网络嗅探
嗅探(Sniff)可以窃听网络上流经的数据包。用集线器组建的网络是基于共享原理的,局域网内所有的计算机都接收相同的数据包,而网卡构造了硬件的“过滤器”,通过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设置为“混杂模式”就可以进行嗅探。用交换机switch组建的网络是基于“交换”原理的,交换机不是把数据包发到所有的端口上,而是发到目的网卡所在的端口,这样嗅探起来会麻烦一些。嗅探程序一般利用“ARP欺骗”方法,通过改变MAO地址等手段,欺骗交换机将数据包发给自己,嗅探分析完毕再转发出去。
网络嗅探需要使用网络嗅探器,其最早是为网络管理人员配备的工具。有了嗅探器,网络管理员以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。
国络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中以实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础。
1.使用SnifferPro进行嗅探
Sniffer Pro是一款协议分析软件,具有捕获网络流量进行详细分析、利用专家模式分析系统诊断问题、实时监控网络活动、收集网络利用率和错误等功能。
SnifferPro软件是NAI公司推出的功能强大的协议分析软件。利用SnifferPro网络分析器的强大功能和特征可以解决网络问题,下面将介绍Sniffer Pro的使用方法。
iNetxray比较,Sniffer支持的协议更丰富。例如,PPPOE协议在NetXray中并不支持,在 hiffer上能够进行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常运行, Sniffer Pro4.6可以运行在各种Windows平台上。
sniffer软件比较大,运行时需要的内存比较大,否则运行比较慢,这也是它与Netxray相比的一个缺点。
STEP 01安装完毕后,双击图标进入主界面,如图3-37所示。
STEP02 执行“监视器→定义过滤器”命令,如图3-38所示。