嗅探器是什么？嗅探器怎么用？

　　嗅探器是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運行的軟件設(shè)備，協(xié)議分析器既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息。網(wǎng)絡(luò)運作和維護(hù)都可以采用協(xié)議分析器：如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則、鑒定分析網(wǎng)絡(luò)數(shù)據(jù)以及診斷并修復(fù)網(wǎng)絡(luò)問題等等。非法嗅探器嚴(yán)重威脅網(wǎng)絡(luò)安全性，這是因為它實質(zhì)上不能進(jìn)行探測行為且容易隨處插入，所以網(wǎng)絡(luò)黑客常將它作為攻擊武器。

　　嗅探器的概念

　　嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network Associates 決定另開辟一個嗅探器產(chǎn)品單元，該單元組成一家私有企業(yè)并重新命名為 Network General，如今嗅探器已成為 Network General 公司的一種特征產(chǎn)品商標(biāo)，由于專業(yè)人士的普遍使用，嗅探器廣泛應(yīng)用于所有能夠捕獲和分析網(wǎng)絡(luò)流量的產(chǎn)品。

　　在講述Sniffer的概念之前，首先需要講述局域網(wǎng)設(shè)備的一些基本概念。

　　數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（Frame）的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對其進(jìn)行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

　　每一個在局域網(wǎng)（LAN）上的工作站都有其硬件地址（MAC地址），這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器（這一點與Internet地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個數(shù)據(jù)包時，這些數(shù)據(jù)包就會發(fā)送到LAN上所有可用的機(jī)器。

　　如果使用Hub/即基于共享網(wǎng)絡(luò)的情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)（換句話說，工作站A不會捕獲屬于工作站B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)）。如果某個工作站的網(wǎng)絡(luò)接口處于混雜模式（關(guān)于混雜模式的概念會在后面解釋），那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。

　　但是現(xiàn)代網(wǎng)絡(luò)常常采用交換機(jī)作為網(wǎng)絡(luò)連接設(shè)備樞紐，在通常情況下，交換機(jī)不會讓網(wǎng)絡(luò)中每一臺主機(jī)偵聽到其他主機(jī)的通訊，因此Sniffer技術(shù)在這時必須結(jié)合網(wǎng)絡(luò)端口鏡像技術(shù)進(jìn)行配合。而衍生的安全技術(shù)則通過ARP欺騙來變相達(dá)到交換網(wǎng)絡(luò)中的偵聽。

　　Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。

　　普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持 BPF，Linux下需要支持SOCKET-PACKET。但一般情況下，網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或者發(fā)送與本地計算機(jī)無關(guān)的數(shù)據(jù)包，所以，為了繞過標(biāo)準(zhǔn)的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為混雜模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備BPFilter，而且需要root權(quán)限來運行這種程序，所以Sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)入了系統(tǒng)，那么不可能嗅探到root的密碼，因為不能運行Sniffer。

　　基于Sniffer這樣的模式，可以分析各種信息包并描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機(jī)器，由于它接收任何一個在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴(kuò)大戰(zhàn)果的方法，用來奪取其他主機(jī)的控制權(quán)。

　　也有基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)（DDN， FR）甚至光網(wǎng)絡(luò)（POS、Fiber Channel）的監(jiān)聽技術(shù)，這時候略微不同于以太網(wǎng)絡(luò)上的捕獲概念，其中通常會引入TAP （測試介入點）這類的硬件設(shè)備來進(jìn)行數(shù)據(jù)采集。

　　嗅探器的技術(shù)應(yīng)用

　　解碼

　　Sniffer的軟件非常豐富，可以對在各種網(wǎng)絡(luò)上運行的400多種協(xié)議進(jìn)行解碼，如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2（Oracle）、Banyan v5.0和v6.0、TDS/SQL（Sybase）、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網(wǎng)絡(luò)互聯(lián)橋/路由器的幀格式。

　　Sniffer可以在全部七層OSI協(xié)議上進(jìn)行解碼，目前沒有任何一個系統(tǒng)可以做到對協(xié)議有如此透徹的分析；它采用分層方式，從最低層開始，一直到第七層，甚至對Oracle數(shù)據(jù)庫、SYBASE數(shù)據(jù)庫都可以進(jìn)行協(xié)議分析；每一層用不同的顏色加以區(qū)別。

　　Sniffer對每一層都提供了Summary（解碼主要規(guī)程要素）、Detail（解碼全部規(guī)程要素）、Hex（十六進(jìn)制碼）等幾種解碼窗口。在同一時間，最多可以打開六個觀察窗口。

　　Sniffer還可以進(jìn)行強(qiáng)制解碼功能（Protocl Forcing），如果網(wǎng)絡(luò)上運行的是非標(biāo)準(zhǔn)協(xié)議，可以使用一個現(xiàn)有標(biāo)準(zhǔn)協(xié)議樣板去嘗試解釋捕獲的數(shù)據(jù)。

　　Sniffer提供了在線實時解碼分析和在線捕捉，將捕捉的數(shù)據(jù)存盤后進(jìn)行解碼分析二種功能。

　　當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術(shù)常常用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個領(lǐng)域。

　　Sniffer被 Network General公司注冊為商標(biāo)，這家公司以出品Sniffer Pro系列產(chǎn)品而知名。目前最新版本為Sniffer Portable 4.9，這類產(chǎn)品通過網(wǎng)絡(luò)嗅探這一技術(shù)方式，對數(shù)據(jù)協(xié)議進(jìn)行捕獲和解析，能夠大大幫助故障診斷和網(wǎng)絡(luò)應(yīng)用性能的分析鑒別。

　　擴(kuò)展應(yīng)用

手機(jī)信號嗅探器

　　1、專用領(lǐng)域的Sniffer

　　Sniffer被廣泛應(yīng)用到各種專業(yè)領(lǐng)域，例如FIX （金融信息交換協(xié)議）、MultiCast（組播協(xié)議）、3G （第三代移動通訊技術(shù)）的分析系統(tǒng)。其可以解析這些專用協(xié)議數(shù)據(jù)，獲得完整的解碼分析。

　　2、長期存儲的Sniffer應(yīng)用

　　由于現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)量驚人，帶寬越來越大。采用傳統(tǒng)方式的Sniffer產(chǎn)品很難適應(yīng)這類環(huán)境，因此誕生了伴隨有大量硬盤存儲空間的長期記錄設(shè)備。例如nGenius Infinistream等。

　　3、易于使用的Sniffer輔助系統(tǒng)

　　由于協(xié)議解碼這類的應(yīng)用曲高和寡，很少有人能夠很好的理解各類協(xié)議。但捕獲下來的數(shù)據(jù)卻非常有價值。因此在現(xiàn)代意義上非常流行如何把協(xié)議數(shù)據(jù)采用最好的方式進(jìn)行展示，包括產(chǎn)生了可以把Sniffer數(shù)據(jù)轉(zhuǎn)換成Excel的BoneLight類型的應(yīng)用和把Sniffer分析數(shù)據(jù)進(jìn)行圖形化的開源系統(tǒng)PacketMap等。這類應(yīng)用使用戶能夠更簡明地理解Sniffer數(shù)據(jù)。

　　4、無線網(wǎng)絡(luò)的Sniffer

　　傳統(tǒng)Sniffer是針對有線網(wǎng)絡(luò)中的局域網(wǎng)而言，所有的捕獲原理也是基于CSMA/CD的技術(shù)實現(xiàn)。隨著WLAN的廣泛使用，Sniffer進(jìn)一步擴(kuò)展到802.11A/B/G/N的無線網(wǎng)絡(luò)分析能力。無線網(wǎng)絡(luò)相比傳統(tǒng)網(wǎng)絡(luò)無論從捕獲的原理和接入的方式都發(fā)生了較大改變。這也是Sniffer技術(shù)發(fā)展趨勢中非常重要的部分。

　　監(jiān)控流量

　　隨著互聯(lián)網(wǎng)多層次性、多樣性的發(fā)展，網(wǎng)吧已由過去即時通信、瀏覽網(wǎng)頁、電子郵件等簡單的應(yīng)用，擴(kuò)展成為運行大量在線游戲、在線視頻音頻、互動教學(xué)、P2P等技術(shù)應(yīng)用。應(yīng)用特點也呈現(xiàn)出多樣性和復(fù)雜性，因此，這些應(yīng)用對我們的網(wǎng)絡(luò)服務(wù)質(zhì)量要求更為嚴(yán)格和苛刻。

　　目前，大多數(shù)網(wǎng)吧的網(wǎng)絡(luò)設(shè)備不具備高端網(wǎng)絡(luò)設(shè)備的智能性、交互性等擴(kuò)展性能，當(dāng)網(wǎng)吧出現(xiàn)掉線、網(wǎng)絡(luò)卡、遭受內(nèi)部病毒攻擊、流量超限等情況時，很多網(wǎng)絡(luò)管理員顯得心有余而力不足。畢竟，靠網(wǎng)絡(luò)管理員的經(jīng)驗和一些簡單傳統(tǒng)的排查方法：無論從時間上面還是準(zhǔn)確性上面都存在很大的誤差，同時也影響了工作效率和正常業(yè)務(wù)的運行。

　　Sniffer Pro 著名網(wǎng)絡(luò)協(xié)議分析軟件。本文利用其強(qiáng)大的流量圖文系統(tǒng)Host Table來實時監(jiān)控網(wǎng)絡(luò)流量。在監(jiān)控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實上，很多網(wǎng)吧管理員都有過相關(guān)監(jiān)控網(wǎng)絡(luò)經(jīng)驗：在網(wǎng)絡(luò)出現(xiàn)問題、或者探查網(wǎng)絡(luò)情況時，使用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官等網(wǎng)絡(luò)監(jiān)控軟件。這樣的軟件有一個很大優(yōu)點：不要配置端口鏡像就可以進(jìn)行流量查詢（其實sniffer pro也可以變通的工作在這樣的環(huán)境下）。這種看起來很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，對地址表進(jìn)行欺騙，因此可能會衍生出很多節(jié)外生枝的問題，如掉線、網(wǎng)絡(luò)變慢、ARP廣播巨增等。這對于要求正常的網(wǎng)絡(luò)來說，是不可思議的。

　　在這里，我們將通過軟件解決方案來完成以往只有通過更換高級設(shè)備才能解決的網(wǎng)絡(luò)解決方案，這對于很多管理員來說，將是個夢寐以求的時刻。