安全系列讲座-嗅探技术分析（预备知识）

　　1.　Sniffer（嗅探器）简介

　　嗅探器是能够捕获网络报文的设备。嗅探器这一术语来源于一个产品，它就是通用网络公司开发的sniffer，一个能捕获网络报文的程序。由于通用网络公司在市场的主导地方，sniffer这个词就越来越流行，逐渐成为这一类产品的代名词，以后的所有协议分析程序都被称为sniffer。 　　

　　Sniffer的正当用处主要是分析网络的流量，以便找出所关心的网络中潜在的问题。例如：假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器来作出精确的问题判断。sniffer对系统管理员是至关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯，有些甚至牵涉到各种的协议，借助于sniffer系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等，这些信息为管理员查找网络问题、管理网络区域提供了非常宝贵的信息。 　　

　　由于sniffer可捕获网络报文，因此，sniffer对网络也存在极大的危害。例如：通过sniffer可以捕获到网络中传输的口令、机密信息、专用信息以及获得更高基本权限等等 　　

　　2.　相关知识

　　2.1　HUB工作原理

　　由于以太网是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以使用共享HUB的同一网段的所有机器的网卡都能接收到数据。　　

　　交换式HUB的内部单片程序能记住每个口的MAC地址，以后就该哪个机器接收就发往哪个口，而不是像共享HUB那样发给所有的口，所以使用交换HUB只有该接收数据的机器的网卡能接收到数据，当然广播包还是发往所有口。 　

　　由于共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了，所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信，而交换HUB两个机器传输数据的时候别的口没有占用，所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方，共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。　　

　　2.2　网卡工作原理

　　网卡收到传输来的数据，网卡内的单片程序先查看数据包的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，如果认为是需要接收的数据，网卡就产生中断信号通知系统，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。如果认为是不需要接收的数据，网卡就直接把数据丢弃。 　　

　　在正常情况下，网卡只响应以下两种类型的数据帧

　　帧的目标地址是本地网络接口的硬件地址

　　帧的目标地址是“广播地址”

　　但是，如果局域网中某台机器的网络接口被配置为混杂（promiscuous）模式，那么它就会接受网络上的所有报文和数据帧。这台计算机加上上面安装的用于处理捕获报文的软件，就成为一个嗅探器了。