嗅探也称“网络监听”或“网络分析”，这是一个对于新手显得比较神秘的领域。起初，网络监听通常被网络管理员用于在以太网中监测传输的网络数据，它在排除网络故障等方面起到了重要的作用。后来，有一些人发现网络监听可以用于口令监听等敏感数据的截获，于是开始将这种技术引人到了黑客领域，进而就给以太网的安全带来了极大的隐患。我们可以把网络监听想象成“电气工程师使用万用表测量电流、电压和电阻”的工作，在看似无迹可循的电流中也有着这样或是那样令人感兴趣的数据。同样的道理，在网络中流动的数据里也可以通过专业的工具找出各种有用的数据，比方说密码。 在1994年2月，相继发生了几次大的安全事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100，000个有效的用户名和口令。上述事件可能是互联网上最早期的大规樓的网络监听事件了，它使早期网络监听从“地下”走向了公开，并迅速地在大众中普及开来。 在网络监听引起人们普遍注意后，很多疑问随之而生，如： *我可以监听Internet中任意电脑的数据吗? *我可以使用交換机来解决网络监听问题吗? *是不是监听的数据都是明文的? 其实，之所以产生这些疑惑，都是因为对网络监听技术的基本知识不了解导致的。要了解网络监听，首先需要知道如下网络传输组成： *每台电脑都是通过网卡进行数据传输; *每块网卡都需要安装专用的驱动程序才能使用; *每块网卡都有独自的mac地址; *电脑之间需要使用TCP/IP协议进行通信; *网卡都会自动或手工綁定一个IP地址。 网卡有数种用于接收数据帧的状态，如unicast,broadcast,multicast、promiscuous,它们的含义是： *广播摸式：可以接受网络里的广播信息。 *直接槟式：只能接受目的地址是本机的数搪包，其它的统统被忽略。 *多播槟式：可以接受特定的多播数据。 *混杂樓式：就是我们今天要讲的主角，在这种模式下，只要流经网卡的数据都将被截获。 网页浏览、邮件收发等常见网络应用，都是依靠TCP/IP协议族实现的，大家知道有两个主要的网络体系：OSI参考樓型和TCP/IP参考摸型，OSI槟型即为通常说的7层协议，它由下向上分别为物理层、数搪链路层、网络层、传输层、会话层、表示层、应用层，而TCP/IP樓型中去掉了会话层和表示层后，由剩下的5层构成了互联网的基础，在网络的后台默默的工作着。 从TCP/IP模型的角度来看，数据包在局域网内发送的过程是： 当数据由应用层自上而下的传递时，在网络层形成IP数据报，再向下到达数据链路层，由数搪链路层将IP数据包分割为数据帧，增加以太网包头，再向下一层发送。 需要注意的是，以太网的包头中包含着本机和目标设备的MAC地址，即：链路层的数据桢发送时是依靠48bits的以太网地址而非IP地址来确认的，以太网的网卡设备驱动程序不会关心IP数搪报中的目的IP地址，它所需要的仅仅是MAC地址。 目标IP的MAC地址又是如何获得的呢?发端主机会向以太网上的每个主机发送一份包含目的地的IP地址的以太网数据帧(称为ARP数据包)，并期望目的主机回复，从而得到目的主机对应的MAC地址，并将这个MAC地址存入自己的一个ARP缓存内。 当局域网内的主机都通过HUB等方式连接时，一般都称为共享式的连接，这种共享式的连接有一个很明显的特点：就是HUB会将接收到的所有数据向HUB上的每个端口转发，也就是说当主机根据MAC地址进行数据包发送时，尽管发送端主机告知了目标主机的地址，但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯，只是在正常状况下其他主机会忽略这些通讯报文而已。如果这些主机不愿意忽略这些报文，网卡被设置为promiscuous状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。 假设，现在公司中有10台电脑，并通过HUB相连在一个以太网内，现在A机上的一个用户想要访问服务器中提供的网站服务，那么当A机上的用户在IE浏览器中，通过键人职务器的IP地址访问网站服务时，从7层结构的角度上来看都发生了什么昵? 步骤1：当A机上的用户在旧浏览器中键入服务器的地址时，会向本机的应用层发出浏览请求。 步骤2：应用层将请求发送到7层结构中的下一层传输层，由传输层实现利用TCP/IP协议对IP建立连接。 步骤3：传输层将数据报交到下一层网络层，由网络层来进行网路识别。 步骤4：由于A机和服务器在一个共享网络中，所以IP路由选择很简单——IP数据包直接由源主机发送到目的主机。 步骤5：由于A机和服务器在一个共享网络中，所以A机必须将32bit的IP地址转换为48blt的以太网地址(这项工作是由ARP来完成的)。 步骤6：链路层的ARP通过工作在物理层的HUB