嗅探器是什么，嗅探器怎么用

很多朋友对嗅探器是什么，嗅探器怎么用不是很了解，每日小编刚好整理了这方面的知识，今天就来带大家一探究竟。

什么是嗅探器？如何使用嗅探器？

嗅探器是一种监控网络数据运行的软件设备，协议分析器不仅可以用于合法的网络管理，也可以用于窃取网络信息。协议分析器可用于网络运维，如监控网络流量、分析数据包、监控网络资源利用、执行网络安全运行规则、识别分析网络数据、诊断修复网络问题等。

非法嗅探器是网络安全的严重威胁，因为它本质上无法检测，容易被到处插入，所以网络黑客经常把它作为攻击武器。

sniffer嗅探器的概念最初是由Network General提出的，归Network Associates所有。最近，Network Associates决定开辟另一个嗅探器产品部门，该部门组建为一家私营企业，并更名为Network General。现在嗅探器已经成为网络总公司的特色产品商标。由于专业人员的广泛使用，嗅探器被广泛应用于所有可以捕获和分析网络流量的产品中。

在讲嗅探器的概念之前，我们需要先讲一下局域网设备的一些基本概念。

数据在网络上以称为帧的小单位传输。一个框架由几个部分组成，不同的部分执行不同的功能。帧由称为网络驱动程序的特殊软件形成，然后通过网卡发送到网络，到达目的机器，在目的机器的一端执行相反的过程。接收机器的以太网卡捕获这些帧，告诉操作系统帧已经到达，然后存储它们。

正是在这个传输和接收的过程中，嗅探器会带来安全问题。

局域网(LAN)上的每个工作站都有其硬件地址(MAC地址)，它唯一地代表网络上的机器(类似于互联网地址系统)。当用户发送数据包时，这些数据包将被发送到局域网上所有可用的机器。

如果使用集线器/共享网络，网络上的所有机器都可以“监听”通过的流量，但不会响应不属于它们的数据包(换句话说，工作站A不会捕获属于工作站B的数据，而只是忽略它们)。如果工作站的网络接口处于混杂模式(混杂模式的概念将在后面解释)，那么它可以捕获网络上的所有数据包和帧。

然而，现代网络通常使用交换机作为网络连接设备的中枢。一般情况下，交换机是不会让网络中的每一台主机都监听其他主机的通信的，所以这个时候就必须结合Sniffer技术和网口镜像技术。衍生的安全技术通过ARP欺骗在交换网络中实现伪装拦截。

Sniffer程序是利用以太网的特性将网卡(NIC，一般是以太网卡)置于混杂模式的工具。一旦网卡被设置为这种模式，它就可以接收网络上传输的每个数据包。

正常情况下，网卡只接收与自己地址相关的数据包，即传输到本地主机的数据包。为了让Sniffer以这种方式接收和处理信息，系统需要支持Linux下的BPF和套接字包。但是，通常情况下，网络硬件和TCP/IP堆栈不支持接收或发送与本地计算机无关的数据包。因此，为了绕过标准TCP/IP堆栈，网卡必须设置为混杂模式。

一般来说，要激活这个方法，内核必须支持这个伪设备BPFilter，需要root权限才能运行这个程序，所以需要以root身份安装Sniffer。如果你只是以本地用户的身份进入系统，是不可能嗅探到root的密码的，因为你无法运行Sniffer。

基于嗅探器的模式，我们可以分析各种数据包，并描述网络的结构和使用的机器。因为它接收任何在同一个网段上传输的数据包，所以有可能捕获一些未加密的信息，如密码、各种信息和秘密文档。这已经成为黑客扩大战果、夺取其他主机控制权的常用手段。

还有基于无线网络、广域网(DDN、FR)甚至光网络(POS、光纤通道)的监控技术，与以太网上采集的概念略有不同，其中通常引入TAP(测试接入点)等硬件设备来采集数据。嗅探器的技术应用解码

Sniffer的软件非常丰富，可以解码运行在各种网络上的400多种协议。如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、SMTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、APPN、RIP/RIP V: 它还广泛支持专用网络互连网桥/路由器的帧格式。

Sniffer可以对OSI协议的全部七层进行解码，目前还没有系统可以对协议进行如此彻底的分析。它采用分层的方式，从最底层到第七层，甚至可以分析Oracle数据库和SYBASE数据库。每一层都有不同的颜色。

Sniffer为每一层提供了几个解码窗口，比如Summary(解码主要协议元素)、Detail(解码所有协议元素)和Hex(十六进制代码)。同时，最多可以打开六个观察窗。嗅探器还可以执行协议强制功能。如果网络上运行的是非标准协议，可以使用现有的标准协议模板来尝试解释捕获的数据。

Sniffer提供了两个功能：在线实时解码分析和在线捕获，以及保存捕获数据后的解码分析。当信息以明文形式在网络上传输时，就可以受到网络监听的攻击。通过将网络接口设置为监控模式，可以拦截互联网上传输的稳定信息流。嗅探技术常用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

Sniffer被以Sniffer Pro系列产品闻名的网络通用注册为商标。目前最新版本是Sniffer便携4.9。这类产品通过网络嗅探来捕获和分析数据协议，对网络应用性能的故障诊断和分析鉴定有很大帮助。手机信号嗅探器的扩展应用1、特殊领域嗅探器

Sniffer广泛应用于各个专业领域，如FIX(金融信息交换协议)、MultiCast(组播协议)、3G(第三代移动通信技术)分析系统等。它可以解析这些特殊的协议数据，并获得完整的解码分析。2、长期存储的嗅探器应用程序

由于现代网络数据量惊人，带宽越来越大。传统方式的Sniffer产品难以适应这种环境，于是具有大量硬盘存储空间的长期录音设备诞生了。如nGenius Infinistream等。3、易于使用的嗅探器辅助系统

由于协议解码的高低应用，很少有人能很好的理解各种协议。但是捕捉到的数据非常有价值。因此，在现代意义上，如何以最好的方式显示协议数据是非常流行的，包括可以将嗅探器数据转换为Excel的BoneLight的应用和图形化显示嗅探器分析数据的开源系统PacketMap。这种应用程序使用户能够更简洁地理解嗅探器数据。4、无线网络嗅探器

传统的嗅探器是针对有线网络中的局域网，所有的捕获原理也都是基于CSMA/CD技术实现的。随着WLAN的广泛使用，Sniffer进一步扩展到802.11a/b/g/n的无线网络分析能力，无线网络与传统网络相比，无论是捕获原理还是接入方式都发生了很大的变化。这也是嗅探技术发展趋势中非常重要的一部分。监控流量

随着互联网多层次、多样化的发展，网吧已经从即时通讯、网页浏览、电子邮件等简单应用扩展到运行大量网络游戏、在线影音、互动教学、P2P等技术应用。应用的特性也表现出多样性和复杂性，因此这些应用对我们的网络服务质量有着更加严格和苛刻的要求。

目前大部分网吧的网络设备都不具备高端网络设备的扩展性能，如智能性、交互性等。当网吧断网、网卡、被内部病毒攻击、流量超限时，很多网络管理员似乎都力不从心。毕竟依靠网络管理员的经验和一些简单传统的排查方法，在时间和准确性上都存在很大的误差，也影响了工作效率和正常的业务运作。

著名的网络协议分析软件。本文利用其强大的流量图形系统主机表实时监控网络流量。至于监控软件，我们选择NAI公司的sniffer pro。其实很多网吧管理员都有监控网络的相关经验：当网络出现问题，或者在探查网络情况时，我们使用P2P终结者、网络执法官等网络监控软件。

这个软件有一个很大的优势：不需要配置端口镜像就可以查询流量(其实sniffer pro在这种环境下也可以灵活工作)。这种看似快捷的方法还是有很多弊端：由于其工作原理是利用ARP地址表来欺骗地址表，因此可能会导致很多并发症，比如掉线、网速慢、ARP广播量巨大增加等。这对于一个正常的网络来说是不可思议的。

在这里，我们将完成只有通过软件解决方案替换先进设备才能解决的网络解决方案，这将是许多管理员的梦想时刻。

以上知识分享希望能够帮助到大家！