在共享式网络上进行嗅探的特点

1. 什么是嗅探工具

嗅探 sniff。嗅探器可以窃听网络上流经的数据包。

用集线器hub组建的网络是基于共享的原理的，
局域网内所有的计算机都接收相同的数据包，
而网卡构造了硬件的“过滤器“
通过识别MAC地址过滤掉和自己无关的信息，
嗅探程序只需关闭这个过滤器，
将网卡设置为“混杂模式“就可以进行嗅探
用交换机switch组建的网络是基于“交换“原理的
，交换机不是把数据包发到所有的端口上，
而是发到目的网卡所在的端口。
这样嗅探起来会麻烦一些，嗅探程序一般利用“ARP欺骗“的方法
，通过改变MAC地址等手段，欺骗交换机将数据包发给自己，
嗅探分析完毕再转发出去

2. 用嗅探器探数据包时的工作原理

网络嗅探器，可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息，可以窃听计算机程序在网络上发送和接收到的数据，用来接收在网络上传输的信息。
很多计算机网络采用的是“共享媒体"。也就是说，不必中断他的通讯，并且配置特别的线路，再安装嗅探器，几乎可以在任何连接着的网络上直接窃听到同一掩码范围内的计算机网络数据。这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。
2.1 以太网的工作原理
以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。嗅探程序正是利用了这个特点，它把网卡设置为“混杂模式”。因此，嗅探程序就能够接收到整个以太网内的网络数据信息了。
在以太网中所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址。大多数系统使用48比特的地址，这个地址用来表示
网络中的每一个设备。一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
在正常的情况下，一个网络接口应该只响应这样的两种数据帧：
① 与自己硬件地址相匹配的数据帧。
② 发向所有机器的广播数据帧。
2.2 网卡的工作原理
在一个实际的系统中，数据的收发是由网卡来完成的。网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址。根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。认为该接收就接收后产生中断信号通知CPU；认为不该接收就丢掉不管。所以不该接收的数据，网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。
对于网卡一般有四种接收模式：
① 广播方式：该模式下的网卡能够接收网络中的广播信息。
② 组播方式：设置在该模式下的网卡能够接收组播数据。
③ 直接方式：在这种模式下，只有目的网卡才能接收该数据。
④ 混杂模式：在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的

还有一种嗅探器是工作在本地的，专门嗅探本机的流量里的特殊数据，例如影音文件等，他的工作原理是创建虚拟硬件监听网卡的数据包，然后分析数据包，找出需要嗅探的信息来

3. 浏览器嗅探是什么意思

浏览器嗅探是指嗅探器。安装了嗅探器的浏览器能够接收局域网中计算机发出的数据包，并对这些数据进行分析。以太网中是基于广播方式传送数据的，所有的物理信号都要经过主机节点。

使用嗅探工具后，计算机则能接收所有流经本地计算机的数据包，从而实现盗取敏感信息。由于嗅探器的隐蔽性好，只是被动接收数据，而不向外发送数据，所以在传输数据的过程中，难以觉察到有人监听。

1、浏览器嗅探的发展背景：

随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。

2、浏览器嗅探的作用：

嗅探器可以获取网络上流经的数据包。 用集线器hub组建的网络是基于共享的原理的， 局域网内所有的计算机都接收相同的数据包， 而网卡构造了硬件的“过滤器“ 通过识别MAC地址过滤掉和自己无关的信息。

(3)在共享式网络上进行嗅探的特点扩展阅读：

防范浏览器嗅探的方法：

1、对数据进行加密：对数据的加密是安全的必要条件。其安全级别取决于加密算法的强度和密钥的强度。使用加密技术，防止使用明文传输信息。

2、实时检测监控嗅探器：监测网络通讯丢包和带宽异常情况，及时发现可能存在的网络监听机器。

3、使用安全的拓朴结构：将非法用户与敏感的网络资源相互隔离，网络分段越细，则安全程度越大。

参考资料来源：网络-嗅探

4. 哪个版本的迅雷可以嗅探

迅雷的7.2版本和尊享版1.1均支持开启嗅探功能。迅雷是由迅雷公司开发的互联网下载软件，它利用多资源超线程技术，为用户提供高效、快速的下载服务。作为一款“宽带时代的下载工具”，迅雷针对宽带用户进行了优化，并推出了“智能下载”服务，让用户能够更便捷地管理自己的下载任务。

嗅探器是一种网络工具，可以捕获网络上传输的数据包。在采用集线器（Hub）组建的网络中，由于数据是共享传输的，局域网内所有计算机都能接收到相同的数据包。然而，网卡通过构建硬件“过滤器”，能够识别并过滤掉与自己无关的信息。嗅探程序通过关闭这个过滤器，将网卡设置为“混杂模式”，即可对网络上的数据包进行嗅探和监听。而在采用交换机（Switch）组建的网络中，交换机是根据数据包的目标MAC地址进行传输的，它不会将数据包发送到所有的端口，而是只发送到目标网卡所在的端口。因此，在交换机网络中，嗅探的难度相对较高。

迅雷的嗅探功能允许用户捕获并解析网络上的数据包，这对于网络管理员或安全专家来说是非常有用的工具。通过嗅探功能，用户可以监控网络流量，检测潜在的网络攻击或异常行为。此外，迅雷的嗅探功能还可以用于网络故障排查和性能优化等方面。

总的来说，迅雷的嗅探功能为用户提供了一个强大的网络分析工具，能够帮助用户更好地管理和维护网络环境。然而，需要注意的是，使用嗅探功能应遵守相关法律法规和道德准则，不得用于非法监听或侵犯他人隐私的行为。

5. 共享式网络与交换式网络中，网络监听有何不同

.发生在共享式局域网内的窃听 所谓的“共享式”局域网(Hub-Based Lan)，指的是早期采用集线器HUB作为网络连接设备的传统以太网的结构，在这个结构里，所有机器都是共享同一条传输线路的，集线器没有端口的概念，它的数据发送方式是“广播”， 集线器接收到相应数据时是单纯的把数据往它所连接的每一台设备线路上发送的，例如一台机器发送一条“我要和小金说话”的报文，那么所有连接这个集线器的设备都会收到这条报文，但是只有名字为“小金”的计算机才会接收处理这条报文，而其他无关的计算机则会“不动声色”的抛弃掉该报文。因此，共享以太网结构里的数据实际上是没有隐私性的，只是网卡会“君子”化的忽略掉与自己无关的“闲言碎语”罢了，但是很不巧，网卡在设计时是加入了“工作模式”的选项的，正是这个特性导致了噩梦。每块网卡基本上都会有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情况下，操作系统会把网卡设置为Broadcast(广播)模式，在Broadcast模式下，网卡可以接收所有类型为广播报文的数据帧——例如ARP寻址，此外它会忽略掉目标地址并非自己MAC地址的报文，即只接收发往自身的数据报文、广播和组播报文，这才是网卡的正常工作模式;如果一块网卡被设置为Unicast或Multicast模式，在局域网里可能会引发异常，因为这两个模式限制了它的接收报文类型;而Promiscuous(混杂)模式，则是罪恶的根源。在混杂模式里，网卡对报文中的目标MAC地址不加任何检查而全部接收，这样就造成无论什么数据，只要是路过的都会被网卡接收的局面，监听就是从这里开始的。一般情况下，网卡的工作模式是操作系统设置好的，而且没有公开模式给用户选择，这就限制了普通用户的监听实现，但是自从嗅探器(Sniffer)家族发展到一定程度后，开始拥有了设置网卡工作模式的权力，而且矛头直指Promiscuous，任何用户只要在相应选择上打个勾，他的机器就变成了可以记录局域网内任何机器传输的数据的耳朵，由于共享式局域网的特性，所有人都是能收到数据的，这就造成了不可防御的信息泄漏。可是，最终这种监听方式还是被基本消灭了，人们用了什么手段呢?很简单，局域网结构升级了，变成“交换式局域网”。2、发生在交换式局域网内的窃听作为与“共享式”相对的“交换式”局域网(Switched Lan)，它的网络连接设备被换成了交换机(Switch)，交换机比集线器聪明的一点是它连接的每台计算机是独立的，交换机引入了“端口”的概念，它会产生一个地址表用于存放每台与之连接的计算机的MAC地址，从此每个网线接口便作为一个独立的端口存在，除了声明为广播或组播的报文，交换机在一般情况下是不会让其他报文出现类似共享式局域网那样的广播形式发送行为的，这样即使你的网卡设置为混杂模式，它也收不到发往其他计算机的数据，因为数据的目标地址会在交换机中被识别，然后有针对性的发往表中对应地址的端口，决不跑到别人家里去。这一改进迅速扼杀了传统的局域网监听手段，但是历史往往证明了人是难以被征服的……(1)、对交换机的攻击：MAC洪水不知道是谁第一个发现了这种攻击模式，大概是因为交换机的出现破坏了嗅探器的工作，所以一肚子气泄到了交换机身上，另一种看法则是精明的技术人员设想交换机的处理器在超过所能承受信息量的时候会发生什么情况而进行的试验，无论是从什么论点出发的，至少这个攻击模式已经成为现实了：所谓MAC洪水攻击，就是向交换机发送大量含有虚假MAC地址和IP地址的IP包，使交换机无法处理如此多的信息而引起设备工作异常，也就是所谓的“失效”模式，在这个模式里，交换机的处理器已经不能正常分析数据报和构造查询地址表了，然后，交换机就会成为一台普通的集线器，毫无选择的向所有端口发送数据，这个行为被称作“泛洪发送”，这样一来攻击者就能嗅探到所需数据了。不过使用这个方法会为网络带来大量垃圾数据报文，对于监听者来说也不是什么好事，因此MAC洪水使用的案例比较少，而且设计了端口保护的交换机可能会在超负荷时强行关闭所有端口造成网络中断，所以如今，人们都偏向于使用地址解析协议ARP进行的欺骗性攻击。(2)、地址解析协议带来的噩梦回顾前面提到的局域网寻址方式，我们已经知道两台计算机完成通讯依靠的是MAC地址而与IP地址无关，而目标计算机MAC地址的获取是通过ARP协议广播得到的，而获取的地址会保存在MAC地址表里并定期更新，在这个时间里，计算机是不会再去广播寻址信息获取目标MAC地址的，这就给了入侵者以可乘之机。当一台计算机要发送数据给另一台计算机时，它会以IP地址为依据首先查询自身的ARP地址表，如果里面没有目标计算机的MAC信息，它就触发ARP广播寻址数据直到目标计算机返回自身地址报文，而一旦这个地址表里存在目标计算机的MAC信息，计算机就直接把这个地址作为数据链路层的以太网地址头部封装发送出去。为了避免出现MAC地址表保持着错误的数据，系统在一个指定的时期过后会清空MAC地址表，重新广播获取一份地址列表，而且新的ARP广播可以无条件覆盖原来的MAC地址表。假设局域网内有两台计算机A和B在通讯，而计算机C要作为一个窃听者的身份得到这两台计算机的通讯数据，那么它就必须想办法让自己能插入两台计算机之间的数据线路里，而在这种一对一的交换式网络里，计算机C必须成为一个中间设备才能让数据得以经过它，要实现这个目标，计算机C就要开始伪造虚假的ARP报文。ARP寻址报文分两种，一种是用于发送寻址信息的ARP查询包，源机器使用它来广播寻址信息，另一种则是目标机器的ARP应答包，用于回应源机器它的MAC地址，在窃听存在的情况下，如果计算机C要窃听计算机A的通讯，它就伪造一个IP地址为计算机B而MAC地址为计算机C的虚假ARP应答包发送给计算机A，造成计算机A的MAC地址表错误更新为计算机B的IP对应着计算机C的MAC地址的情况，这样一来，系统通过IP地址获得的MAC地址都是计算机C的，数据就会发给以监听身份出现的计算机C了。但这样会造成一种情况就是作为原目标方的计算机B会接收不到数据，因此充当假冒数据接收角色的计算机C必须担当一个转发者的角色，把从计算机A发送的数据返回给计算机B，让两机的通讯正常进行，这样，计算机C就和计算机AB形成了一个通讯链路，而对于计算机A和B而言，计算机C始终是透明存在的，它们并不知道计算机C在偷听数据的传播。只要计算机C在计算机A重新发送ARP查询包前及时伪造虚假ARP应答包就能维持着这个通讯链路，从而获得持续的数据记录，同时也不会造成被监听者的通讯异常。计算机C为了监听计算机A和B数据通讯而发起的这种行为，就是“ARP欺骗”(ARP Spoofing)或称“ARP攻击”(ARP Attacking)，实际上，真实环境里的ARP欺骗除了嗅探计算机A的数据，通常也会顺便把计算机B的数据给嗅探了去，只要计算机C在对计算机A发送伪装成计算机B的ARP应答包的同时也向计算机B发送伪装成计算机A的ARP应答包即可，这样它就可作为一个双向代理的身份插入两者之间的通讯链路。