浅谈网络嗅探
邹宁
随着信息化进程的加快、宽带网的普及，计算机网络在各个领域得到了广泛的应用，网络通信安全成为电信运营商和广大用户所关心的重要问题。

病毒肆虐、黑客攻击，常常会导致网络莫名其妙的变慢甚至中断。

而嗅探器，既是网络维护人员分析捕获网络故障的有效工具，也成为黑客进行网络入侵的得力助手。

嗅探器，是指在运行以太网协议、TCP／IP协议、IPX协议或者其他协议的网络上，可以捕获网络信息流的工具。

嗅探器分软件和硬件两种，硬件的有网络分析仪，软件的如sniffer则是著名的嗅探器程序。

嗅探器所捕获到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流。

其中可能携带了重要数据或敏感信息，譬如明文密码。

嗅探器可以将捕获到的数据流分类，并可以作进一步分析。

享即意味着网络中的一台机器可以嗅探到传递给本网段(冲突域)中的所有机器的报文。

例如最常见的以太网就是一种共享式的网络技术，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是则把报文传递给操作系统；否则将报文丢弃而不进行处理；网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将他收到的所有报文都传递给操作系统进行处理。

这种特殊的工作模式，就称之为混杂模式。

网络嗅探器通过将网卡设置为混杂模式，并利用数据链路访问技术来实现对网络的嗅探。

实现了数据链路层的访问，就可以把嗅探能力扩展到任意类型的数据链路帧，而不光是IP数据报。

嗅探器用于网络维护上是个得力的工具，在日常的网络查障中也发挥着重要的作用。

嗅探器能够分析网络的流量,以便找出所关心的网络中潜在的问题。

例如,网络的某一段频繁掉线、网速缓慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

系统管理员通过嗅探器可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助嗅探器，系统管理
员可以方便的确定出多少的通信量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。

实践中，作为ISP,我们通过sniffer 软件捕获分析数据包，查找故障的罪魁祸首，解决了很多网吧、单位联网的疑难障碍。

问题。

它可以检查更低层次传输的信息包，网络黑客可能会用它来做一些危及网络安全的事。

它能够捕获专用的或者机密的信息，比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、帐号等。

再比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

典型的在网吧的环境下，信箱、QQ、网络游戏等密码很容易被黑客窃取。

任何主机通过FTP，TELNET或者RLOGIN等方式联到有嗅探器的系统，都将有被截获口令的危险。

要，然而嗅探器很难以被发现。

由于嗅探器将网卡设为混杂模式，而一般正常服务的网卡都不处在该模式下，因此，检测嗅探器就等同于检测网络是否存在网卡设为混杂模式的计算机。

Windows 95/98/NT，操作系统如果处在混杂模式下时，可以很容易检测出。

在正常模式(非混杂模式)下，网卡只将目标地址为自己或是以太网广播地址(FF:FF:FF:FF:FF:FF)传递给内核;当处在混杂模式下时，驱动程序只检测以太网地址的第一个字节是否是广播地址，如果是FF，则是广播包。

可以利用发送目标以太网地址为FF:00:00:00:00:00，而目标IP地址是正常的数据帧，当微软操作系统的驱动程序收到该数据帧时，如果处在混杂模式下，将对该数据帧做出响应，如果没处在混杂模式下，将丢弃该数据帧。

还可利用DNS测试和网络机器延迟测试来检测某台机器是否处在混杂模式下。

性、安全性以及所需的花费来决定采用什么措施。

通常采取加密和网络分割的办法来防止嗅探器的攻击。

ID、口令和重要数据进行加密，避免明文传输，可以防止被非法截取。

比如流行的论坛、聊天室等WEB登陆系统，在用户输入ID和密码提交后，利用客户端脚本进行MD5不可逆算法加密，然后发送到服务器验证，这样即使黑客截获了数据也无法破译。

如果需要保护电子邮件免遭窃取，可以对邮件使用PGP加密。

PGP采用RSA和IDEA混合的加密算法，对该算法目前还没有找到比穷尽算法更有效的破解办法。

上面提到的办法实现较简单，但是他们也不能完全阻止监听者对网络上种种信息包的获取。

SNP提供了一种安全的验证协议，TELNET，FTP等应用的用户ID和口令不再是以文本方式传输。

SNP系统所有传输数据是采用DES加密的、监听者所看到的信息包只是一些乱码。

SSH提供端到端的验证与加密，属于应用层的安全通信协议，是目前国际互联网上最好的安全通信工具之一。

SSH 采用RSA加密算法建立连接，验证过程结束后，所有的信息都采用IDEA 技术加密，是典型的强加密，适合于所有的通信。

SSH曾一度为加密安全通信的主要协议。

如果在网络系统中使用SSH，那么用户ID和口令被捕获的概率将大大降低的。

只存在于同一根网络总线上，所以信息包只能被同一网络段的嗅探器所捕获。

我们可以利用网络分割的技术，使得网络进一步划分，减小嗅探器的监听范围，这样网络的其余部分就免受了嗅探器的攻击。

一般可以采用交换机划分网段，使用网桥或者网络路由器来划分子网。

网络分割要解决的问题是确立信任关系，只有在此基础上才能设计网络拓扑。

在网络维护中，了解网络嗅探的原理、应用及其潜在的安全隐患，有助于加强网络安全管理，充分发挥嗅探器的作用，防止嗅探器带来的危害。