编辑“Sniffer”

'''Sniffer'''，中文可以翻译为嗅探器，是一种基于被动侦听原理的[[网络]]分析方式。使用这种技术方式，可以监视网络的状态、[[数据]]流动情况以及网络上传输的信息。

==概述==
*当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。[[黑客]]们常常用它来截获用户的口令。据说某个骨干网络的[[路由器]]曾经被黑客攻入，并嗅探到大量的用户口令。

===网络技术与设备简介===
*在讲述Sniffer的概念之前，首先需要讲述[[局域网]]设备的一些基本概念。 

*数据在网络上是以很小的称为[[帧]]（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉[[操作系统]]帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。 

*每一个在局域网（LAN）上的工作站都有其[[硬件]]地址，这些地址惟一地表示了网络上的机器（这一点与[[Internet]]地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。 

*在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式，那么它就可以捕获网络上所有的数据包和帧。 

===网络监听原理===
*Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 
*普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF，[[Linux]]下需要支持SOCKET一PACKET。但一般情况下，网络硬件和[[TCP/IP]]堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP堆栈，网卡就必须设置为混杂模式。

一般情况下，要激活这种方式，[[内核]]必须支持这种伪设备Bpfilter，而且需要root权限来运行这种[[程序]]，所以sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。 

*基于Sniffer这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一（物理）网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权 

===Snifffer的分类 ===
*Sniffer分为软件和硬件两种，软件的Sniffer有 NetXray、Packetboy、Net monitor等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。

*硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。

*实际上本文中所讲的Sniffer指的是软件。它把包抓取下来，然后打开并查看其中的内容，可以得到密码等。Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。 

===网络监听的目的===
*当一个黑客成功地攻陷了一台主机，并拿到了root权限，而且还想利用这台主机去攻击同一（物理）网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个LOG文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进入这台主机。

*如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。 

Sniffer属于第M层次的攻击。就是说，只有在攻击者已经进入了目标系统的情况下，才能使用Sniffer这种攻击手段，以便得到更多的信息。Sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在以太网上传送的数据包。 

*Sniffer是一种比较复杂的攻击手段，一般只有黑客老手才有能力使用它，而对于一个网络新手来说，即使在一台主机上成功地[[编译]]并运行了Sniffer，一般也不会得到什么有用的信息，因为通常网络上的信息流量是相当大的，如果不加选择地接收所有的包，然后从中找到所需要的信息非常困难；而且，如果长时间进行监听，还有可能把放置Sniffer的机器的[[硬盘]]撑爆。

==Sniffer的扩展应用==
===专用领域的Sniffer===
*Sniffer被广泛应用到各种专业领域，例如FIX (金融信息交换协议)、MultiCast(组播协议)、3G (第三代移动通讯技术)的分析系统。其可以解析这些专用协议数据，获得完整的解码分析。

===长期存储的Sniffer应用===
*由于现代网络数据量惊人，带宽越来越大。采用传统方式的Sniffer产品很难适应这类环境，因此诞生了伴随有大量硬盘存储空间的长期记录设备。例如nGenius Infinistream等。
　　  
===易于使用的Sniffer辅助系统===
*由于协议解码这类的应用曲高和寡，很少有人能够很好的理解各类协议。但捕获下来的数据却非常有价值。因此在现代意义上非常流行如何把协议数据采用最好的方式进行展示，包括产生了可以把Sniffer数据转换成[[Excel]]的BoneLight类型的应用和把Sniffer分析数据进行图形化的[[开源系统]]PacketMap等。这类应用使用户能够更简明地理解Sniffer数据。

===无线网络的Sniffer===
*传统Sniffer是针对有线网络中的局域网而言，所有的捕获原理也是基于[[CSMA/CD]]的技术实现。随着[[WLAN]]的广泛使用，Sniffer进一步扩展到802.11A/B/G/N的无线网络分析能力。无线网络相比传统网络无论从捕获的原理和接入的方式都发生了较大改变。这也是Sniffer技术发展趋势中非常重要的部分.

==OSI全协议七层解码==
*Sniffer的软件非常丰富，可以对在各种网络上运行的400多种协议进行解码，如TCP/IP、Novell Netware、DECnet、SunNFS、X-[[Windows]]、[[HTTP]]、TNS SLQ*Net v2([[Oracle]])、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、[[PPP]]、Rip/Rip v2、EIGRP、APPN、SMTP等。还广泛支持专用的网络互联桥/路由器的帧格式。

*Sniffer可以在全部七层OSI协议上进行解码，目前没有任何一个系统可以做到对协议有如此透彻的分析；它采用分层方式，从最低层开始，一直到第七层，甚至对Oracle[[数据库]]、SYBASE数据库都可以进行协议分析；每一层用不同的颜色加以区别。

*Sniffer对每一层都提供了Summary(解码主要规程要素)、Detail(解码全部规程要素)、Hex(十六进制码)等几种解码窗口。在同一时间，最多可以打开六个观察窗口。

*Sniffer还可以进行强制解码功能(Protocl Forcing)，如果网络上运行的是非标准协议，可以使用一个现有标准协议样板去尝试解释捕获的数据。

*Sniffer提供了在线实时解码分析和在线捕捉，将捕捉的数据存盘后进行解码分析二种功能。

==相关条目==
*[[WSockExpert]]
*[[后门程序‎]]

[[category:网络分析|S]]
[[category:黑客工具|S]]