共享式网络下的嗅探原理

Ⅰ 网络嗅探的原理是什么要写在实训报告上的

1. 在以太网中是基于广播方式传送数据的，所有的物理信号都要经过网内所有电脑。

2. 网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是它。

这就是SNIFF（网络嗅探）工作的基本原理：让网卡接收一切他所能接收的数据。

Ⅱ 嗅探是什么意思

嗅探是一个内衣品牌，名字取自英国诗人西格里夫·萨松的诗句“心有猛虎 细嗅蔷薇”，表达一种关注内在的理念吧。

Ⅲ 浏览器嗅探是什么意思

浏览器嗅探是指嗅探器。安装了嗅探器的浏览器能够接收局域网中计算机发出的数据包，并对这些数据进行分析。以太网中是基于广播方式传送数据的，所有的物理信号都要经过主机节点。

使用嗅探工具后，计算机则能接收所有流经本地计算机的数据包，从而实现盗取敏感信息。由于嗅探器的隐蔽性好，只是被动接收数据，而不向外发送数据，所以在传输数据的过程中，难以觉察到有人监听。

1、浏览器嗅探的发展背景：

随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。

2、浏览器嗅探的作用：

嗅探器可以获取网络上流经的数据包。 用集线器hub组建的网络是基于共享的原理的， 局域网内所有的计算机都接收相同的数据包， 而网卡构造了硬件的“过滤器“ 通过识别MAC地址过滤掉和自己无关的信息。

(3)共享式网络下的嗅探原理扩展阅读：

防范浏览器嗅探的方法：

1、对数据进行加密：对数据的加密是安全的必要条件。其安全级别取决于加密算法的强度和密钥的强度。使用加密技术，防止使用明文传输信息。

2、实时检测监控嗅探器：监测网络通讯丢包和带宽异常情况，及时发现可能存在的网络监听机器。

3、使用安全的拓朴结构：将非法用户与敏感的网络资源相互隔离，网络分段越细，则安全程度越大。

参考资料来源：网络-嗅探

Ⅳ 共享式网络与交换式网络中，网络监听有何不同

.发生在共享式局域网内的窃听 所谓的“共享式”局域网(Hub-Based Lan)，指的是早期采用集线器HUB作为网络连接设备的传统以太网的结构，在这个结构里，所有机器都是共享同一条传输线路的，集线器没有端口的概念，它的数据发送方式是“广播”， 集线器接收到相应数据时是单纯的把数据往它所连接的每一台设备线路上发送的，例如一台机器发送一条“我要和小金说话”的报文，那么所有连接这个集线器的设备都会收到这条报文，但是只有名字为“小金”的计算机才会接收处理这条报文，而其他无关的计算机则会“不动声色”的抛弃掉该报文。因此，共享以太网结构里的数据实际上是没有隐私性的，只是网卡会“君子”化的忽略掉与自己无关的“闲言碎语”罢了，但是很不巧，网卡在设计时是加入了“工作模式”的选项的，正是这个特性导致了噩梦。每块网卡基本上都会有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情况下，操作系统会把网卡设置为Broadcast(广播)模式，在Broadcast模式下，网卡可以接收所有类型为广播报文的数据帧——例如ARP寻址，此外它会忽略掉目标地址并非自己MAC地址的报文，即只接收发往自身的数据报文、广播和组播报文，这才是网卡的正常工作模式;如果一块网卡被设置为Unicast或Multicast模式，在局域网里可能会引发异常，因为这两个模式限制了它的接收报文类型;而Promiscuous(混杂)模式，则是罪恶的根源。在混杂模式里，网卡对报文中的目标MAC地址不加任何检查而全部接收，这样就造成无论什么数据，只要是路过的都会被网卡接收的局面，监听就是从这里开始的。一般情况下，网卡的工作模式是操作系统设置好的，而且没有公开模式给用户选择，这就限制了普通用户的监听实现，但是自从嗅探器(Sniffer)家族发展到一定程度后，开始拥有了设置网卡工作模式的权力，而且矛头直指Promiscuous，任何用户只要在相应选择上打个勾，他的机器就变成了可以记录局域网内任何机器传输的数据的耳朵，由于共享式局域网的特性，所有人都是能收到数据的，这就造成了不可防御的信息泄漏。可是，最终这种监听方式还是被基本消灭了，人们用了什么手段呢?很简单，局域网结构升级了，变成“交换式局域网”。2、发生在交换式局域网内的窃听作为与“共享式”相对的“交换式”局域网(Switched Lan)，它的网络连接设备被换成了交换机(Switch)，交换机比集线器聪明的一点是它连接的每台计算机是独立的，交换机引入了“端口”的概念，它会产生一个地址表用于存放每台与之连接的计算机的MAC地址，从此每个网线接口便作为一个独立的端口存在，除了声明为广播或组播的报文，交换机在一般情况下是不会让其他报文出现类似共享式局域网那样的广播形式发送行为的，这样即使你的网卡设置为混杂模式，它也收不到发往其他计算机的数据，因为数据的目标地址会在交换机中被识别，然后有针对性的发往表中对应地址的端口，决不跑到别人家里去。这一改进迅速扼杀了传统的局域网监听手段，但是历史往往证明了人是难以被征服的……(1)、对交换机的攻击：MAC洪水不知道是谁第一个发现了这种攻击模式，大概是因为交换机的出现破坏了嗅探器的工作，所以一肚子气泄到了交换机身上，另一种看法则是精明的技术人员设想交换机的处理器在超过所能承受信息量的时候会发生什么情况而进行的试验，无论是从什么论点出发的，至少这个攻击模式已经成为现实了：所谓MAC洪水攻击，就是向交换机发送大量含有虚假MAC地址和IP地址的IP包，使交换机无法处理如此多的信息而引起设备工作异常，也就是所谓的“失效”模式，在这个模式里，交换机的处理器已经不能正常分析数据报和构造查询地址表了，然后，交换机就会成为一台普通的集线器，毫无选择的向所有端口发送数据，这个行为被称作“泛洪发送”，这样一来攻击者就能嗅探到所需数据了。不过使用这个方法会为网络带来大量垃圾数据报文，对于监听者来说也不是什么好事，因此MAC洪水使用的案例比较少，而且设计了端口保护的交换机可能会在超负荷时强行关闭所有端口造成网络中断，所以如今，人们都偏向于使用地址解析协议ARP进行的欺骗性攻击。(2)、地址解析协议带来的噩梦回顾前面提到的局域网寻址方式，我们已经知道两台计算机完成通讯依靠的是MAC地址而与IP地址无关，而目标计算机MAC地址的获取是通过ARP协议广播得到的，而获取的地址会保存在MAC地址表里并定期更新，在这个时间里，计算机是不会再去广播寻址信息获取目标MAC地址的，这就给了入侵者以可乘之机。当一台计算机要发送数据给另一台计算机时，它会以IP地址为依据首先查询自身的ARP地址表，如果里面没有目标计算机的MAC信息，它就触发ARP广播寻址数据直到目标计算机返回自身地址报文，而一旦这个地址表里存在目标计算机的MAC信息，计算机就直接把这个地址作为数据链路层的以太网地址头部封装发送出去。为了避免出现MAC地址表保持着错误的数据，系统在一个指定的时期过后会清空MAC地址表，重新广播获取一份地址列表，而且新的ARP广播可以无条件覆盖原来的MAC地址表。假设局域网内有两台计算机A和B在通讯，而计算机C要作为一个窃听者的身份得到这两台计算机的通讯数据，那么它就必须想办法让自己能插入两台计算机之间的数据线路里，而在这种一对一的交换式网络里，计算机C必须成为一个中间设备才能让数据得以经过它，要实现这个目标，计算机C就要开始伪造虚假的ARP报文。ARP寻址报文分两种，一种是用于发送寻址信息的ARP查询包，源机器使用它来广播寻址信息，另一种则是目标机器的ARP应答包，用于回应源机器它的MAC地址，在窃听存在的情况下，如果计算机C要窃听计算机A的通讯，它就伪造一个IP地址为计算机B而MAC地址为计算机C的虚假ARP应答包发送给计算机A，造成计算机A的MAC地址表错误更新为计算机B的IP对应着计算机C的MAC地址的情况，这样一来，系统通过IP地址获得的MAC地址都是计算机C的，数据就会发给以监听身份出现的计算机C了。但这样会造成一种情况就是作为原目标方的计算机B会接收不到数据，因此充当假冒数据接收角色的计算机C必须担当一个转发者的角色，把从计算机A发送的数据返回给计算机B，让两机的通讯正常进行，这样，计算机C就和计算机AB形成了一个通讯链路，而对于计算机A和B而言，计算机C始终是透明存在的，它们并不知道计算机C在偷听数据的传播。只要计算机C在计算机A重新发送ARP查询包前及时伪造虚假ARP应答包就能维持着这个通讯链路，从而获得持续的数据记录，同时也不会造成被监听者的通讯异常。计算机C为了监听计算机A和B数据通讯而发起的这种行为，就是“ARP欺骗”(ARP Spoofing)或称“ARP攻击”(ARP Attacking)，实际上，真实环境里的ARP欺骗除了嗅探计算机A的数据，通常也会顺便把计算机B的数据给嗅探了去，只要计算机C在对计算机A发送伪装成计算机B的ARP应答包的同时也向计算机B发送伪装成计算机A的ARP应答包即可，这样它就可作为一个双向代理的身份插入两者之间的通讯链路。

Ⅳ 什么是嗅探工具

嗅探 sniff。嗅探器可以窃听网络上流经的数据包。

用集线器hub组建的网络是基于共享的原理的，
局域网内所有的计算机都接收相同的数据包，
而网卡构造了硬件的“过滤器“
通过识别MAC地址过滤掉和自己无关的信息，
嗅探程序只需关闭这个过滤器，
将网卡设置为“混杂模式“就可以进行嗅探
用交换机switch组建的网络是基于“交换“原理的
，交换机不是把数据包发到所有的端口上，
而是发到目的网卡所在的端口。
这样嗅探起来会麻烦一些，嗅探程序一般利用“ARP欺骗“的方法
，通过改变MAC地址等手段，欺骗交换机将数据包发给自己，
嗅探分析完毕再转发出去

Ⅵ 手机视频嗅探是什么

一般指嗅探器。嗅探器 可以窃听网络上流经的数据包。 用集线器hub组建的网络是基于共享的原理的， 局域网内所有的计算机都接收相同的数据包， 而网卡构造了硬件的“过滤器“ 通过识别MAC地址过滤掉和自己无关的信息， 嗅探程序只需关闭这个过滤器， 将网卡设置为“混杂模式“就可以进行嗅探 用交换机switch组建的网络是基于“交换“原理的 ，交换机不是把数据包发到所有的端口上， 而是发到目的网卡所在的端口。

Ⅶ 嗅探工具主要是用来干嘛的

一般指嗅探器。嗅探器 可以获取网络上流经的数据包。 用集线器hub组建的网络是基于共享的原理的， 局域网内所有的计算机都接收相同的数据包， 而网卡构造了硬件的“过滤器“ 通过识别MAC地址过滤掉和自己无关的信息， 嗅探程序只需关闭这个过滤器， 将网卡设置为“混杂模式“就可以进行嗅探 用交换机switch组建的网络是基于“交换“原理的 ，交换机不是把数据包发到所有的端口上， 而是发到目的网卡所在的端口。

Ⅷ 网络嗅探谁能给我诠释一下

提到网络嗅探大家都知道sniffer了，sneff是嗅探的意思，sniffer自然就是嗅探器的含义了。Sniffer是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种工具。嗅探器最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。

了解了嗅探器的基本用法，那它跟我们的网络安全有什么关系？

任何东西都有它的两面性，在黑客的手中，嗅探器就变成了一个黑客利器，上面我们已经提到了arp欺骗，这里再详细讲解arp欺骗的基本原理，实现方法，防范方式，因为很多攻击方式都要涉及到arp欺骗，如会话劫持和ip欺骗。首先要把网络置于混杂模式，再通过欺骗抓包的方式来获取目标主机的pass包，当然得在同一个交换环境下，也就是要先取得目标服务器的同一网段的一台服务器。

Arp是什么？arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议，它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换，当你在传送数据时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地址，那么它就直接访问，反之，它就要广播出去，对方的IP地址和你发出的目标IP地址相同，那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始，侵略者若接听到你发送的IP地址，那么，它就可以仿冒目标主机的IP地址，然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以，容易产生ARP欺骗。例如：我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。
以上就是基于ARP欺骗的嗅探基本原理，在这种嗅探方法中，嗅探者A实际上是插入到了B->C中， B的数据先发送给了A，然后再由A转发给C，其数据传输关系如下所示：

B----->A----->C

B<----A<------C

当然黑洞在进行欺骗的时候还需要进行抓包和对包进行过虑得到他们想要的信息，如用户名、口令等。虽然网络中的数据包是以二进制的方式进行传输的，但嗅探器的抓包和重组还有过滤等都为他们做了这一切。

p;

网络嗅探有三种方式，一种是mac洪水，即攻击者向交换机发送大量的虚假mac地址数据，交换机在应接不暇的情况下就象一台普通的hub那样只是简单的向所有端口广播数据了，这时嗅探者就可以借机进行窃听，但如果交换机使用静态地址映射表的话，这种方法就不行了。第二种方式是mac地址复制，即修改本地的mac地址，使其与欲嗅探主机的mac地址相同，这样交换机将会发现有两个端口对应相同的mac地址，于是到该mac地址的数据包同时从这两个端口中发出去。

第三种方式就是用得最多的了--------arp欺骗。我们可以看下自己的机器，在刚开机的时候在dos中输入arp –a(查看本机arp缓存表的内容)可以看到arp缓存表是空的。

如：Microsoft Windows [版本 5.2.3790]

(C) 版权所有 1985-2003 Microsoft Corp.

D:\>arp -a

No ARP Entries Found

D:\>

那么我们ping一下网关再输入arp –a查看一下。

D:\>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Reply from 192.168.0.1: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.0.1:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

^C

D:\>arp -a

Interface: 192.168.0.6 --- 0x10003

Internet Address Physical Address Type

192.168.0.1 00-0a-e6-48-41-8b dynamic

D:\>

从上面的ping命令，我们分析包的结果是，首先本机发出一个arp包询问谁是192.168.0.1？192.168.0.1回应一个arp包，并返回一个mac地址，接下来本机再发送request请求，目标机回应该一个reply包，最后将mac地址保存在arp缓存中。

我们再来举一个arp欺骗的实例：

交换局域网中有A、B、C三台机器，假设ip地址和mac地址如下：

A主机：ip地址为：192.168.0.1,mac地址为：0a:0a:0a:0a:0a:0a

B主机：ip地址为：192.168.0.2,mac地址为：0b:0b:0b:0b:0b:0b

C主机：ip地址为：192.168.0.3,mac地址为：0c:0c:0c:0c:0c:0c

Ⅸ 如何使用sniffer对本地主机进行嗅探，抓取数据包

Sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人，并嗅探到大量的用户口令。本文将详细介绍Sniffer的原理和应用。 一、Sniffer 原理 1．网络技术与设备简介 在讲述Sni计er的概念之前，首先需要讲述局域网设备的一些基本概念。 数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。 每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。 2．网络监听原理 Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息

Ⅹ 网络嗅探的工作原理

我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备，就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同，计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（窃听）。
一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是，计算机的会话包括的显然就是随机的二进制数据。因此网络偷听程序也因为它的“协议分析”特性而着名，“协议分析”就是对于计算机的通信进行解码并使它变得有意义。