SNIFFER(嗅探器)-簡介Sniffer(嗅探器)是一種常用的收集有用資料方法,這些資料可以是使用者的帳號和密碼,可以是一些商用機密資料等等。Snifffer可以作為能夠捕獲網路報文的設備,ISS為Sniffer這樣定義:Sniffer是利用電腦的網路介面截獲目的地為其他電腦的資料包文的一種工具。Sniffer的正當用處主要是分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。在合理的網路中,sniffer的存在對系統管理員是致關重要的,系統管理員通過sniffer可以診斷出大量的不可見模糊問題,這些問題涉及兩台乃至多台電腦之間的...
SNIFFER(嗅探器)-簡介Sniffer(嗅探器)是一種常用的收集有用資料方法,這些資料可以是使用者的帳號和密碼,可以是一些商用機密資料等等。Snifffer可以作為能夠捕獲網路報文的設備,ISS為Sniffer這樣定義:Sniffer是利用電腦的網路介面截獲目的地為其他電腦的資料包文的一種工具。Sniffer的正當用處主要是分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。在合理的網路中,sniffer的存在對系統管理員是致關重要的,系統管理員通過sniffer可以診斷出大量的不可見模糊問題,這些問題涉及兩台乃至多台電腦之間的異常通訊有些甚至牽涉到各種的協定,借助於sniffer%2C系統管理員可以方便的確定出多少的通訊量屬於哪個網路通訊協定、占主要通訊協定的主機是哪一台、大多數通訊目的地是哪台主機、報文發送佔用多少時間、或著相互主機的報文傳送間隔時間等等,這些資訊為管理員判斷網路問題、管理網路區域提供了非常寶貴的資訊。 嗅探器與一般的鍵盤捕獲程式不同。鍵盤捕獲程式捕獲在終端上輸入的鍵值,而嗅探器則捕獲真實的網路報文。為了對sniffer的工作原理有一個深入的瞭解,我們先簡單介紹一下HUB與網卡的原理。預備知識HUB工作原理 由於乙太網等很多網路(常見共用HUB連接的內部網)是基於匯流排方式,物理上是廣播的,就是當一個機器發給另一個機器的資料,共用HUB先收到然後把它接收到的資料再發給其他的(來的那個口不發了)每一個口,所以在共用HUB下面同一網段的所有機器的網卡都能接收到資料。 交換式HUB的內部單片程式能記住每個口的MAC位址,以後就該哪個機器接收就發往哪個口,而不是像共用HUB那樣發給所有的口,所以交換HUB下只有該接收資料的機器的網卡能接收到資料,當然廣播包還是發往所有口。顯然共用HUB的工作模式使得兩個機器傳輸資料的時候其他機器別的口也佔用了,所以共用HUB決定了同一網段同一時間只能有兩個機器進行資料通信,而交換HUB兩個機器傳輸資料的時候別的口沒有佔用,所以別的口之間也可以同時傳輸。這就是共用HUB與交換HUB不同的兩個地方,共用HUB是同一時間只能一個機器發資料並且所有機器都可以接收,只要不是廣播資料交換HUB同一時間可以有對機器進行資料傳輸並且資料是私有的。網卡工作原理 再講講網卡的工作原理。網卡收到傳輸來的資料,網卡內的單片程式先接收資料頭的目的MAC位址,根據電腦上的網路卡驅動程式設置的接收模式判斷該不該接收,認為該接收就在接收後產生中斷信號通知CPU,認為不該接收就丟棄不管,所以不該接收的資料網卡就截斷了,電腦根本就不知道。CPU得到中斷信號產生中斷,作業系統就根據網路卡驅動程式中設置的網卡中斷程式位址調用驅動程式接收資料,驅動程式接收資料後放入信號堆疊讓作業系統處理。局域網如何工作 資料在網路上是以很小的稱為幀(Frame)的單位傳輸的幀由好幾部分組成,不同的部分執行不同的功能。(例如,乙太網的前12個位元組存放的是源和目的的位址,這些位元告訴網路:資料的來源和去處。乙太網幀的其他部分存放實際的使用者資料、TCP/IP的報文頭或IPX報文頭等等)。 幀通過特定的網路驅動程式進行成型,然後通過網卡發送到網線上。通過網線到達它們的目的機器,在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀,並告訴作業系統幀的到達,然後對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會造成安全方面的問題。 通常在局域網(LAN)中同一個網段的所有網路介面都有訪問在物理媒體上傳輸的所有資料的能力,而每個網路介面都還應該有一個硬體位址,該硬體位址不同於網路中存在的其他網路介面的硬體位址,同時,每個網路至少還要一個廣播位址。(代表所有的介面位址),在正常情況下,一個合法的網路介面應該只回應這樣的兩種資料幀: 1、幀的目的地區域具有和本地網路介面相匹配的硬體位址。 2、幀的目的地區域具有“廣播位址”。在接受到上面兩種情況的資料包時,網卡通過cpu產生一個硬體中斷,該中斷能引起作業系統注意,然後將幀中所包含的資料傳送給系統進一步處理。當採用共用HUB,用戶發送一個報文時,這些報文就會發送到LAN上所有可用的機器。在一般情況下,網路上所有的機器都可以“聽”到通過的流量,但對不屬於自己的報文則不予回應(換句話說,工作站A不會捕獲屬於工作站B的資料,而是簡單的忽略這些資料)。如果局域網中某台機器的網路介面處於雜收(promiscuous)模式(即網卡可以接收其收到的所有資料包,下面會詳細地講),那麼它就可以捕獲網路上所有的報文和幀,如果一台機器被配置成這樣的方式,它(包括其軟體)就是一個嗅探器。
參考:https://www.20cn.net/ns/cn/jc/data/20020812014132.htm
46. 一般網路分析軟體(或稱 sniffer),可用在下列何者目的上? ..-阿摩線上測驗