需要从该端口接收MAC帧，还需要将MAC帧发送到其他端口。因此，当集线器接收到MAC帧时，它将沿着从路由器到黑客的路径输出MAC帧，这将容易造成数据泄漏并达到网络嗅探的目的。 Famous Encyclopedia String

当网络受到嗅探器攻击时，数据信息将被泄露，此时黑客可以恶意篡改信息。当黑客不断收到信息时，他们会将信息发送到目的地终端，或者增加信息传输的频率，从而增强网络攻击的次数，这将对整个网络系统造成更大的破坏。

对策：子网划分:网络嗅探技术大多局限于嗅探和分析同一子网下的网络信息。对于工作在不同子网的主机，由于IP地址不同，需要进行IP地址前缀匹配等操作，无法通过MAC广播帧的方式直接转发和交付数据。因此，对组织的内部网络划分子网可以有效地应对网络嗅探攻击。

qwbaike.cn

网络流量监控:嗅探器的网卡工作在“混杂模式”，这导致嗅探器接收来自同一子网的所有数据帧，因此嗅探器将占用大量网络带宽。根据嗅探器的这一工作特性，我们可以通过监控网络流量来发现网络中是否存在嗅探器。如果发现某台主机的网络带宽利用率始终很高，则意味着该主机的网卡很可能工作在“混杂模式”下，这意味着该主机可能是嗅探器。

数据加密:网络协议在设计之初主要考虑数据包传输的方便快捷性，而没有考虑数据的安全性，导致数据包在网络中以明文形式传输。在传输数据之前对数据进行加密，这样嗅探器就无法获取数据包中的用户信息，保证了网络传输的安全性。 Famous Encyclopedia String

www.qwbaike.cn

“欺骗和暴露”策略:该策略是根据工作在“混合模式”下的网卡将接受所有MAC帧的行为而设计的。因为嗅探器只接收所有的MAC数据帧，所以它不知道它接收到的MAC地址是否真的存在于子网中。因此，为了检测子网中是否存在嗅探器，可以向子网发送IP地址正确但MAC地址错误的数据帧。如果该子网中存在嗅探器，嗅探器将捕获错误的数据帧，并给出基于ICMP协议的响应消息。

https://www.qwbaike.cn

Famous Encyclopedia String

嗅探器：嗅探器是一种通过使用计算机的网络接口来拦截目的地为其他计算机的数据包的工具，它可以窃听流经网络的数据包。 https://www.qwbaike.cn

嗅探器最初是网络管理人员监控网络运行状态和数据流的有效管理工具。网络管理员可以使用它进行故障分析以发现网络中的问题，也可以使用它进行性能分析以发现网络瓶颈。此外，嗅探器是基于网络的入侵检测系统的基础。但是黑客也可以使用嗅探器窃取用户帐户和密码，非法访问计算机中的信息资源，窃取商业机密，甚至破坏计算机系统。 Famous Encyclopedia String

嗅探器可以分为软件和硬件。软件嗅探器很容易使用，并且针对不同的操作系统平台有许多不同的软件嗅探器，其中大多数都是免费的。硬件嗅探器通常被称为协议分析器。根据功能的不同，嗅探器还可以分为通用网络嗅探器和专用嗅探器。前者支持多种协议，如tcpdump、Snifferit等。后者一般针对特定软件或仅提供特定功能，例如用于MSN等即时通信软件的嗅探器、用于电子邮件密码的嗅探器以及用于捕获蓝牙设备之间的通信数据的嗅探器。 Famous Encyclopedia String
www.qwbaike.cn

常用工具：Tcpdump/Windump: Tcpdump是一种网络数据包监控和分析工具，最初由加州大学伯克利分校劳伦斯伯克利国家实验室的网络研究小组开发，后来由“Tcpdump小组”进行更新和维护。Tcpdump（基于Libpcap）支持Solaris、HP-UX、Irix和BSD等多种操作系统平台，不同平台的具体安装有所不同。Windows平台的Tcpdump版本称为Windump，它运行在与Libpcap兼容的Winpcap库上。

Sniffit:Sniffit是劳伦斯伯克利实验室开发的嗅探器，可以在Solaris、Iris、FreeBSD和Linux等各种系统平台上运行。与Tcpdump相比，它可以提供完整的数据包内容输出。用户可以选择源地址和目的地址或地址集，并选择监听端口、协议和网络接口。从而方便地捕获网络数据包。Sniffit是基于Libpcap开发的。当它在Windows平台上运行时，需要Winpcap的支持。 Famous Encyclopedia String

Ettercap:Ettercap是由Alberto Ornaghi和Marco Valleri开发交换网络嗅探器。它不仅包括常规的混杂模式嗅探，还包括ARP欺骗的嗅探功能，可以监视交换环境中的网络通信。它支持许多协议的主动和被动解析，包括加密协议，并包括用于互联网和用户计算机分析的功能。它有两个主要的嗅探选项:统一模式，即以中间人的方式进行嗅探；桥接模式，即在双网卡的情况下，嗅探两个网卡之间的数据包。 Famous Encyclopedia String
Famous Encyclopedia String

Dsniff:Dsniff是由Dug Song开发的嗅探器，它是第一个扩展了传统嗅探器概念的监控工具。Dsniff用于分析各种网络协议和嗅探密码。它可以从FTP、Telnet、POP、rLogin、Microsoft SMB、SNMP、IMAP和其他协议获取信息。 Famous Encyclopedia String

Famous Encyclopedia String

Wireshark:Wireshark（原名:Ethereal）是一款网络数据包分析软件。作为一款开源的数据包捕获和分析器，Wireshark支持Windows和Linux等操作系统。Wireshark使用pcap监控和捕获来自网络接口的数据包，并根据IP地址、协议和许多其他参数过滤数据包。不同的数据包可以基于相关性进行分组或标记。 qwbaike.cn

qwbaike.cn

微软网络监视器:微软网络监视器是一个网络数据分析工具，仅支持Windows平台。它可用于捕获、分析和排除网络数据包故障，为实时网络流量提供专业的图形界面。在功能上，该软件支持300多种协议、无线监控模式和碎片消息重组。 Famous Encyclopedia String
https://www.qwbaike.cn

网络入侵监控：NIDS（Network Intrusion Detection System，网络入侵检测系统）是指通过异常分析和模式匹配来分析网络上的数据包，进而发现蠕虫、攻击和入侵等违规行为的硬件或软件。NIDS是一个带有专家系统的嗅探工具，通常运行在镜像端口（交换机）上。NIDS将把通过嗅探捕获的数据包提交到分析模式进行分析。结合专家库中的特征和模型，分析模块将提取有害和可疑事件，从而对病毒蠕虫和网络入侵进行报警。

嗅探

Famous Encyclopedia String

网络安全审计：网络审计是指使用网络嗅探工具获取、解码和存储数据包，以供以后查询或提供即时警报。通过嗅探技术，网络审计可以实现在线行为审计、网络违规数据监控等功能。利用网络嗅探技术开发的网络行为审计软件是检查网络传输数据流合法性的工具。它在重要的网络节点上工作，可以检测在线违规行为，例如发送违反国家法律或法规或包含色情和反动内容的电子邮件；在论坛或网站上传播违反国家法律法规或色情或反动信息；访问违反国家法律或包含色情或反动内容的网站。

病毒和蠕虫的控制：嗅探技术对蠕虫病毒的控制可以起到一定的作用:利用基于嗅探的流量检测及时发现网络流量异常，并结合已建立的异常流量模式，初步判断网络蠕虫病毒爆发的前兆；利用基于嗅探的网络协议分析进一步确认病毒和蠕虫的爆发，及时给出预警信息；利用基于嗅探的蜜罐，获取病毒和蠕虫样本并进行详细分析，设计了可行的清除和防御方案。基于嗅探的入侵检测用于准确定位局域网中病毒和蠕虫的传播源，从而及时有效地扼杀病毒传播行为。 Famous Encyclopedia String

网络部署和跟踪：现代网络犯罪往往通过跳板进行，即通过一个中间主机进行网络攻击和犯罪活动，这严重阻碍了对犯罪分子的抓捕。嗅探技术可用于追踪网络犯罪，并帮助执法机构定位网络罪犯。网络控制的实际操作如下:当发现通过中间跳板主机进行网络犯罪时，可以运行网络嗅探器对其进行24小时监控。如果罪犯远程登录主机，网络嗅探器将记录罪犯的IP地址，从而协助定位和跟踪。网络跟踪是一种针对伪造IP地址攻击的跟踪方法。网络攻击通常使用虚假的IP地址（尤其是大规模拒绝服务攻击），因此无法从被攻击的飞机嗅探到的数据中直接确定攻击的来源。因此，有必要使用移动网络嗅探器从端点逐一追溯，直到找到攻击的原点。

Famous Encyclopedia String

网络取证：基于嗅探的网络取证工具可以运行在犯罪分子需要取证的计算机上（如个人计算机或公共场所的计算机），可以记录犯罪分子的网络行为（如电子邮件、聊天信息、上网记录等）。），从而协助侦破案件和获取起诉证据。为了确保嗅探工具获取的网络证据不可篡改，需要在网络取证工具中内置数字签名工具，防止操作人员人为修改或错误修改数字证据。 Famous Encyclopedia String