共享式網路下的嗅探原理

Ⅰ 網路嗅探的原理是什麼要寫在實訓報告上的

1. 在乙太網中是基於廣播方式傳送數據的，所有的物理信號都要經過網內所有電腦。

2. 網卡可以置於一種模式叫混雜模式（promiscuous），在這種模式下工作的網卡能夠接收到一切通過它的數據，而不管實際上數據的目的地址是不是它。

這就是SNIFF（網路嗅探）工作的基本原理：讓網卡接收一切他所能接收的數據。

Ⅱ 嗅探是什麼意思

嗅探是一個內衣品牌，名字取自英國詩人西格里夫·薩松的詩句「心有猛虎 細嗅薔薇」，表達一種關注內在的理念吧。

Ⅲ 瀏覽器嗅探是什麼意思

瀏覽器嗅探是指嗅探器。安裝了嗅探器的瀏覽器能夠接收區域網中計算機發出的數據包，並對這些數據進行分析。乙太網中是基於廣播方式傳送數據的，所有的物理信號都要經過主機節點。

使用嗅探工具後，計算機則能接收所有流經本地計算機的數據包，從而實現盜取敏感信息。由於嗅探器的隱蔽性好，只是被動接收數據，而不向外發送數據，所以在傳輸數據的過程中，難以覺察到有人監聽。

1、瀏覽器嗅探的發展背景：

隨著互聯網多層次性、多樣性的發展，網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用，擴展成為運行大量在線游戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和復雜性，因此，這些應用對我們的網路服務質量要求更為嚴格和苛刻。

2、瀏覽器嗅探的作用：

嗅探器可以獲取網路上流經的數據包。 用集線器hub組建的網路是基於共享的原理的， 區域網內所有的計算機都接收相同的數據包， 而網卡構造了硬體的「過濾器「 通過識別MAC地址過濾掉和自己無關的信息。

(3)共享式網路下的嗅探原理擴展閱讀：

防範瀏覽器嗅探的方法：

1、對數據進行加密：對數據的加密是安全的必要條件。其安全級別取決於加密演算法的強度和密鑰的強度。使用加密技術，防止使用明文傳輸信息。

2、實時檢測監控嗅探器：監測網路通訊丟包和帶寬異常情況，及時發現可能存在的網路監聽機器。

3、使用安全的拓樸結構：將非法用戶與敏感的網路資源相互隔離，網路分段越細，則安全程度越大。

參考資料來源：網路-嗅探

Ⅳ 共享式網路與交換式網路中，網路監聽有何不同

.發生在共享式區域網內的竊聽 所謂的「共享式」區域網(Hub-Based Lan)，指的是早期採用集線器HUB作為網路連接設備的傳統乙太網的結構，在這個結構里，所有機器都是共享同一條傳輸線路的，集線器沒有埠的概念，它的數據發送方式是「廣播」， 集線器接收到相應數據時是單純的把數據往它所連接的每一台設備線路上發送的，例如一台機器發送一條「我要和小金說話」的報文，那麼所有連接這個集線器的設備都會收到這條報文，但是只有名字為「小金」的計算機才會接收處理這條報文，而其他無關的計算機則會「不動聲色」的拋棄掉該報文。因此，共享乙太網結構里的數據實際上是沒有隱私性的，只是網卡會「君子」化的忽略掉與自己無關的「閑言碎語」罷了，但是很不巧，網卡在設計時是加入了「工作模式」的選項的，正是這個特性導致了噩夢。每塊網卡基本上都會有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情況下，操作系統會把網卡設置為Broadcast(廣播)模式，在Broadcast模式下，網卡可以接收所有類型為廣播報文的數據幀——例如ARP定址，此外它會忽略掉目標地址並非自己MAC地址的報文，即只接收發往自身的數據報文、廣播和組播報文，這才是網卡的正常工作模式;如果一塊網卡被設置為Unicast或Multicast模式，在區域網里可能會引發異常，因為這兩個模式限制了它的接收報文類型;而Promiscuous(混雜)模式，則是罪惡的根源。在混雜模式里，網卡對報文中的目標MAC地址不加任何檢查而全部接收，這樣就造成無論什麼數據，只要是路過的都會被網卡接收的局面，監聽就是從這里開始的。一般情況下，網卡的工作模式是操作系統設置好的，而且沒有公開模式給用戶選擇，這就限制了普通用戶的監聽實現，但是自從嗅探器(Sniffer)家族發展到一定程度後，開始擁有了設置網卡工作模式的權力，而且矛頭直指Promiscuous，任何用戶只要在相應選擇上打個勾，他的機器就變成了可以記錄區域網內任何機器傳輸的數據的耳朵，由於共享式區域網的特性，所有人都是能收到數據的，這就造成了不可防禦的信息泄漏。可是，最終這種監聽方式還是被基本消滅了，人們用了什麼手段呢?很簡單，區域網結構升級了，變成「交換式區域網」。2、發生在交換式區域網內的竊聽作為與「共享式」相對的「交換式」區域網(Switched Lan)，它的網路連接設備被換成了交換機(Switch)，交換機比集線器聰明的一點是它連接的每台計算機是獨立的，交換機引入了「埠」的概念，它會產生一個地址表用於存放每台與之連接的計算機的MAC地址，從此每個網線介面便作為一個獨立的埠存在，除了聲明為廣播或組播的報文，交換機在一般情況下是不會讓其他報文出現類似共享式區域網那樣的廣播形式發送行為的，這樣即使你的網卡設置為混雜模式，它也收不到發往其他計算機的數據，因為數據的目標地址會在交換機中被識別，然後有針對性的發往表中對應地址的埠，決不跑到別人家裡去。這一改進迅速扼殺了傳統的區域網監聽手段，但是歷史往往證明了人是難以被征服的……(1)、對交換機的攻擊：MAC洪水不知道是誰第一個發現了這種攻擊模式，大概是因為交換機的出現破壞了嗅探器的工作，所以一肚子氣泄到了交換機身上，另一種看法則是精明的技術人員設想交換機的處理器在超過所能承受信息量的時候會發生什麼情況而進行的試驗，無論是從什麼論點出發的，至少這個攻擊模式已經成為現實了：所謂MAC洪水攻擊，就是向交換機發送大量含有虛假MAC地址和IP地址的IP包，使交換機無法處理如此多的信息而引起設備工作異常，也就是所謂的「失效」模式，在這個模式里，交換機的處理器已經不能正常分析數據報和構造查詢地址表了，然後，交換機就會成為一台普通的集線器，毫無選擇的向所有埠發送數據，這個行為被稱作「泛洪發送」，這樣一來攻擊者就能嗅探到所需數據了。不過使用這個方法會為網路帶來大量垃圾數據報文，對於監聽者來說也不是什麼好事，因此MAC洪水使用的案例比較少，而且設計了埠保護的交換機可能會在超負荷時強行關閉所有埠造成網路中斷，所以如今，人們都偏向於使用地址解析協議ARP進行的欺騙性攻擊。(2)、地址解析協議帶來的噩夢回顧前面提到的區域網定址方式，我們已經知道兩台計算機完成通訊依靠的是MAC地址而與IP地址無關，而目標計算機MAC地址的獲取是通過ARP協議廣播得到的，而獲取的地址會保存在MAC地址表裡並定期更新，在這個時間里，計算機是不會再去廣播定址信息獲取目標MAC地址的，這就給了入侵者以可乘之機。當一台計算機要發送數據給另一台計算機時，它會以IP地址為依據首先查詢自身的ARP地址表，如果裡面沒有目標計算機的MAC信息，它就觸發ARP廣播定址數據直到目標計算機返回自身地址報文，而一旦這個地址表裡存在目標計算機的MAC信息，計算機就直接把這個地址作為數據鏈路層的乙太網地址頭部封裝發送出去。為了避免出現MAC地址表保持著錯誤的數據，系統在一個指定的時期過後會清空MAC地址表，重新廣播獲取一份地址列表，而且新的ARP廣播可以無條件覆蓋原來的MAC地址表。假設區域網內有兩台計算機A和B在通訊，而計算機C要作為一個竊聽者的身份得到這兩台計算機的通訊數據，那麼它就必須想辦法讓自己能插入兩台計算機之間的數據線路里，而在這種一對一的交換式網路里，計算機C必須成為一個中間設備才能讓數據得以經過它，要實現這個目標，計算機C就要開始偽造虛假的ARP報文。ARP定址報文分兩種，一種是用於發送定址信息的ARP查詢包，源機器使用它來廣播定址信息，另一種則是目標機器的ARP應答包，用於回應源機器它的MAC地址，在竊聽存在的情況下，如果計算機C要竊聽計算機A的通訊，它就偽造一個IP地址為計算機B而MAC地址為計算機C的虛假ARP應答包發送給計算機A，造成計算機A的MAC地址表錯誤更新為計算機B的IP對應著計算機C的MAC地址的情況，這樣一來，系統通過IP地址獲得的MAC地址都是計算機C的，數據就會發給以監聽身份出現的計算機C了。但這樣會造成一種情況就是作為原目標方的計算機B會接收不到數據，因此充當假冒數據接收角色的計算機C必須擔當一個轉發者的角色，把從計算機A發送的數據返回給計算機B，讓兩機的通訊正常進行，這樣，計算機C就和計算機AB形成了一個通訊鏈路，而對於計算機A和B而言，計算機C始終是透明存在的，它們並不知道計算機C在偷聽數據的傳播。只要計算機C在計算機A重新發送ARP查詢包前及時偽造虛假ARP應答包就能維持著這個通訊鏈路，從而獲得持續的數據記錄，同時也不會造成被監聽者的通訊異常。計算機C為了監聽計算機A和B數據通訊而發起的這種行為，就是「ARP欺騙」(ARP Spoofing)或稱「ARP攻擊」(ARP Attacking)，實際上，真實環境里的ARP欺騙除了嗅探計算機A的數據，通常也會順便把計算機B的數據給嗅探了去，只要計算機C在對計算機A發送偽裝成計算機B的ARP應答包的同時也向計算機B發送偽裝成計算機A的ARP應答包即可，這樣它就可作為一個雙向代理的身份插入兩者之間的通訊鏈路。

Ⅳ 什麼是嗅探工具

嗅探 sniff。嗅探器可以竊聽網路上流經的數據包。

用集線器hub組建的網路是基於共享的原理的，
區域網內所有的計算機都接收相同的數據包，
而網卡構造了硬體的「過濾器「
通過識別MAC地址過濾掉和自己無關的信息，
嗅探程序只需關閉這個過濾器，
將網卡設置為「混雜模式「就可以進行嗅探
用交換機switch組建的網路是基於「交換「原理的
，交換機不是把數據包發到所有的埠上，
而是發到目的網卡所在的埠。
這樣嗅探起來會麻煩一些，嗅探程序一般利用「ARP欺騙「的方法
，通過改變MAC地址等手段，欺騙交換機將數據包發給自己，
嗅探分析完畢再轉發出去

Ⅵ 手機視頻嗅探是什麼

一般指嗅探器。嗅探器 可以竊聽網路上流經的數據包。 用集線器hub組建的網路是基於共享的原理的， 區域網內所有的計算機都接收相同的數據包， 而網卡構造了硬體的「過濾器「 通過識別MAC地址過濾掉和自己無關的信息， 嗅探程序只需關閉這個過濾器， 將網卡設置為「混雜模式「就可以進行嗅探 用交換機switch組建的網路是基於「交換「原理的 ，交換機不是把數據包發到所有的埠上， 而是發到目的網卡所在的埠。

Ⅶ 嗅探工具主要是用來幹嘛的

一般指嗅探器。嗅探器 可以獲取網路上流經的數據包。 用集線器hub組建的網路是基於共享的原理的， 區域網內所有的計算機都接收相同的數據包， 而網卡構造了硬體的「過濾器「 通過識別MAC地址過濾掉和自己無關的信息， 嗅探程序只需關閉這個過濾器， 將網卡設置為「混雜模式「就可以進行嗅探 用交換機switch組建的網路是基於「交換「原理的 ，交換機不是把數據包發到所有的埠上， 而是發到目的網卡所在的埠。

Ⅷ 網路嗅探誰能給我詮釋一下

提到網路嗅探大家都知道sniffer了，sneff是嗅探的意思，sniffer自然就是嗅探器的含義了。Sniffer是利用計算機的網路介面截獲目的地為其它計算機的數據報文的一種工具。嗅探器最早是為網路管理人員配備的工具，有了嗅探器網路管理員可以隨時掌握網路的實際情況，查找網路漏洞和檢測網路性能，當網路性能急劇下降的時候，可以通過嗅探器分析網路流量，找出網路阻塞的來源。嗅探器也是很多程序人員在編寫網路程序時抓包測試的工具，因為我們知道網路程序都是以數據包的形式在網路中進行傳輸的，因此難免有協議頭定義不對的。

了解了嗅探器的基本用法，那它跟我們的網路安全有什麼關系？

任何東西都有它的兩面性，在黑客的手中，嗅探器就變成了一個黑客利器，上面我們已經提到了arp欺騙，這里再詳細講解arp欺騙的基本原理，實現方法，防範方式，因為很多攻擊方式都要涉及到arp欺騙，如會話劫持和ip欺騙。首先要把網路置於混雜模式，再通過欺騙抓包的方式來獲取目標主機的pass包，當然得在同一個交換環境下，也就是要先取得目標伺服器的同一網段的一台伺服器。

Arp是什麼？arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議，或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議，它靠維持在內存中保存的一張表來使ip得以在網路上被目標機器應答。ARP就是IP地址與物理之間的轉換，當你在傳送數據時，IP包里就有源IP地址、源MAC地址、目標IP地址，如果在ARP表中有相對應的MAC地址，那麼它就直接訪問，反之，它就要廣播出去，對方的IP地址和你發出的目標IP地址相同，那麼對方就會發一個MAC地址給源主機。而ARP欺騙就在此處開始，侵略者若接聽到你發送的IP地址，那麼，它就可以仿冒目標主機的IP地址，然後返回自己主機的MAC地址給源主機。因為源主機發送的IP包沒有包括目標主機的MAC地址，而ARP表裡面又沒有目標IP地址和目標MAC地址的對應表。所以，容易產生ARP欺騙。例如：我們假設有三台主機A,B,C位於同一個交換式區域網中，監聽者處於主機A，而主機B,C正在通信。現在A希望能嗅探到B->C的數據， 於是A就可以偽裝成C對B做ARP欺騙——向B發送偽造的ARP應答包，應答包中IP地址為C的IP地址而MAC地址為A的MAC地址。 這個應答包會刷新B的ARP緩存，讓B認為A就是C，說詳細點，就是讓B認為C的IP地址映射到的MAC地址為主機A的MAC地址。 這樣，B想要發送給C的數據實際上卻發送給了A，就達到了嗅探的目的。我們在嗅探到數據後，還必須將此數據轉發給C， 這樣就可以保證B,C的通信不被中斷。
以上就是基於ARP欺騙的嗅探基本原理，在這種嗅探方法中，嗅探者A實際上是插入到了B->C中， B的數據先發送給了A，然後再由A轉發給C，其數據傳輸關系如下所示：

B----->A----->C

B<----A<------C

當然黑洞在進行欺騙的時候還需要進行抓包和對包進行過慮得到他們想要的信息，如用戶名、口令等。雖然網路中的數據包是以二進制的方式進行傳輸的，但嗅探器的抓包和重組還有過濾等都為他們做了這一切。

p;

網路嗅探有三種方式，一種是mac洪水，即攻擊者向交換機發送大量的虛假mac地址數據，交換機在應接不暇的情況下就象一台普通的hub那樣只是簡單的向所有埠廣播數據了，這時嗅探者就可以借機進行竊聽，但如果交換機使用靜態地址映射表的話，這種方法就不行了。第二種方式是mac地址復制，即修改本地的mac地址，使其與欲嗅探主機的mac地址相同，這樣交換機將會發現有兩個埠對應相同的mac地址，於是到該mac地址的數據包同時從這兩個埠中發出去。

第三種方式就是用得最多的了--------arp欺騙。我們可以看下自己的機器，在剛開機的時候在dos中輸入arp –a(查看本機arp緩存表的內容)可以看到arp緩存表是空的。

如：Microsoft Windows [版本 5.2.3790]

(C) 版權所有 1985-2003 Microsoft Corp.

D:\>arp -a

No ARP Entries Found

D:\>

那麼我們ping一下網關再輸入arp –a查看一下。

D:\>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.0.1:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

^C

D:\>arp -a

Interface: 192.168.0.6 --- 0x10003

Internet Address Physical Address Type

192.168.0.1 00-0a-e6-48-41-8b dynamic

D:\>

從上面的ping命令，我們分析包的結果是，首先本機發出一個arp包詢問誰是192.168.0.1？192.168.0.1回應一個arp包，並返回一個mac地址，接下來本機再發送request請求，目標機回應該一個reply包，最後將mac地址保存在arp緩存中。

我們再來舉一個arp欺騙的實例：

交換區域網中有A、B、C三台機器，假設ip地址和mac地址如下：

A主機：ip地址為：192.168.0.1,mac地址為：0a:0a:0a:0a:0a:0a

B主機：ip地址為：192.168.0.2,mac地址為：0b:0b:0b:0b:0b:0b

C主機：ip地址為：192.168.0.3,mac地址為：0c:0c:0c:0c:0c:0c

Ⅸ 如何使用sniffer對本地主機進行嗅探，抓取數據包

Sniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。使用這種工具，可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。當信息以明文的形式在網路上傳輸時，便可以使用網路監聽的方式來進行攻擊。將網路介面設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨幹網路的路由器曾經被黑客攻人，並嗅探到大量的用戶口令。本文將詳細介紹Sniffer的原理和應用。 一、Sniffer 原理 1．網路技術與設備簡介 在講述Sni計er的概念之前，首先需要講述區域網設備的一些基本概念。 數據在網路上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網路驅動程序的軟體進行成型，然後通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀，並告訴操作系統幀已到達，然後對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。 每一個在區域網（LAN）上的工作站都有其硬體地址，這些地址惟一地表示了網路上的機器（這一點與Internet地址系統比較相似）。當用戶發送一個數據包時，這些數據包就會發送到LAN上所有可用的機器。 在一般情況下，網路上所有的機器都可以「聽」到通過的流量，但對不屬於自己的數據包則不予響應（換句話說，工作站A不會捕獲屬於工作站B的數據，而是簡單地忽略這些數據）。如果某個工作站的網路介面處於混雜模式（關於混雜模式的概念會在後面解釋），那麼它就可以捕獲網路上所有的數據包和幀。 2．網路監聽原理 Sniffer程序是一種利用乙太網的特性把網路適配卡（NIC，一般為乙太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網路上的每一個信息包。 普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使Sniffer能接收並處理這種方式的信息

Ⅹ 網路嗅探的工作原理

我們通常所說的「Packet sniffer」指的是一種插入到計算機網路中的偷聽網路通信的設備，就像是電話監控能聽到其他人通過電話的交談一樣。與電話電路不同，計算機網路是共享通信通道的。共享意味著計算機能夠接收到發送給其他計算機的信息。捕獲在網路中傳輸的數據信息就稱為Sniffing（竊聽）。
一個「Sniffer」程序能使某人「聽」到計算機網路的會話。不同的是，計算機的會話包括的顯然就是隨機的二進制數據。因此網路偷聽程序也因為它的「協議分析」特性而著名，「協議分析」就是對於計算機的通信進行解碼並使它變得有意義。