嗅探器调研报告.doc

关 于 嗅 探 器 的 调 研 报 告 制作人：信息0902班 王勤为 白石磊 目录 前言 （嗅探器又称Sniffer，是一款用于侦听，分析网络中流动数据，是网络故障、性能和安全管理的有力工具......) 嗅探器原理 (嗅探器就是这样一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包......) 嗅探器的应用 (在网络安全的保障与维护方面,面向网络链路运行情况的监测方面,面向网络上应用情况的监测方面,强大的协议解码能力，用于对网络流量的深入解析 网络管理、故障报警及恢复......) 嗅探器工具实用 (影音神探：用于嗅探出视频隐约文件的真实地址，只要进入播放网页，就能够获得影片的真实地址，双击的寻找到的URL......) 5、嗅探器的危害及发展前景 (嗅探器由于其独特侦听的功能，既可以是安全维修人员人员的检测工具，也可以是黑客们用于扩大网络攻击成果的攻击工具.....) 前言 嗅探器又称Sniffer，是一款用于侦听，分析网络中流动数据，是网络故障、性能和安全管理的有力工具Sniffer品牌最初诞生自Network General之手NetXray、Packetboy、Net Monitor、Sniffer Pro、WireShark、WinNetCapSniffer生产公司仍然是Network General和Microsofts Net Monitor。国内生产嗅探器的公司并不多，比较有名的有宏达科技等。 由于嗅探器硬件设施昂贵的价格和低灵活性，广大安全人员大多偏好于软件类嗅探器。因此笔者在此着重于讨论软件类嗅探器。 二、嗅探器原理 数据在网络上是以帧单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，。 　　每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应网络硬件和TCP／IP不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP，网卡就必须设置为混杂模式。 一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包网络安全的保障与维护 　　1. 对异常的网络攻击的实时发现与告警； 　　2. 对高速网络的捕获与侦听； 　　3. 全面分析与解码网络传输的内容； 　面向网络链路运行情况的监测 　　1. 各种网络链路的运行情况； 　　2. 各种网络链路的流量及阻塞情况； 　　3. 网上各种协议的使用情况； 　　4. 网络协议自动发现； 　　 ?? sniffer 　面向网络上应用情况的监测 　　1. 任意网段应用流量、流向； 　　2. 任意服务器应用流量、流向； 　　3. 任意工作站应用流量、流向； 　　4. 典型应用程序响应时间； 　　5. 不同网络协议所占带宽比例； 　　6. 不同应用流量、流向的分布情况及拓扑结构； 　　强大的协议解码能力，用于对网络流量的深入解析 　　1. 对各种现有网络协议进行解码； 　　2. 对各种应用层协议进行解码； 　　3. Sniffer协议开发包（PDK）可以让用户简单方便地增加用户自定义的协议； 　　网络管理、故障报警及恢复 　　运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障； ?? 嗅探器工具实用 对于由路由器构建的局域网络，传统的嗅探器一般只能监听自己机器上的出入的数据包，这是因为交换机会分析经过它的数据包，并且检查Mac地址，然后把数据按照正确的Mac地址发送到指定的工作站（电脑）上，因此利用网卡混杂模式接受数据的嗅探器就发挥不了应有的功能了。 但是在由集线器构建的局域网则可以成功实现传统嗅探器的功能，因为集线器并不会分析流过它的数据包，而且会将数据以“广播”形式发送给所有连着这它的电脑用户。 由于笔者处于使用了交换机的网络环境，所以只能截取到自己电脑上出入的的数据包。 Sniffer Portable是笔者用于熟悉使用的一款嗅探器之一，也是