在共享式網路上進行嗅探的特點

1. 什麼是嗅探工具

嗅探 sniff。嗅探器可以竊聽網路上流經的數據包。

用集線器hub組建的網路是基於共享的原理的，
區域網內所有的計算機都接收相同的數據包，
而網卡構造了硬體的「過濾器「
通過識別MAC地址過濾掉和自己無關的信息，
嗅探程序只需關閉這個過濾器，
將網卡設置為「混雜模式「就可以進行嗅探
用交換機switch組建的網路是基於「交換「原理的
，交換機不是把數據包發到所有的埠上，
而是發到目的網卡所在的埠。
這樣嗅探起來會麻煩一些，嗅探程序一般利用「ARP欺騙「的方法
，通過改變MAC地址等手段，欺騙交換機將數據包發給自己，
嗅探分析完畢再轉發出去

2. 用嗅探器探數據包時的工作原理

網路嗅探器，可以理解為一個安裝在計算機上的竊聽設備，它可以用來竊聽計算機在網路上所產生的眾多的信息，可以竊聽計算機程序在網路上發送和接收到的數據，用來接收在網路上傳輸的信息。
很多計算機網路採用的是「共享媒體"。也就是說，不必中斷他的通訊，並且配置特別的線路，再安裝嗅探器，幾乎可以在任何連接著的網路上直接竊聽到同一掩碼范圍內的計算機網路數據。這種竊聽方式為「基於混雜模式的嗅探」（promiscuous mode）。
2.1 乙太網的工作原理
乙太網的數據傳輸是基於「共享」原理的：所有的同一本地網范圍內的計算機共同接收到相同的數據包。這意味著計算機直接的通訊都是透明可見的。正是因為這樣的原因，乙太網卡都構造了硬體的「過濾器」,這個過濾器將忽略掉一切和自己無關的網路信息。事實上是忽略掉了與自身MAC地址不符合的信息。嗅探程序正是利用了這個特點，它把網卡設置為「混雜模式」。因此，嗅探程序就能夠接收到整個乙太網內的網路數據信息了。
在乙太網中所有的通訊都是廣播的，也就是說通常在同一個網段的所有網路介面都可以訪問在物理媒體上傳輸的所有數據，而每一個網路介面都有一個唯一的硬體地址，這個硬體地址也就是網卡的MAC地址。大多數系統使用48比特的地址，這個地址用來表示
網路中的每一個設備。一般來說每一塊網卡上的MAC地址都是不同的，每個網卡廠家得到一段地址，然後用這段地址分配給其生產的每個網卡一個地址。在硬體地址和IP地址間使用ARP和RARP協議進行相互轉換。
在正常的情況下，一個網路介面應該只響應這樣的兩種數據幀：
① 與自己硬體地址相匹配的數據幀。
② 發向所有機器的廣播數據幀。
2.2 網卡的工作原理
在一個實際的系統中，數據的收發是由網卡來完成的。網卡接收到傳輸來的數據，網卡內的單片程序接收數據幀的目的MAC地址。根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收。認為該接收就接收後產生中斷信號通知CPU；認為不該接收就丟掉不管。所以不該接收的數據，網卡就截斷了，計算機根本就不知道。CPU得到中斷信號產生中斷，操作系統就根據網卡的驅動程序設置的網卡中斷程序地址調用驅動程序接收數據，驅動程序接收數據後放入信號堆棧讓操作系統處理。
對於網卡一般有四種接收模式：
① 廣播方式：該模式下的網卡能夠接收網路中的廣播信息。
② 組播方式：設置在該模式下的網卡能夠接收組播數據。
③ 直接方式：在這種模式下，只有目的網卡才能接收該數據。
④ 混雜模式：在這種模式下的網卡能夠接收一切通過它的數據,而不管該數據是否是傳給它的

還有一種嗅探器是工作在本地的，專門嗅探本機的流量里的特殊數據，例如影音文件等，他的工作原理是創建虛擬硬體監聽網卡的數據包，然後分析數據包，找出需要嗅探的信息來

3. 瀏覽器嗅探是什麼意思

瀏覽器嗅探是指嗅探器。安裝了嗅探器的瀏覽器能夠接收區域網中計算機發出的數據包，並對這些數據進行分析。乙太網中是基於廣播方式傳送數據的，所有的物理信號都要經過主機節點。

使用嗅探工具後，計算機則能接收所有流經本地計算機的數據包，從而實現盜取敏感信息。由於嗅探器的隱蔽性好，只是被動接收數據，而不向外發送數據，所以在傳輸數據的過程中，難以覺察到有人監聽。

1、瀏覽器嗅探的發展背景：

隨著互聯網多層次性、多樣性的發展，網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用，擴展成為運行大量在線游戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和復雜性，因此，這些應用對我們的網路服務質量要求更為嚴格和苛刻。

2、瀏覽器嗅探的作用：

嗅探器可以獲取網路上流經的數據包。 用集線器hub組建的網路是基於共享的原理的， 區域網內所有的計算機都接收相同的數據包， 而網卡構造了硬體的「過濾器「 通過識別MAC地址過濾掉和自己無關的信息。

(3)在共享式網路上進行嗅探的特點擴展閱讀：

防範瀏覽器嗅探的方法：

1、對數據進行加密：對數據的加密是安全的必要條件。其安全級別取決於加密演算法的強度和密鑰的強度。使用加密技術，防止使用明文傳輸信息。

2、實時檢測監控嗅探器：監測網路通訊丟包和帶寬異常情況，及時發現可能存在的網路監聽機器。

3、使用安全的拓樸結構：將非法用戶與敏感的網路資源相互隔離，網路分段越細，則安全程度越大。

參考資料來源：網路-嗅探

4. 哪個版本的迅雷可以嗅探

迅雷的7.2版本和尊享版1.1均支持開啟嗅探功能。迅雷是由迅雷公司開發的互聯網下載軟體，它利用多資源超線程技術，為用戶提供高效、快速的下載服務。作為一款「寬頻時代的下載工具」，迅雷針對寬頻用戶進行了優化，並推出了「智能下載」服務，讓用戶能夠更便捷地管理自己的下載任務。

嗅探器是一種網路工具，可以捕獲網路上傳輸的數據包。在採用集線器（Hub）組建的網路中，由於數據是共享傳輸的，區域網內所有計算機都能接收到相同的數據包。然而，網卡通過構建硬體「過濾器」，能夠識別並過濾掉與自己無關的信息。嗅探程序通過關閉這個過濾器，將網卡設置為「混雜模式」，即可對網路上的數據包進行嗅探和監聽。而在採用交換機（Switch）組建的網路中，交換機是根據數據包的目標MAC地址進行傳輸的，它不會將數據包發送到所有的埠，而是只發送到目標網卡所在的埠。因此，在交換機網路中，嗅探的難度相對較高。

迅雷的嗅探功能允許用戶捕獲並解析網路上的數據包，這對於網路管理員或安全專家來說是非常有用的工具。通過嗅探功能，用戶可以監控網路流量，檢測潛在的網路攻擊或異常行為。此外，迅雷的嗅探功能還可以用於網路故障排查和性能優化等方面。

總的來說，迅雷的嗅探功能為用戶提供了一個強大的網路分析工具，能夠幫助用戶更好地管理和維護網路環境。然而，需要注意的是，使用嗅探功能應遵守相關法律法規和道德准則，不得用於非法監聽或侵犯他人隱私的行為。

5. 共享式網路與交換式網路中，網路監聽有何不同

.發生在共享式區域網內的竊聽 所謂的「共享式」區域網(Hub-Based Lan)，指的是早期採用集線器HUB作為網路連接設備的傳統乙太網的結構，在這個結構里，所有機器都是共享同一條傳輸線路的，集線器沒有埠的概念，它的數據發送方式是「廣播」， 集線器接收到相應數據時是單純的把數據往它所連接的每一台設備線路上發送的，例如一台機器發送一條「我要和小金說話」的報文，那麼所有連接這個集線器的設備都會收到這條報文，但是只有名字為「小金」的計算機才會接收處理這條報文，而其他無關的計算機則會「不動聲色」的拋棄掉該報文。因此，共享乙太網結構里的數據實際上是沒有隱私性的，只是網卡會「君子」化的忽略掉與自己無關的「閑言碎語」罷了，但是很不巧，網卡在設計時是加入了「工作模式」的選項的，正是這個特性導致了噩夢。每塊網卡基本上都會有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情況下，操作系統會把網卡設置為Broadcast(廣播)模式，在Broadcast模式下，網卡可以接收所有類型為廣播報文的數據幀——例如ARP定址，此外它會忽略掉目標地址並非自己MAC地址的報文，即只接收發往自身的數據報文、廣播和組播報文，這才是網卡的正常工作模式;如果一塊網卡被設置為Unicast或Multicast模式，在區域網里可能會引發異常，因為這兩個模式限制了它的接收報文類型;而Promiscuous(混雜)模式，則是罪惡的根源。在混雜模式里，網卡對報文中的目標MAC地址不加任何檢查而全部接收，這樣就造成無論什麼數據，只要是路過的都會被網卡接收的局面，監聽就是從這里開始的。一般情況下，網卡的工作模式是操作系統設置好的，而且沒有公開模式給用戶選擇，這就限制了普通用戶的監聽實現，但是自從嗅探器(Sniffer)家族發展到一定程度後，開始擁有了設置網卡工作模式的權力，而且矛頭直指Promiscuous，任何用戶只要在相應選擇上打個勾，他的機器就變成了可以記錄區域網內任何機器傳輸的數據的耳朵，由於共享式區域網的特性，所有人都是能收到數據的，這就造成了不可防禦的信息泄漏。可是，最終這種監聽方式還是被基本消滅了，人們用了什麼手段呢?很簡單，區域網結構升級了，變成「交換式區域網」。2、發生在交換式區域網內的竊聽作為與「共享式」相對的「交換式」區域網(Switched Lan)，它的網路連接設備被換成了交換機(Switch)，交換機比集線器聰明的一點是它連接的每台計算機是獨立的，交換機引入了「埠」的概念，它會產生一個地址表用於存放每台與之連接的計算機的MAC地址，從此每個網線介面便作為一個獨立的埠存在，除了聲明為廣播或組播的報文，交換機在一般情況下是不會讓其他報文出現類似共享式區域網那樣的廣播形式發送行為的，這樣即使你的網卡設置為混雜模式，它也收不到發往其他計算機的數據，因為數據的目標地址會在交換機中被識別，然後有針對性的發往表中對應地址的埠，決不跑到別人家裡去。這一改進迅速扼殺了傳統的區域網監聽手段，但是歷史往往證明了人是難以被征服的……(1)、對交換機的攻擊：MAC洪水不知道是誰第一個發現了這種攻擊模式，大概是因為交換機的出現破壞了嗅探器的工作，所以一肚子氣泄到了交換機身上，另一種看法則是精明的技術人員設想交換機的處理器在超過所能承受信息量的時候會發生什麼情況而進行的試驗，無論是從什麼論點出發的，至少這個攻擊模式已經成為現實了：所謂MAC洪水攻擊，就是向交換機發送大量含有虛假MAC地址和IP地址的IP包，使交換機無法處理如此多的信息而引起設備工作異常，也就是所謂的「失效」模式，在這個模式里，交換機的處理器已經不能正常分析數據報和構造查詢地址表了，然後，交換機就會成為一台普通的集線器，毫無選擇的向所有埠發送數據，這個行為被稱作「泛洪發送」，這樣一來攻擊者就能嗅探到所需數據了。不過使用這個方法會為網路帶來大量垃圾數據報文，對於監聽者來說也不是什麼好事，因此MAC洪水使用的案例比較少，而且設計了埠保護的交換機可能會在超負荷時強行關閉所有埠造成網路中斷，所以如今，人們都偏向於使用地址解析協議ARP進行的欺騙性攻擊。(2)、地址解析協議帶來的噩夢回顧前面提到的區域網定址方式，我們已經知道兩台計算機完成通訊依靠的是MAC地址而與IP地址無關，而目標計算機MAC地址的獲取是通過ARP協議廣播得到的，而獲取的地址會保存在MAC地址表裡並定期更新，在這個時間里，計算機是不會再去廣播定址信息獲取目標MAC地址的，這就給了入侵者以可乘之機。當一台計算機要發送數據給另一台計算機時，它會以IP地址為依據首先查詢自身的ARP地址表，如果裡面沒有目標計算機的MAC信息，它就觸發ARP廣播定址數據直到目標計算機返回自身地址報文，而一旦這個地址表裡存在目標計算機的MAC信息，計算機就直接把這個地址作為數據鏈路層的乙太網地址頭部封裝發送出去。為了避免出現MAC地址表保持著錯誤的數據，系統在一個指定的時期過後會清空MAC地址表，重新廣播獲取一份地址列表，而且新的ARP廣播可以無條件覆蓋原來的MAC地址表。假設區域網內有兩台計算機A和B在通訊，而計算機C要作為一個竊聽者的身份得到這兩台計算機的通訊數據，那麼它就必須想辦法讓自己能插入兩台計算機之間的數據線路里，而在這種一對一的交換式網路里，計算機C必須成為一個中間設備才能讓數據得以經過它，要實現這個目標，計算機C就要開始偽造虛假的ARP報文。ARP定址報文分兩種，一種是用於發送定址信息的ARP查詢包，源機器使用它來廣播定址信息，另一種則是目標機器的ARP應答包，用於回應源機器它的MAC地址，在竊聽存在的情況下，如果計算機C要竊聽計算機A的通訊，它就偽造一個IP地址為計算機B而MAC地址為計算機C的虛假ARP應答包發送給計算機A，造成計算機A的MAC地址表錯誤更新為計算機B的IP對應著計算機C的MAC地址的情況，這樣一來，系統通過IP地址獲得的MAC地址都是計算機C的，數據就會發給以監聽身份出現的計算機C了。但這樣會造成一種情況就是作為原目標方的計算機B會接收不到數據，因此充當假冒數據接收角色的計算機C必須擔當一個轉發者的角色，把從計算機A發送的數據返回給計算機B，讓兩機的通訊正常進行，這樣，計算機C就和計算機AB形成了一個通訊鏈路，而對於計算機A和B而言，計算機C始終是透明存在的，它們並不知道計算機C在偷聽數據的傳播。只要計算機C在計算機A重新發送ARP查詢包前及時偽造虛假ARP應答包就能維持著這個通訊鏈路，從而獲得持續的數據記錄，同時也不會造成被監聽者的通訊異常。計算機C為了監聽計算機A和B數據通訊而發起的這種行為，就是「ARP欺騙」(ARP Spoofing)或稱「ARP攻擊」(ARP Attacking)，實際上，真實環境里的ARP欺騙除了嗅探計算機A的數據，通常也會順便把計算機B的數據給嗅探了去，只要計算機C在對計算機A發送偽裝成計算機B的ARP應答包的同時也向計算機B發送偽裝成計算機A的ARP應答包即可，這樣它就可作為一個雙向代理的身份插入兩者之間的通訊鏈路。