嗅探器的基础知识.pdfVIP

一．嗅探器的基础知识 1．1 什么是嗅探器？ 嗅探器的英文写法是Sniff，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络 上所产生的众多的信息。简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计 算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。 可是，计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用 特定的网络协议来分解嗅探到的数据， 嗅探器也就必须能够识别出那个协议对应于这个数据片断，只 有这样才能够进行正确的解码。 计算机的嗅探器比起电话窃听器，有他独特的优势： 很多的计算机网络采用的是“共享媒体。 也就 是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络 上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探” （promiscuous mode ） 。 尽管如此，这种“共享” 的技术发展的很快，慢慢转向“交换” 技术，这种技 术会长期内会继续使用下去， 它可以实现有目的选择的收发数据。 1．2 嗅探器是如何工作的 1．2 ．1 如何窃听网络上的信息 刚才说了，以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相 同的数据包。这意味着计算机直接的通讯都是透明可见的。 正是因为这样的原因，以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络 信息。事实上是忽略掉了与自身MAC地址不符合的信息。 嗅探程序正是利用了这个特点，它主动的关闭了这个嗅探器，也就是前面提到的设置网卡“混杂模式” 。 因此，嗅探程序就能够接收到整个以太网内的网络数据了信息了。 1．2 ．2 什么是以太网的MAC地址 MAC ：Media Access Control. 由于大量的计算机在以太网内“共享“数据流，所以必须有一个统一的办法用来区分传递给不同计算机 的数据流的。这种问题不会发生在拨号用户身上，因为计算机会假定一切数据都由你发动给modem然 后通过电话线传送出去。可是，当你发送数据到以太网上的时候，你必须弄清楚，哪台计算机是你发 送数据的对象。的确，现在有大量的双向通讯程序出现了，看上去，他们好像只会在两台机器内交换 信息，可是你要明白，以太网的信息是共享的，其他用户，其实一样接收到了你发送的数据，只不过 是被过滤器给忽略掉了。 MAC地址是由一组 6 个 16 进制数组成的，它存在于每一块以太网卡中。后面的章节将告诉你如何查 看自己计算机的MAC地址。 如果你对网络结构不太熟悉，建议参考一下OSI 7-Layer Model，这将有助于你理解后面的东西以太网 所使用的协议主要是TCP/IP，并且TCP/IP也用于其他的网络模型( 比如拨号用户,他们并不是处于一个以 太网环境中) 。举例一下，很多的小团体计算机用户都为实现文件和打印共享，安装了“NetBEUI” 因为 它不是基于TCP/IP协议的， 所以来自于网络的黑客一样无法得知他们的设备情况。 基于Raw协议，传输和接收都在以太网里起着支配作用。你不能直接发送一个Raw数据给以太网，你 必须先做一些事情，让以太网能够理解你的意思。这有点类似于邮寄信件的方法，你不可能直接把一 封信投递出去，你必须先装信封，写地址，贴邮票，网络上的传输也是这样的。 下面给出一个简单的图示，有助于你理解数据传送的原理： 　　　　　　　　　_________　　　 　　　　　　　　　 /\　　 二． 　　　　　　　　/..Internet.\　　 ++　　 ++++ UserA路由UserB ++　　^ ++++ 　　　　　　　　\/　　 　　　　　　　　\/　　 　　++　　　　　　　　　　 　　 嗅探器　　　　　　　　　　 　　++　　　　　　　　　　 UserA IP 地址: 3 UserB IP 地址: 4 现在知道 UserA 要于 UserB 进行计算机通讯，UserA 需要为 3 到 4 的通讯建