如何防范网络嗅探

时间：2022年12月12日

来源：勿扰

编辑：本站小编

以下是小编为大家准备的如何防范网络嗅探，本文共8篇，供大家参考借鉴，希望可以帮助到有需要的朋友。本文原稿由网友“勿扰”提供。

篇1：如何防范网络嗅探

最普遍的安全威胁来自内部，同时这些威胁通常都是致命的，其破坏性也远大于外部威胁，其中网络嗅探对于安全防护一般的网络来说，操作简单的同时威胁巨大，很多也使用嗅探器进行网络入侵的渗透.. 网络嗅探器对信息安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。本文分析了网络嗅探的原理，分析了一些实例，提出解决方案和介绍实践经验。

一、嗅探器攻击原理

嗅探器(sniffer) 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层，把网络传输的全部数据记录下来. 嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能.嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。不同传输介质的网络的可监听性是不同的。一般来说，以太网被监听的可能性比较高，因为以太网是一个广播型的网络；FDDI Token被监听的可能性也比较高，尽管它并不是一个广播型网络，但带有令牌的那些数据包在传输过程中，平均要经过网络上一半的计算机；微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易的截获。一般情况下，大多数的嗅探器至少能够分析下面的协议：

1、标准以太网

2、TCP/IP

3、IPX

4、DECNET

5、FDDI Token

6、微波和无线网，

实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用，缺点是往往无法抓取网络上所有的传输数据(比如碎片)，也就可能无法全面了解网络的故障和运行情况；硬件嗅探器的通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。目前主要使用的嗅探器是软件的。嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。数据在网络上是以帧(Frame)的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以听到通过的流量，但对不属于自己的报文则不予响应。如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它（包括其软件）就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通常使用嗅探器的入侵者，都必须拥有基点用来放置嗅探器。对于外部入侵者来说，能通过入侵外网服务器、往内部工作站发送木马等获得需要，然后放置其嗅探器，而内部破坏者就能够直接获得嗅探器的放置点，比如使用附加的物理设备作为嗅探器(例如，他们可以将嗅探器接在网络的某个点上，而这个点通常用肉眼不容易发现。除非人为地对网络中的每一段网线进行检测，没有其他容易方法能够识别出这种连接(当然，网络拓扑映射工具能够检测到额外的IP地址)。

嗅探器可能造成的危害：

嗅探器能够捕获口令

能够捕获专用的或者机密的信息

可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限

分析网络结构，进行网络渗透

篇2：无线局域网防范策略无线局域网嗅探技术

如何学习无线局域网嗅探技术，网络上有不少的方法，下面是学习方法的一个集锦，希望对广大爱好者有帮助，都是比较常用的方式，借机提供给大家。

无线局域网（WLAN）因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用，但由于它传送的数据利用无线电波在空中传播，发射的数据可能到达预期之外的接收设备，因而WLAN存在着网络信息容易被窃取的问题。

在网络上窃取数据就叫嗅探，它是利用计算机的网络接口截获网络中数据报文的一种技术。嗅探一般工作在网络的底层，可以在不易被察觉的情况下将网络传输的全部数据记录下来，从而捕获账号和口令、专用的或机密的信息，甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。

WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性，运行监听程序的主机在的过程中只是被动的接收网络中传输的信息，它不会跟其它的主机交换信息，也不修改在网络中传输的信息包，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。

尽管它没有对网络进行主动攻击和破坏的危害明显，但由它造成的损失也是不可估量的。只有通过分析网络嗅探的原理与本质，才能更有效地防患于未然，增强无线局域网的安全防护能力。

无线局域网嗅探技术原理

要理解网络嗅探的实质，首先要清楚数据在网络中封装、传输的过程。根据TCP/IP协议，数据包是经过层层封装后，再被发送的。假设客户机A、B和FTP服务器C通过接入点（AP）或其他无线连接设备连接，主机A通过使用一个FTP命令向主机C进行远程登录，进行文件下载。

那么首先在主机A上输入登录主机C的FTP口令，FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层包裹，最后送到了物理层，再通过无线的方式播发出去。

主机C接收到数据帧，并在比较之后发现是发给自己的，接下来它就对此数据帧进行分析处理。这时主机B也同样接收到主机A播发的数据帧，随后就检查在数据帧中的地址是否和自己的地址相匹配，发现不匹配就把数据帧丢弃。这就是基于TCP/IP协议通信的一般过程。

无线局域网嗅探技术就是从通信中捕获和解析信息。假设主机B想知道登陆服务器C的FTP口令是什么，那么它要做的就是捕获主机A播发的数据帧，对数据帧进行解析，依次剥离出以太帧头、IP包头、TCP包头等，然后对报头部分和数据部分进行相应的分析处理，从而得到包含在数据帧中的有用信息。

在实现嗅探时，首先设置用于无线局域网嗅探技术的计算机，即在嗅探机上装好无线网卡，并把网卡设置为混杂模式，

在混杂模式下，网卡能够接收一切通过它的数据包，进而对数据包解析，实现数据。其次实现循环抓取数据包，并将抓到的数据包送入下一步的数据解析模块处理。最后进行数据解析，依次提取出以太帧头、IP包头、TCP包头等，然后对各个报头部分和数据部分进行相应的分析处理。

无线局域网嗅探技术相应防范策略

尽管嗅探隐蔽而不易被察觉，但并不是没有防范方法，下面的策略都能够防范无线局域网嗅探技术。

◆加强网络访问控制。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏，通过强大的网络访问控制可以减少无线网络配置的风险。同时配置勘测工具也可以测量和增强AP覆盖范围的安全性。虽然确知信号覆盖范围可以为WLAN安全提供一些有利条件，但这并不能成为一种完全的网络安全解决方案。攻击者使用高性能天线仍有可能在无线网络上嗅探到传输的数据。

◆网络设置为封闭系统。为了避免网络被NetStumbler之类的工具发现，应把网络设置为封闭系统。封闭系统是对SSID标为“any”的客户端不进行响应，并且关闭网络身份识别的广播功能的系统。它能够禁止非授权访问，但不能完全防止被无线局域网嗅探技术。

◆采用可靠的协议进行加密。如果用户的无线网络是用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像电子邮件连接的SSL方式。它是一个介于HTTP协议与TCP协议之间的可选层，SSL是在TCP之上建立了一个加密通道，对通过这一层的数据进行加密，从而达到保密的效果。

使用安全Shell而不是Telnet也是必不可少的。SSH是一个在应用程序中提供安全通信的协议。连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据是用IDEA技术来加密的。

SSH后来发展成为F－SSH，提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP网络通信提供了通用的最强的加密。目前，还没有人突破过这种加密方法。无线局域网嗅探技术到的信息自然将不再有任何价值。此外，使用安全拷贝而不是用文件传输协议也可以加强数据的安全性。

一次性口令技术。通常的计算机口令是静态的，极易被网上嗅探窃取。采用S/key一次性口令技术或其它一次性口令技术，能使账号信息失去意义。S/key的原理是远程主机已得到一个口令（这个口令不会在不安全的网络中传输）。

当用户连接时会获得一个“质询”信息，用户将这个信息和口令经过某个算法运算，产生一个正确的“响应”信息（如果通信双方口令正确的话）。这种验证方式无需在网络中传输口令，而且相同的“质询/响应信息”也不会出现两次。

无线局域网嗅探技术实现起来比较简单，特别是借助良好的开发环境，可以通过编程轻松实现预期目的，但防范嗅探却相当困难。目前还没有一个切实可行、一劳永逸的方法。在尽量实现上面提到的安全措施外，还应注重不断提高网管人员的安全意识，做到多注意、勤检查。

篇3：网络嗅探器技术以及数据包

从事网络安全的技术人员和相当一部分准（指那些使用现成的软件进行攻击而不是根据需要去自己编写代码的人）都一定不会对网络嗅探器（sniffer）感到陌生，网络嗅探器无论是在网络安全还是在攻击方面均扮演了很重要的角色，

网络嗅探器技术以及数据包

，

通过使用网络嗅探器可以

篇4：网络嗅探：使用Sniffer监控网络流量

网吧内嗅探使用

随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用，应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。

目前，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管理员显的心有于而力不足。毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正常业务的运行。

Sniffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。这对于要求正常的网络来说，是不可思议的。

在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻，

硬件环境（网吧）：

100M网络环境下，92台终端数量，主交换采用D-Link（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。光纤10M接入，华为2620做为接入网关。

软件环境：

操作系统Windows Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）

环境要求：

1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）

2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本

网络拓扑：

监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。

篇5：网络嗅探攻击的原理及应用

一．嗅探器（Sniffer）攻击原理 Sniffer既可以是硬件，也可以是软件，它用来接收在网络上传输的信息，

网络嗅探攻击的原理及应用

，

网络可以是运行在各种协议之下的。包括Ethernet、TCP/IP、ZPX等等（也可以是其中几种协议的联合）。放置Sniffer的目的是使网络接口（在这个例子中是以太

篇6：嗅探的基本原理

一前言

SNIFF真是一个古老的话题，关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事，也不乏很多成功的案例，那么，SNIFF究竟是什么呢？ SNIFF就是嗅探器，就是，SNIFF静悄悄的工作在网络的底层，把你的秘密全部记录下来，看过威尔史密斯演的《全民公敌》吗？SNIFF就象里面精巧的一样，让你防不胜防。

SNIFF可以是软件，也可以是硬件，既然是软件那就要分平台，有WINDOWS下的、UNXI下的等，硬件的SNIFF称为网络分析仪，反正不管硬件软件，目标只有一个，就是获取在网络上传输的各种信息。本文仅仅介绍软件的SNIFF。

当你舒适的坐在家里，惬意的享受网络给你带来的便利，收取你的EMAIL，购买你喜欢的物品的时候，你是否会想到你的朋友给你的信件，你的信用卡帐号变成了一个又一个的信息包在网络上不停的传送着，你是否曾经这些信息包会通过网络流入别人的机器呢？你的担忧不是没有道理的，因为SNIFF可以让你的担忧变成实实在在的危险。就好象一个人躲在你身后偷看一样。。。。。。

二网络基础知识

“网络基础知识”，是不是听起来有点跑题了？虽然听起来这和我们要谈的SNIFF没什么关系，可是还是要说一说的，万丈高楼平地起，如果连地基都没打好，怎么盖楼？！如果你对网络还不是十分清楚的话，最好能静下心来好好看看，要知道，这是基础的基础，在这里我只是简单的说一下，免得到时候有人迷糊，详细的最好能够自己去找书看看。

（1）TCP/IP体系结构

开放系统互连（OSI）模型将网络划分为七层模型，分别用以在各层上实现不同的功能，这七层分别为：应用层、表示层、会话层、传输层、网络层、数据链路层及物理层。而TCP/IP体系也同样遵循这七层标准，只不过在某些OSI功能上进行了压缩，将表示层及会话层合并入应用层中，所以实际上我们打交道的TCP/IP仅仅有5层而已，网络上的分层结构决定了在各层上的协议分布及功能实现，从而决定了各层上网络设备的使用。实际上很多成功的系统都是基于OSI模型的，如：如帧中继、ATM、ISDN等。

TCP/IP的网络体系结构（部分）

-----------------------------------

| SMTP | DNS | HTTP | FTP | TELNET| 应用层

-----------------------------------

| TCP | UDP| 传输层

-----------------------------------

| IP | ICMP | ARP RARP | 网络层

------------------------

| IEEE 802 以太网 SLIP/PPP PDN etc| 数据链路层

-----------------------------------

| 网卡电缆双绞线 etc | 物理层

-----------------------------------

从上面的图中我们可以看出，第一层物理层和第二层数据链路层是TCP/IP的基础，而TCP/IP本身并不十分关心低层，因为处在数据链路层的网络设备驱动程序将上层的协议和实际的物理接口隔离开来。网络设备驱动程序位于介质访问子层(MAC)。

（2）网络上的设备

中继器：中继器的主要功能是终结一个网段的信号并在另一个网段再生该信号，一句话，就是简单的放大而已，工作在物理层上。

网桥：网桥使用MAC物理地址实现中继功能，可以用来分隔网段或连接部分异种网络，工作在数据链路层。

路由器：路由器使用网络层地址(IP,X.121,E.164等)，主要负责数据包的路由寻径，也能处理物理层和数据链路层上的工作。

网关：主要工作在网络第四层以上，主要实现收敛功能及协议转换，不过很多时候网关都被用来描述任何网络互连设备。

（3）TCP/IP与以太网

以太网和TCP/IP可以说是相互相成的，可以说两者的关系几乎是密不可分，以太网在一二层提供物理上的连线，而TCP/IP工作在上层，使用32位的IP地址，以太网则使用48位的MAC地址，两者间使用ARP和RARP协议进行相互转换。从我们上面TCP/IP的模型图中可以清楚的看到两者的关系。

载波监听/冲突检测(CSMA/CD)技术被普遍的使用在以太网中，所谓载波监听是指在以太网中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲，如果空闲，就传输自己的数据，如果信道被占用，就等待信道空闲。而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突。以太网采用广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。

为了加深你的理解，我们来看看下面的图，一个典型的在以太网中客户与服务器使用TCP/IP协议的通信。

用户进程 FTP客户 <------------------------->FTP服务器应用层

| |

内核中的协议栈 TCP <------------------------->TCP 传输层

| |

内核中的协议栈 IP <------------------------->IP 网络层

| |

以太网驱动程序 <------------------------->以太网驱动程序数据链路层

──────-------------------------------

以太网

??唆唆了这么多，有人烦了吧？相信我，这是基础的基础，可以说是说得是很简单拉，如果需要，拿出个几十万字来说上面的内容，我想也不嫌多，好了，让我们进入下一节，sniff的原理。

三 SNIFF的原理

要知道在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MFC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下，一个网络接口应该只响应这样的两种数据帧：

1.与自己硬件地址相匹配的数据帧。 2.发向所有机器的广播数据帧。

在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式：

广播方式：该模式下的网卡能够接收网络中的广播信息。组播方式：设置在该模式下的网卡能够接收组播数据。直接方式：在这种模式下，只有目的网卡才能接收该数据。混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。

好了，现在我们总结一下，首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理：让网卡接收一切他所能接收的数据。

（图一）

我们来看一个简单的例子，如图一所示，机器A、B、C与集线器HUB相连接，集线器HUB通过路由器Router访问外部网络。这是一个很简单也很常见的情况，比如说在公司大楼里，我所在的网络部办公室里的几台机器通过集线器连接，而网络部、开发部、市场部也是同样如此，几个部门的集线器通过路由器连接。还是回到我们的图一上来，值得注意的一点是机器A、B、C使用一个普通的HUB连接的，不是用SWITCH，也不是用ROUTER，使用SWITCH和ROUTER的情况要比这复杂得多。

我们假设一下机器A上的管理员为了维护机器C，使用了一个FTP命令向机器C进行远程登陆，那么在这个用HUB连接的网络里数据走向过程是这样的。首先机器A上的管理员输入的登陆机器C的FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层的包裹，最后送到了物理层，我们的网线上。接下来数据帧送到了HUB上，现在由HUB向每一个接点广播由机器A发出的数据帧，机器B接收到由HUB广播发出的数据帧，并检查在数据帧中的地址是否和自己的地址相匹配，发现不是发向自己的后把这数据帧丢弃，不予理睬。而机器C也接收到了数据帧，并在比较之后发现是发现自己的，接下来他就对这数据帧进行分析处理。

在上面这个简单的例子中，机器B上的管理员如果很好奇，他很想知道究竟登陆机器C上FTP口令是什么？那么他要做的很简单，仅仅需要把自己机器上的网卡置于混杂模式，并对接收到的数据帧进行分析，从而找到包含在数据帧中的口令信息。

四做一个自己的sniff

在上一节里，我们已经知道了SNIFF的基本原理是怎么一回事，这一节我们来亲自动手做一个自己的sniff，毕竟，用程序代码来说话比什么都要来得真实，也容易加深理解。

回头想一想我们上面说的原理，我们要做的事情有几件：

1. 把网卡置于混杂模式。 2. 捕获数据包。3. 分析数据包。

注：下面的源代码取至Chad Renfro的<< Basic Packet-Sniffer Construction from the Ground Up>>一文中

/************************Tcp_sniff_2.c********************/

1.#include

2.#include

3.#include

4.#include

5.#include

6.#include

7.#include

8.#include

9.#include “headers.h”

#define INTERFACE “eth0”

/*Prototype area*/

10.int Open_Raw_Socket(void);

11.int Set_Promisc(char *interface, int sock);

12.int main {

13.int sock, bytes_recieved, fromlen;

14.char buffer[65535];

15.struct sockaddr_in from;

16.struct ip *ip;

17.struct tcp *tcp;

18.sock = Open_Raw_Socket();

19. Set_Promisc(INTERFACE, sock);

20. while(1)

22. {

23. fromlen = sizeof from;

24. bytes_recieved = recvfrom(sock, buffer, sizeof buffer, 0, (struct sockaddr *)&from, &fromlen);

25. printf(“\\nBytes received ::: %5d\\n”,bytes_recieved);

26. printf(“Source address ::: %s\\n”,inet_ntoa(from.sin_addr));

27. ip = (struct ip *)buffer;

/*See if this is a TCP packet*/

28. if(ip->ip_protocol == 6) {

29. printf(“IP header length ::: %d\\n”,ip->ip_length);

30. printf(“Protocol ::: %d\\n”,ip->ip_protocol);

31. tcp = (struct tcp *)(buffer + (4*ip->ip_length));

32. printf(“Source port ::: %d\\n”,ntohs(tcp->tcp_source_port));

33. printf(“Dest port ::: %d\\n”,ntohs(tcp->tcp_dest_port));

34. }

35. }

36.}

37.int Open_Raw_Socket() {

38. int sock;

39. if((sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP)) < 0) {

/*Then the socket was not created properly and must die*/

40. perror(“The raw socket was not created”);

41. exit(0);

42. };

43. return(sock);

44. }

45.int Set_Promisc(char *interface, int sock ) {

46. struct ifreq ifr;

47. strncpy(ifr.ifr_name, interface,strnlen(interface)+1);

48. if((ioctl(sock, SIOCGIFFLAGS, &ifr) == -1)) {

/*Could not retrieve flags for the interface*/

49. perror(“Could not retrive flags for the interface”);

50. exit(0);

51. }

52. printf(“The interface is ::: %s\\n”, interface);

53. perror(“Retrieved flags from interface successfully”);

54. ifr.ifr_flags |= IFF_PROMISC;

55. if (ioctl (sock, SIOCSIFFLAGS, &ifr) == -1 ) {

/*Could not set the flags on the interface */

56. perror(“Could not set the PROMISC flag:”);

57. exit(0);

58. }

59. printf(“Setting interface ::: %s ::: to promisc”, interface);

60. return(0);

61. }

/***********************EOF**********************************/

上面这段程序中有很详细的注解，不过我想还是有必要说一说，首先第10行--int Open_Raw_Socket(void); 是我们的自定义函数，具体内容如下：

37.int Open_Raw_Socket() {

38. int sock;

39. if((sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP)) < 0) {

/*Then the socket was not created properly and must die*/

40. perror(“The raw socket was not created”);

41. exit(0);

42. };

43. return(sock);

44. }

第39行 if((sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP)) < 0) {

这里我们调用了socket函数，使创建了了一个原始套接口，使之收到TCP/IP信息包。

接下来第11行-int Set_Promisc(char *interface, int sock)，这也是我们的自定义函数，目的是把网卡置于混杂模式，具体内容如下：

45.int Set_Promisc(char *interface, int sock ) {

46. struct ifreq ifr;

47. strncpy(ifr.ifr_name, interface,strnlen(interface)+1);

48. if((ioctl(sock, SIOCGIFFLAGS, &ifr) == -1)) {

/*Could not retrieve flags for the interface*/

49. perror(“Could not retrive flags for the interface”);

50. exit(0);

51. }

52. printf(“The interface is ::: %s\\n”, interface);

53. perror(“Retrieved flags from interface successfully”);

54. ifr.ifr_flags |= IFF_PROMISC;

55. if (ioctl (sock, SIOCSIFFLAGS, &ifr) == -1 ) {

/*Could not set the flags on the interface */

56. perror(“Could not set the PROMISC flag:”);

57. exit(0);

58. }

59. printf(“Setting interface ::: %s ::: to promisc”, interface);

60. return(0);

61. }

首先 struct ifreq ifr; 定一了一个ifrreg的结构ifr，接下来 strncpy(ifr.ifr_name, interface,strnlen(interface)+1);，就是把我们网络设备的名字填充到ifr结构中，在这里 #define INTERFACE “eth0” ，让我们再往下看,ioctl(sock, SIOCGIFFLAGS, &ifr),SIOCGIFFLAGS请求表示需要获取接口标志，现在到了第54行，在我们成功的获取接口标志后把他设置成混杂模式，ifr.ifr_flags |= IFF_PROMISC;ioctl (sock, SIOCSIFFLAGS, &ifr)。OK，现在我们所说的第一步已经完成--------把网卡置于混杂模式。

现在进入第二步，捕获数据包。从第20行开始，我们进入了一个死循环，while(1)，在第24行，recvfrom(sock, buffer, sizeof buffer, 0, (struct sockaddr *)&from, &fromlen)，这个函数要做的就是接收数据，冰把接收到的数据放入buffer中。就是这么简单，已经完成了我们要捕获数据包的任务。

到了第三步，分析数据包。27行，ip = (struct ip *)buffer，使我们在头文件中的IP结构对应于所接收到的数据，接下来判断在网络层中是否使用的是TCP协议，if(ip->ip_protocol == 6) ，如果答案是，tcp信息包从整个IP/TCP包 buffer + (4*ip->ip_length) 地址处开始，所以31行 tcp = (struct tcp *)(buffer + (4*ip->ip_length))，然后对应结构把你所需要的信息输出。

/*************************headers.h**************************/

/*structure of an ip header*/

struct ip {

unsigned int ip_length:4; /*little-endian*/

unsigned int ip_version:4;

unsigned char ip_tos;

unsigned short ip_total_length;

unsigned short ip_id;

unsigned short ip_flags;

unsigned char ip_ttl;

unsigned char ip_protocol;

unsigned short ip_cksum;

unsigned int ip_source; unsigned int ip_dest;

};

/* Structure of a TCP header */

struct tcp {

unsigned short tcp_source_port;

unsigned short tcp_dest_port;

unsigned int tcp_seqno;

unsigned int tcp_ackno;

unsigned int tcp_res1:4, /*little-endian*/

tcp_hlen:4,

tcp_fin:1,

tcp_syn:1,

tcp_rst:1,

tcp_psh:1,

tcp_ack:1,

tcp_urg:1,

tcp_res2:2;

unsigned short tcp_winsize;

unsigned short tcp_cksum;

unsigned short tcp_urgent;

};

/*********************EOF***********************************/

从上面的分析我们可以清楚的认识到，认识一个SNIFF需要对TCP/IP协议有着详细的了解，否则你根本无法找到你需要的信息。有了上面的基础，你可以自己来做一个你需要的SNIFF了，

五常用的SNIFF

很少有原因会让你自己亲自动手来做一个自己的SNIFF，除非你是想了解他的原理，或者是其他一些特别的原因，比如你要在某个特殊的环境拦截一些特殊的数据包。下面我们就来看看一些在网络上经常使用的SNIFF。

（1）windows环境下

windows环境下当然是大名鼎鼎的netxray以及sniffer pro了，实际上很多人都是用他在windows环境下抓包来分析，不过我想很少有人笨到去在别人的机器上安装一个图形界面的SNIFF，除非他和管理员很熟悉........ netxray的使用就不多说了，反正windows下的东西就是click，click，click，非常的方便用户。

（2）UNUX环境下

UNUX环境下的sniff可以说是百花齐放，一抓就是一大把,如sniffit，snoop,tcpdump,dsniff等都是比较常见的，他们都有一个好处就是发布源代码，可以让你研究，当然也都是免费的：）

1. sniffit

sniffit可以运行在Solaris、SGI和Linux等平台上，由Lawrence Berkeley Laboratory 实验室开发的一个免费的网络监听软件。最近Sniffit 0.3.7也推出了NT版本，并也支持WINDOWS.

使用方法:

-v 显示版本信息

-a 以ASCII形式将监听的结果输出。

-A 在进行记录时，所有不可打印的字符都用代替

-b 等同于同时使用参数-t & -s。

-d 将监听所得内容以十六进制方式显示在当前终端

-p 记录连接到的包，0为所有端口。缺省为0。

-P protocol 选择要检查的协议，缺省为TCP。可能的选择有IP、TCP、ICMP、UDP和他们的组合。

-s 指定sniffer 检查从发送的数据包。 -t 指定sniffer 检查发送到的数据包。

-i 进入交互模式

-l 设定数据包大小，default是300字节

注：参数可以用@来表示一个IP范围，比如 -t 192.168.@ -t和-s 只适用于TCP/UDP数据包，对于ICMP和IP也进行解释。但如果只选择了-p参数，则只用于TCP和UDP包。

举例说明:

#sniffit -a -p 21 -t xxx.xxx.xxx.xxx

监听流向机器xxx.xxx.xxx.xxx的21端口(FTP)的信息,并以ASCII显示

#sniffit -d -p 23 -b xxx.xxx.xxx.xxx

监听所有流出或流入机器xxx.xxx.xxx.xxx的23端口(telnet)的信息，并以16进制显示

你可以在这里找到sniffit reptile.rug.ac.be/~coder/sniffit/sniffit.html

2. snoop

snoop默认情况安装在Solaris下，是一个用于显示网络交通的程序，不过SNIFF是把双刃剑，既然管理员能用他来监视自己的网络，当然一个心怀恶意的入侵者也可以用他来SNIFF自己感兴趣的内容。值得一提的是， SNOOP被发现存在一个缓冲区溢出漏洞，当以导致入侵者以运行snoop(通常为root)的身份远程进入系统。这是题外话，暂且就此打住。

使用方法：

[ -a ] # Listen to packets on audio

[ -d device ] # settable to le?, ie?, bf?, tr?

[ -s snaplen ] # Truncate packets

[ -c count ] # Quit after count packets

[ -P ] # Turn OFF promiscuous mode

[ -D ] # Report dropped packets

[ -S ] # Report packet size

[ -i file ] # Read previously captured packets

[ -o file ] # Capture packets in file

[ -n file ] # Load addr-to-name table from file

[ -N ] # Create addr-to-name table

[ -t r|a|d ] # Time: Relative, Absolute or Delta

[ -v ] # Verbose packet display

[ -V ] # Show all summary lines

[ -p first[,last] ] # Select packet(s) to display

[ -x offset[,length] ] # Hex dump from offset for length

[ -C ] # Print packet filter code

例如：

#snoop -o saved A B

监听机器A与B的谈话，并把内容存储于文件saved中

3. tcpdump

tcpdmp也算是一个很有名气的网络监听软件，FREEBSD还把他附带在了系统上，是一个被很多UNIX高手认为是一个专业的网络管理工具。

使用方法:

tcpdump采用命令行方式，它的命令格式为：

tcpdump [ -adeflnNOpqStvx ][ -c 数量 ][ -F 文件名 ][ -i 网络接口 ][ -r 文件名][ -s snaplen ][ -T 类型 ][ -w 文件名 ][表达式 ]

1. tcpdump的选项介绍

-a 将网络地址和广播地址转变成名字；

-d 将匹配信息包的代码以人们能够理解的汇编格式给出；

-dd 将匹配信息包的代码以c语言程序段的格式给出；

-ddd 将匹配信息包的代码以十进制的形式给出；

-e 在输出行打印出数据链路层的头部信息；

-f 将外部的Internet地址以数字的形式打印出来；

-l 使标准输出变为缓冲行形式；

-n 不把网络地址转换成名字；

-t 在输出的每一行不打印时间戳；

-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv 输出详细的报文信息；

-c 在收到指定的包的数目后，tcpdump就会停止；

-F 从指定的文件中读取表达式,忽略其它的表达式；

-i 指定监听的网络接口；

-r 从指定的文件中读取包(这些包一般通过-w选项产生)；

-w 直接将包写入文件中，并不分析和打印出来；

-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc和snmp

2. tcpdump的表达式介绍

表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。

在表达式中一般如下几种类型的关键字，一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.

第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是“ether”的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'||'。

举例使用:

#tcpdump host AAA.BBB.CCC.DDD

将监听IP地址为AAA.BBB.CCC.DDD的机器的通话

#tcpdump tcp port 23 host AAA.BBB.CCC.DDD

将监听IP地址为AAA.BBB.CCC.DDD的机器的23端口的通话

4. dsniff

之所以要谈谈dsniff，是因为他不仅仅是一个sniff，在他的整个套件包中，包含了很多其它有用的工具，如arpspoof，dnsspoof，macof，tcpkill等等，SNIFF的手段更加的多样和复杂化。dsniff是由DugSong开发的你可以在他的主页上找到这个工具。目前dsniff支持OpenBSD (i386), Redhat Linux (i386), 和Solaris (sparc). 并且在FreeBSD, Debian Linux, Slackware Linux, AIX, 和HP-UX上也能运转得很好。但是dsniff需要几个其他的第三方软件进行支持，他们分别是，Berkeley DB ，OpenSSL， libpcap， libnet， libnids。如果条件允许的话，你最好能够亲自读一读dsniff的源代码，你可以在 naughty.monkey.org/~dugsong/ 找到dsniff。

六深入sniff

单纯的sniff的功能始终是局限的，所以在大多数的情况下，sniff往往和其他手段结合起来使用，sniff和spoof已及其他技术手段结合在一起对网络构成的危害是巨大的。单纯的sniff好比缺了一只腿，无法发挥大的作用，例如在sniff原理一节中我们讨论的例子里，我一再的强调我们使用的是一个普通的HUB进行连接是有原因的，如果我们把在图一中的HUB用一个switch代替，那情况就要复杂一些了，如图二所示：

图（二）

在图二中，我们的机器A、B、C与Switch相连接，而Switch通过路由器Router访问外部网络。我们先来了解Switch的工作原理：

在我们图一中的 HUB 只是简单地把所接收到的信号通过所有端口（除了信号来的那个口）重复发送出去不同，而图二中的Switch却可以检查每一个收到的数据包，并对数据包进行相应的处理。在Switch内保存着每一个网段上所有节点的物理地址，只允许必要的网络流量通过Switch。举例来说，当Switch接收到一个数据包之后，根据自身保存的网络地址表检查数据包内包含的发送和接收方地址。如果接收方位于发送方网段，该数据包就会被Switch丢弃，不能通过交换机传送到其它的网段；如果接收方和发送方位于两个不同的网段，该数据包就会被Switch转发到目标网段。这样，通过交换机的过滤和转发，可以有效避免网络广播风暴，减少误包和错包的出现。顺便说一句，现在Switch和HUB的价格相去无几，所以hub正逐渐被网络交换机取代。

现在回到我们的例子中来，在图二中仍然和图一一样，我们假设机器A上的管理员为了维护机器C，使用了一个FTP命令向机器C进行远程登陆，那么在这里，数据是这样走的：首先机器A上的管理员输入的登陆机器C的FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层的包裹，最后送到了物理层，我们的网线上。接下来数据帧送到了Switch上，而Switch检查数据帧中的目的地址，并在他自身保存的网络地址表中知道了他应该把这数据帧发到机器C那里，于是，接下来机器C接收到了从A发来的信息，发现他是发给自己的信息，于是进行分析处理。

OK，现在我们机器B上的管理员的好奇心只能深深的埋藏在心里了，因为数据包根本就没有经过他，就算他把自己的网卡设置成混杂模式也是有力无处使。

在了解在一个Switch环境下原理后，我们结合一些手段去设法sniff，是的，我们可以做到这一点，有许多的手段可以让管理员B满足他的好奇心，在下面我会提出几个办法，当然只是其中的一些办法而已。

1 ARP Spoof

在基于IP通信的内部网中，我们可以使用 ARP Spoof 的手段，了解什么是ARP Spoof的前提你先要明白一下什么是ARP和RARP协议，什么是MAC地址，什么又是IP地址。ARP协议是地址转换协议，RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。

ARP Spoof 攻击的根本原理是因为计算机中维护着一个 ARP 高速缓存，并且这个ARP 高速缓存是随着计算机不断的发出ARP请求和收到ARP响应而不断的更新的，ARP 高速缓存的目的是把机器的IP地址和MAC地址相互映射。你可以使用 arp 命令来查看你自己的 ARP 高速缓存。现在设想一下，一个Switch工作在数据链路层，他根据MAC地址来转发他所接收的数据包，而计算器维护的 ARP 高速缓存却是动态的......你想到什么了吗？

为了加深理解，现在给我们的机器编上号，机器A：IP地址为 10.0.0.1 ,MAC地址为 20-53-52-43-00-01 ,机器B：IP地址为 10.0.0.2 ,MAC地址为 20-53-52-43-00-02,机器C：IP地址为 10.0.0.3 ,MAC地址为 20-53-52-43-00-03 。现在机器B上的管理员是个聪明的家伙，他向机器A发出一个 ARP Reply （协议没有规定一定要等ARP Request出现才能发送ARP Reply，也没有规定一定要发送过ARP Request才能接收ARP Reply），其中的目的IP地址为10.0.0.1，目的MAC地址为 20-53-52-43-00-01 ，而源IP地址为10.0.0.3，源MAC地址为 20-53-52-43-00-02 ，好了，现在机器A更新了他的 ARP 高速缓存，并相信了IP地址为10.0.0.3的机器的MAC地址是 20-53-52-43-00-02 。当机器A上的管理员发出一条FTP命令时---ftp 10.0.0.3，数据包被送到了Switch，Switch查看数据包中的目的地址，发现MAC为 20-53-52-43-00-02 ，于是，他把数据包发到了机器B上。再设想一下，如果不想影响A和C之间的通信该怎么办？你可以同时欺骗他们双方，来一个 man-in-middle 。

当然，在实际的操作中你还需要考虑到一些其他的事，比如某些操作系统在会主动的发送ARP请求包来更新相应的ARP入口等。

2. MAC Flooding

在上面我们曾经提到过，Switch之所以能够由数据包中目的MAC地址判断出他应该把数据包发送到那一个端口上是根据他本身维护的一张地址表。这张地址表可能是动态的也可能是静态的，这要看Switch的厂商和Switch的型号来定，对于某些Switch来说，他维护的是一张动态的地址表，并且地址表的大小是有上限的，比如 3com Superstack Switch 3300 （3c16981 Hardware v.1 Software v.2.10）就是这样一种Switch，我们可以通过发送大量错误的地址信息而使SWITCH维护的地址表“溢出”，从而使他变成广播模式来达到我们要 sniff 机器A与机器C之间的通信的目的。

3. Fake the MAC address

伪造MAC地址也是一个常用的办法，不过这要基于你网络内的Switch是动态更新其地址表，这实际上和我们上面说到的 ARP Spoof 有些类似，只不过现在你是想要Switch相信你，而不是要机器A相信你。因为Switch是动态更新其地址表的，你要做的事情就是告诉Switch：HI,我是机器C。换成技术上的问题你只不过需要向Switch发送伪造过的数据包，其中源MAC地址对应的是机器C的MAC地址，现在Switch就把机器C和你的端口对应起来了。不过其中存在一个问题，现在机器C也会说了：HI，Switch老大，我才是机器C呢！，现在你该怎么办？切，还用问！让他说不了话就可以了，DOS还是其他什么，随便你了......

4. ICMP Router Advertisements

这主要是由ICMP路由器发现协议(IRDP)的缺陷引起的，在Windows 95、98、2000及SunOS、Solaris 2.6等系统中，都使用了IRDP协议，SunOS系统只在某些特定的情况下使用该协议，而Windows95 ,Windows95b, Windows98, Windows98se, 和 Windows2000都是默认的使用IRDP协议。 IRDP协议的主要内容就是告诉人们谁是路由器，设想一下，一个HACK利用IRDP宣称自己是路由器的情况会有多么的糟糕！所有相信HACK的请求的机器把他们所有的数据都发送给HACK所控制的机器.........

5. ICMP Redirect

所谓ICMP重定向，就是指告诉机器向另一个不同的路由发送他的数据包，ICMP重定向通常使用在这样的场合下，假设A与B两台机器分别位于同一个物理网段内的两个逻辑子网内，而A和B都不知道这一点，只有路由器知道，当A发送给B的数据到达路由器的时候，路由器会向A送一个ICMP重定向包裹，告诉A：HI，别再送数据给我转交了，你就直接送到B那里就可以了。设想一下，一个hack完全可以利用这一点，使得A发送给B的数据经过他。

上面提到的这些方法只不是其中的一些，为了配合sniff能够工作得更有效率，还有其他许多的办法，其实sniff的目的说穿了只有一个，就是抓包，从抓包这个概念上引伸下去，所有为了能够抓到网络上的信息包而采用的技术都可以归入sniff，单纯的sniff是没有什么效率的。你还能想到什么吗？进攻路由器，在路由器上放置sniff......，在系统内核中植入sniff......等等。

七如何防止SNIFF

防止sniff最有效的手段就是进行合理的网络分段，并在网络中使用交换机和网桥，在理想的情况下使每一台机器都拥有自己的网络段，当然这会使你的网络建设费用增加很多，所以你可以尽量使相互信任的机器属于同一个网段，使他们互相之间不必担心sniff的存在。并在网段于网段间进行硬件屏障。你也可以使用加密技术对你在网络中传送的敏感数据如户ID或口令，你的银行帐号，商业机密等进行加密，你可以选用SSH等加密手段。为了防止ARP欺骗，你可以使用永久的ARP缓存条目，反正上面的攻击手段和原理你也看了，你就反过来想想该怎么办好了。不过有盾必有矛，平时的安全意识才是最重要的。

（注：以下关于AntiSniff的介绍取至backend翻译整理的L0pht AntiSniff 技术文档一文）

当你做做层层保护后，你还是怀疑自己的网络上存在sniff该怎么办？ L0pht 小组为了探测sniff专门发布了一个软件 AntiSniff，当然这个软件不是免费的：）,AntiSniff 工具用于检测局域网中是否有机器处于混杂模式，AntiSniff Version 1.x被设计为运行在以太网的Windows系统中，提供了简单易用的图形用户界面，AntiSniff Version 1.x 主要工作在非交换环境下的本地网段中，如果运行在交换环境下其功能将大打折扣。AntiSniff Ver 2.0 将不但能在本地网段中，而且能够穿过路由器和交换机进行工作。

◆ 操作系统类特殊测试

Linux 内核测试

旧版本的Linux内核存在一个奇怪的特性，可被用于确定机器是否处于混杂模式。在正常情形下，网卡会过滤和丢弃那些目标地址不是本机MAC地址或以太网广播地址的数据包。如果数据包的目标地址为本机以太网地址或广播地址，将传送给内核进行处理，因为其认为该以太网数据帧包含了本机的正确IP地址或该网络广播地址。如果网卡处于混杂模式，则每个数据包都会传递给操作系统进行分析或处理。许多版本的 Linux内核只检查数据包中的IP地址以确定是否存放到IP堆栈中进行处理。为了利用这一点，AntiSniff构造一个无效以太网地址而IP地址有效的数据包。对于使用了这些内核版本和处于混杂模式的Linux系统，由于只检查到IP地址有效而将其接收并存放到相应堆栈中。通过在这个伪造的以太网数据帧中构造一个ICMP ECHO请求，这些系统会返回响应包(如果处于混杂模式)或忽略(如果不处于混杂模式)，从而暴露其工作模式。当伪造的以太网数据帧中的IP地址设置为网络广播地址时这个测试非常有效。 AntiSniff的使用者可以修改伪造的以太网址，缺省值为66:66:66:66:66:66。

NetBSD

许多NetBSD内核具有与上述Linux内核相同的特性，不过伪造以太网数据帧中的 IP地址必须设为广播地址。

Windows 95/98/NT

根据对网络驱动程序头文件的了解，可以知道当处于混杂模式时，Microsoft的操作系统会确切地检查每个包的以太网地址。如果与网卡的以太网地址匹配，将作为目标IP地址为本机的数据包存放到相应堆栈中处理。可以被利用的一点是系统对以太网广播包的分析。在正常情形下，例如机器工作在非混杂模式下，网卡只向系统内核传输那些目标以太网址与其匹配或为以太网广播地址(ff:ff:ff:ff:ff:ff)的数据包。如果机器处于混杂模式下，网络驱动程序仍然会检查每个数据包的以太网地址，但检查是否为广播包时却只检查头8位地址是否为0xff。因此，为了使处于混杂模式的系统返回响应信息，AntiSniff构造以太网地址为ff:00:00:00:00:00且含有正确目标IP 地址的数据包，当Microsoft的操作系统接收到这个数据包时，将根据网络驱动程序检查到的细微差别而返回响应包(如果处于混杂模式)或丢弃这个数据包(如果处于非混杂模式)。

需要注意的是，这个检查与使用的网络驱动程序有关。Microsoft缺省的网络驱动程序具有以上特性，大多数的厂商为了保持兼容性也继承了这些特性。不过有些网卡会在其硬件层中检查以太网地址的头8位，所以可能会无论系统真正的状态是什么都总是返回正值。关于这类网卡和驱动程序请访问AntiSniff Ver 1.x的web网站。

◆ DNS 测试

进行DNS测试的原因是许多攻击者使用的网络数据收集工具都对IP地址进行反向 DNS解析，因为他们希望根据域名寻找更有价值的主机。例如joepc1.foo.bar对攻击者的吸引力往往不如payroll.foo.bar这种商业域名。此时这些工具就由被动型网络工具变为主动型网络工具了。而不监听网络通讯的机器不会试图反向解析数据包中的 IP地址。为了利用这一点，AntiSniff Ver 1.x使自身处于混杂模式下，向网络发送虚假目标IP地址的数据包，然后监听是否有机器发送该虚假目标IP地址的反向DNS查询。伪造数据包的以太网地址、检查目标、虚假目标IP地址可由用户定制。

◆ 网络和主机响应时间测试

这种测试已被证明是最有效的。它能够发现网络中处于混杂模式的机器，而不管其操作系统是什么。警告，这个测试会在很短的时间内产生巨大的网络通讯流量。进行这种测试的理由是不处于混杂模式的网卡提供了一定的硬件底层过滤机制。也就是说，目标地址非本地(广播地址除外)的数据包将被网卡的固件丢弃。在这种情况下，骤然增加、但目标地址不是本地的网络通讯流量对操作系统的影响只会很小。而处于混杂模式下的机器则缺乏此类底层的过滤，骤然增加、但目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。这些变化可以通过网络通讯流量工具监视到。

根据以上要点，AntiSniff Ver 1.x 首先利用ICMP ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。在得到这个数据后，立刻向本地网络发送大量的伪造数据包。与此同时再次发送测试数据包以确定平均响应时间的变化值。非混杂模式的机器的响应时间变化量会很小，而混杂模式的机器的响应时间变化量则通常会有 1-4个数量级。为了对付攻击者和入侵者们最常用的多种工具，AntiSniff进行了三种网络饱和度测试：SIXTYSIX、TCPSYN和THREEWAY。

* SIXTYSIX测试构造的数据包数据全为0x66。这些数据包不会被非混杂模式的机器接收，同时方便使用常见的网络监听/分析工具(如tcpdump和snoop等)记录和捕获。

* TCPSYN测试构造的数据包包含有效的TCP头和IP头，同时TCP标志域的SYN位被设置。

* THREEWAY测试采取的原理基本上与TCPSYN一样，但更复杂些。在这种测试中两个实际不存在的机器间多次建立完整的TCP三方握手通讯。它能够更好地欺骗那些骇客工具。

AntiSniff Ver 1.x 中能够通过以上三种数据包测试发现正处于混杂模式机器的测试方法最好周期性地进行和与以前的数据比较。响应时间测试第一次运行的数据还能够用于分析一个大型网络在flooding和非flooding状态时的性能，并帮助工程师调整网络性能。一旦确信本地网络已运行在正常(没有未经允许而处于混杂模式的机器) 状态，就应该设置AntiSniff工具周期性运行。只要发现某台机器性能(响应时间)发生数量级的变化，一般就能确定其正处于混杂模式。这种方法不需比较两立系统间的性能数据，而只需比较同一台机器不同时候的数据就能确定该机器是否处于混杂模式。

八结尾

本文旨在向你描述sniff的基本原理，为的是要使你不仅仅能够了解什么是sniff而已，而是要明白sniff运转的根本原理，文章参考了大量的资料，牵涉到直接引用的已经注明出处和作者，非常的感谢他们。在此还要感谢 W.Richhard.Stevens,虽然其人已逝，但留下的TCP/IP三卷本真是造福了大家，文章的很多地方也是拜他老人家指点迷经才得以感悟。最后还要感谢雀巢咖啡，让我得以熬夜把这篇文章写完，呵呵，谢谢大家。

篇7：交换网络中的嗅探及ARP欺骗

交换网络中的嗅探及ARP欺骗！

以太网内的嗅探（sniff）对于网络安全来说并不是什么好事，虽然对于网络管理员能够跟踪数据包并且发现网络问题，但是如果被破坏者利用的话，就对整个网络构成严重的安全威胁，至于嗅探的好处和坏处就不罗嗦了。

这是192.168.10.1机器上的ARP缓存表，假设，A进行一次ping 192.168.10.3操作，PING主机C，会查询本地的ARP缓存表，找到C的IP地址的MAC地址，那么就会进行数据传输，目的地就是C 的MAC地址。如果A中没有C的ARP记录，那么A首先要广播一次ARP请求，当C接收到A 的请求后就发送一个应答，应答中包含有C的MAC地址，然后A接收到C的应答，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

集线器网络(Hub-Based)

很多网络都是用Hub进行连接的。数据包经过Hub传输到其他计算机的时候，Hub只是简单地把这个数据包广播到Hub的所有端口上。这就是上面举例中的一种网络结构。

现在A需要发送TCP数据包给C。首先，A需要检查本地的ARP 缓存表，查看是否有IP为192.168.10.3即C的ARP记录，如果没有那么A将要广播一个ARP请求，当C接收到这个请求后，就作出应答，然后A更新自己的ARP缓存表。并获得与C的IP相对应的MAC地址。这时就传输这个TCP数据包，Ethernet帧中就包含了C的MAC地址。当数据包传输到HUB的时候，HUB直接把整个数据包广播到所有的端口，然后C就能够接收到A发送的数据包。

正因为HUB把数据广播到所有的端口，所以计算机B也能够收到A发送给C的数据包。这正是达到了B嗅探的目的。因此，Hub-Based的网络基本没有安全可言，嗅探在这样的网络中非常容易。

交换网络（Switched Lan）

交换机用来代替HUB，正是为了能够解决HUB的几个安全问题，其中就是能够来解决嗅探问题。Switch不是把数据包进行端口广播，它将通过自己的ARP缓存来决定数据包传输到那个端口上。因此，在交换网络上，如果把上面例子中的HUB换为Switch，B就不会接收到A发送给C的数据包，即便设置网卡为混杂模式，也不能进行嗅探。

这可不是小事。局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192。168。10。3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192。168。10。3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢？网络不通，A根本不能Ping通C！！这就是一个简单的ARP欺骗。

我们来实现这样的ARP欺骗。这里需要使用一个WinPcap提供的API和驱动。（http：//winpcap。polito。it/），winpcap是一个伟大而且开放的项目。Windows环境下的nmap、snort、windump都是使用的winpcap。

于是A接收到一个被伪造的ARP应答。A被欺骗了！！倘若在局域网中看某某机器不顺眼，……以太网中的嗅探太有作用了，但是交换网络对嗅探进行了限制，让嗅探深入程度大打折扣。不过，很容易就能够发现，主机、Switch（动态更新地址表类型，下同）中的缓存表依然是（主要是）动态的。要在一个交换网络中进行有效的嗅探工作（地下党？），需要采用对付各种缓存表的办法，连骗带哄，甚至乱踹，在上面的ARP欺骗基础中我们就能够做到。

对目标进行ARP欺骗

就象上面程序中实现的一样，对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上，

如果进行欺骗的时候，把C的MAC地址骗为BB-BB-BB-BB-BB-BB，于是A发送到C上的数据包都变成发送给B的了。这不正好是B能够接收到A发送的数据包了么，嗅探成功。

A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了！！B对接收到A发送给C的数据包可没有转交给C。做“man in the middle”，进行ARP重定向。打开B的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如B发送ICMP重定向的话就中断了整个计划。直接进行整个包的修改转发，捕获到A发送给的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在B就完全成为A与C的中间桥梁了。

对Switch的MAC欺骗

Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <->Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。举例来说，当Port 1口所接的计算机发出了一个数据帧，这帧数据从Port 1进入交换机，交换机就取这个数据帧的原MAC地址AAAA，然后在地址表中记录：Port 1 <->AAAA，以后，所有发向MAC地址为AAAA的数据帧，就全从Port 1口输出，而不会从其它的口输出。<-><->

跟前面对目标进行欺骗相类似。如果把Switch上的MAC-PORT表修改了，那么对应的MAC和PORT就一样跟着改变，本来不应该发送到嗅探器的数据结果发送过来了，这样也达到了嗅探的目的。修改本地（B）发送的数据包MAC地址为原来A的MAC地址，当经过交换机的时候，交换机发现端口B对应的地址是机器A的MAC地址，于是就将会把A的MAC地址同端口B相对应，从而把发送给A的数据从端口B传输了，本来这些应该是传送到端口A的。因此，从机器B就能够获得发送给A的数据。

但是，这里有一个问题，A将接收不到数据了。嗅探不目的并不是要去破坏正常的数据通讯。同时，从刚才的欺骗中，让交换机中一个MAC地址对应了多个端口，这种对于交换机处理还不清楚。还请多指教。

对Switch进行Flood

就象上面介绍Switch的MAC和Port对应关系形成的原理，因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要嗅探的目的一样能够达到。

存在的问题，Switch对这种极限情况的处理，因为属于不正常情况，可能会引起包丢失情况。而且现在对这种极限情况的Switch状态还很不了解。如果对网络通讯造成了大的破坏，这不属于正常的嗅探（嗅探也会引起一些丢失）。

对Switch进行各种手段的操作，需要小心，如果打开了端口保护，那么可能会让交换机关闭所有用户。因此，对交换机这样的设备进行欺骗或者其他操作，还不如对一些上级设备进行欺骗，比如目标主机或者路由器。

至于上面关于嗅探的手段都是基于这个动态表进行的。因此，使用静态的ARP就能够进行防范了。对于WIN，使用arp -s 来进行静态ARP的设置。