关 于 嗅 探 器 的 调 研 报 告 制作人：信息0902班王勤为白石磊 目录 前言 （嗅探器又称Sniffer，是一款用于侦听，分析网络中流动数据，是网络故障、性能和安全管理的有力工具......) 嗅探器原理 (嗅探器就是这样一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包......) 嗅探器的应用 (在网络安全的保障与维护方面,面向网络链路运行情况的监测方面,面向网络上应用情况的监测方面,强大的协议解码能力，用于对网络流量的深入解析网络管理、故障报警及恢复......) 嗅探器工具实用 (影音神探：用于嗅探出视频隐约文件的真实地址，只要进入播放网页，就能够获得影片的真实地址，双击的寻找到的URL......) 5、嗅探器的危害及发展前景 (嗅探器由于其独特侦听的功能，既可以是安全维修人员人员的检测工具，也可以是黑客们用于扩大网络攻击成果的攻击工具.....) 前言 嗅探器又称Sniffer，是一款用于侦听，分析网络中流动数据，是网络故障、性能和安全管理的有力工具。Sniffer品牌最初诞生自NetworkGeneral之手，经历了20多年的发展改进，已经成为安全工作人员不可或缺的工具之一。 嗅探器又分为软件类嗅探器和硬件类嗅探器，软件类嗅探器比较著名NetXray、Packetboy、NetMonitor、SnifferPro、WireShark、WinNetCap 而且软件嗅探器经过专业爱好者不断开发又分为许多针对性极强的种类，如文件嗅探器，影音嗅探器，网页嗅探器等等。 硬件嗅探器相比具有更加强大的功能，目前世界最著名的商用Sniffer生产公司仍然是NetworkGeneral和Microsoft'sNetMonitor。国内生产嗅探器的公司并不多，比较有名的有宏达科技等。 由于嗅探器硬件设施昂贵的价格和低灵活性，广大安全人员大多偏好于软件类嗅探器。因此笔者在此着重于讨论软件类嗅探器。 二、嗅探器原理 数据在网络上是以帧为单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器能够有施展的余地。 每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。(传统的数据包包含五层，第一层版本号、包头长度、服务类型、数据包总长度；第二层标识、标志、段偏移；第三层生存周期、协议域、包头检验和；第四层原IP地址；第五层现IP地址） 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应 网络硬件和TCP／IP协议不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP协议，网卡就必须设置为混杂模式。 嗅探器就是这样一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 三、嗅探器的应用 嗅探器经过专业人士的不断开放，嗅探器已经具有了除侦听信息流之外更加广泛的功能。 （1）在网络安全的保障与维护方面： 1.对异常的网络攻击的实时发现与告警； 2.对高速网络的捕获与侦听； 3.全面分析与解码网络传输的内容； （2）面向网络链路运行情况的监测方面： 1.各种网络链路的运行情况； 2.各种网络链路的流量及阻塞情况； 3.网上各种协议的使用情况； 4.网络协议自动发现； HYPERLINK"http://baike.baidu.com/image/f35ea00916b142646a60fb30"\o"查看图片"\t"_blank" sniffer （3）面向网络上应用情况的监测方面： 1.任意网段应用流量、流向； 2.任意服务器应用流量、流向； 3.任意工作站应用流量、流向； 4.典型应用程序响应时间； 5.不同网络协议所占带宽比例； 6.不同应用流量、流向的分布情况及拓扑结构； （4）强大的协议解码能力，用于对网络流量的深入解析 1.对各种现有网络协议进行解码； 2.对各种应用层协议进行解码； 3.Sniffer协议开发包（PDK）可以让用户简单方便地增加用户自定义的协议； （5）网络管理、故障报警及恢复 运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障； HYPERLINK"http://baike