网络嗅探需要用到网络
嗅探器,其最早是为
网络管理人员配备的工具,有了嗅探器
网络管理员可以随时掌握网络的实际情况,查找
网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析
网络流量,找出
网络阻塞的来源。网络嗅探是
网络监控系统的实现基础。
网络嗅探需要用到
网络嗅探器,其最早是为
网络管理人员配备的工具,有了嗅探器
网络管理员可以随时掌握网络的实际情况,查找
网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析
网络流量,找出
网络阻塞的来源。
嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以
数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。
网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和
入侵检测系统相同,因此被称为网络嗅探。网络嗅探是
网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。
任何东西都有它的两面性,在黑客的手中,
嗅探器就变成了一个黑客利器,如利用
ARP欺骗手段,很多攻击方式都要涉及到arp欺骗,如
会话劫持和ip欺骗。首先要把网络置于
混杂模式,再通过欺骗抓包的方式来获取目标主机的pass包,当然得在同一个交换环境下,也就是要先取得目标服务器的
同一网段的一台服务器。 Arp是什么?arp是一种将ip转化成以ip对应的网卡的
物理地址的一种协议,或者说ARP协议是一种将ip地址转化成
MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。ARP就是
IP地址与物理之间的转换,当你在传送数据时,IP包里就有源
IP地址、源MAC地址、目标IP地址,如果在ARP表中有相对应的MAC地址,那么它就
直接访问,反之,它就要广播出去,对方的IP地址和你发出的目标IP地址相同,那么对方就会发一个MAC地址给源主机。而
ARP欺骗就在此处开始,侵略者若接听到你发送的IP地址,那么,它就可以仿冒目标主机的IP地址,然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址,而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以,容易产生ARP欺骗。例如:我们假设有三台主机A,B,C位于同一个
交换式局域网中,监听者处于主机A,而主机B,C正在通信。A希望能
嗅探到B->C的数据, 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存,让B认为A就是C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。我们在嗅探到数据后,还必须将此
数据转发给C, 这样就可以保证B,C的通信不被中断。
我们通常所说的“Packet sniffer”指的是一种插入到
计算机网络中的偷听
网络通信的设备,就像是
电话监控能听到其他人通过电话的交谈一样。与电话电路不同,计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing(窃听)。
一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是,计算机的会话包括的显然就是随机的
二进制数据。因此网络偷听程序也因为它的“
协议分析”特性而著名,“协议分析”就是对于计算机的通信进行解码并使它变得有意义。