網路嗅探的檢測方法有哪些

❶ 網路嗅探誰能給我詮釋一下

提到網路嗅探大家都知道sniffer了，sneff是嗅探的意思，sniffer自然就是嗅探器的含義了。Sniffer是利用計算機的網路介面截獲目的地為其它計算機的數據報文的一種工具。嗅探器最早是為網路管理人員配備的工具，有了嗅探器網路管理員可以隨時掌握網路的實際情況，查找網路漏洞和檢測網路性能，當網路性能急劇下降的時候，可以通過嗅探器分析網路流量，找出網路阻塞的來源。嗅探器也是很多程序人員在編寫網路程序時抓包測試的工具，因為我們知道網路程序都是以數據包的形式在網路中進行傳輸的，因此難免有協議頭定義不對的。

了解了嗅探器的基本用法，那它跟我們的網路安全有什麼關系？

任何東西都有它的兩面性，在黑客的手中，嗅探器就變成了一個黑客利器，上面我們已經提到了arp欺騙，這里再詳細講解arp欺騙的基本原理，實現方法，防範方式，因為很多攻擊方式都要涉及到arp欺騙，如會話劫持和ip欺騙。首先要把網路置於混雜模式，再通過欺騙抓包的方式來獲取目標主機的pass包，當然得在同一個交換環境下，也就是要先取得目標伺服器的同一網段的一台伺服器。

Arp是什麼？arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議，或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議，它靠維持在內存中保存的一張表來使ip得以在網路上被目標機器應答。ARP就是IP地址與物理之間的轉換，當你在傳送數據時，IP包里就有源IP地址、源MAC地址、目標IP地址，如果在ARP表中有相對應的MAC地址，那麼它就直接訪問，反之，它就要廣播出去，對方的IP地址和你發出的目標IP地址相同，那麼對方就會發一個MAC地址給源主機。而ARP欺騙就在此處開始，侵略者若接聽到你發送的IP地址，那麼，它就可以仿冒目標主機的IP地址，然後返回自己主機的MAC地址給源主機。因為源主機發送的IP包沒有包括目標主機的MAC地址，而ARP表裡面又沒有目標IP地址和目標MAC地址的對應表。所以，容易產生ARP欺騙。例如：我們假設有三台主機A,B,C位於同一個交換式區域網中，監聽者處於主機A，而主機B,C正在通信。現在A希望能嗅探到B->C的數據， 於是A就可以偽裝成C對B做ARP欺騙——向B發送偽造的ARP應答包，應答包中IP地址為C的IP地址而MAC地址為A的MAC地址。 這個應答包會刷新B的ARP緩存，讓B認為A就是C，說詳細點，就是讓B認為C的IP地址映射到的MAC地址為主機A的MAC地址。 這樣，B想要發送給C的數據實際上卻發送給了A，就達到了嗅探的目的。我們在嗅探到數據後，還必須將此數據轉發給C， 這樣就可以保證B,C的通信不被中斷。
以上就是基於ARP欺騙的嗅探基本原理，在這種嗅探方法中，嗅探者A實際上是插入到了B->C中， B的數據先發送給了A，然後再由A轉發給C，其數據傳輸關系如下所示：

B----->A----->C

B<----A<------C

當然黑洞在進行欺騙的時候還需要進行抓包和對包進行過慮得到他們想要的信息，如用戶名、口令等。雖然網路中的數據包是以二進制的方式進行傳輸的，但嗅探器的抓包和重組還有過濾等都為他們做了這一切。

p;

網路嗅探有三種方式，一種是mac洪水，即攻擊者向交換機發送大量的虛假mac地址數據，交換機在應接不暇的情況下就象一台普通的hub那樣只是簡單的向所有埠廣播數據了，這時嗅探者就可以借機進行竊聽，但如果交換機使用靜態地址映射表的話，這種方法就不行了。第二種方式是mac地址復制，即修改本地的mac地址，使其與欲嗅探主機的mac地址相同，這樣交換機將會發現有兩個埠對應相同的mac地址，於是到該mac地址的數據包同時從這兩個埠中發出去。

第三種方式就是用得最多的了--------arp欺騙。我們可以看下自己的機器，在剛開機的時候在dos中輸入arp –a(查看本機arp緩存表的內容)可以看到arp緩存表是空的。

如：Microsoft Windows [版本 5.2.3790]

(C) 版權所有 1985-2003 Microsoft Corp.

D:\>arp -a

No ARP Entries Found

D:\>

那麼我們ping一下網關再輸入arp –a查看一下。

D:\>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.0.1:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

^C

D:\>arp -a

Interface: 192.168.0.6 --- 0x10003

Internet Address Physical Address Type

192.168.0.1 00-0a-e6-48-41-8b dynamic

D:\>

從上面的ping命令，我們分析包的結果是，首先本機發出一個arp包詢問誰是192.168.0.1？192.168.0.1回應一個arp包，並返回一個mac地址，接下來本機再發送request請求，目標機回應該一個reply包，最後將mac地址保存在arp緩存中。

我們再來舉一個arp欺騙的實例：

交換區域網中有A、B、C三台機器，假設ip地址和mac地址如下：

A主機：ip地址為：192.168.0.1,mac地址為：0a:0a:0a:0a:0a:0a

B主機：ip地址為：192.168.0.2,mac地址為：0b:0b:0b:0b:0b:0b

C主機：ip地址為：192.168.0.3,mac地址為：0c:0c:0c:0c:0c:0c

❷ 有幾種網路連接測試命令和方法

Ping是測試網路聯接狀況以及信息包發送和接收狀況非常有用的工具，是網路測試最常用的命令。Ping向目標主機(地址)發送一個回送請求數據包，要求目標主機收到請求後給予答復，從而判斷網路的響應時間和本機是否與目標主機(地址)聯通。

Tracert命令用來顯示數據包到達目標主機所經過的路徑，並顯示到達每個節點的時間。命令功能同Ping類似，但它所獲得的信息要比Ping命令詳細得多，它把數據包所走的全部路徑、節點的IP以及花費的時間都顯示出來。該命令比較適用於大型網路。

Netstat命令可以幫助網路管理員了解網路的整體使用情況。它可以顯示當前正在活動的網路連接的詳細信息，例如顯示網路連接、路由表和網路介面信息，可以統計目前總共有哪些網路連接正在運行。

Winipcfg命令以窗口的形式顯示IP協議的具體配置信息，命令可以顯示網路適配器的物理地址、主機的IP地址、子網掩碼以及默認網關等，還可以查看主機名、DNS伺服器、節點類型等相關信息。其中網路適配器的物理地址在檢測網路錯誤時非常有用。

❸ 抓包工具有哪些

你在編程的時候才需要做抓包操作，你沒有必要專門下載一個工具，你只要使用chrome瀏覽器會自動的帶一款工具，而且非常有用。