嗅探（英語:Sniffing）是一種竊聽流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包的方法，一般指嗅探器對數(shù)據(jù)流進(jìn)行攔截和數(shù)據(jù)包分析。根據(jù)工作環(huán)境和工作原理，嗅探技術(shù)可分為本地嗅探、廣播網(wǎng)絡(luò)嗅探和基于交換機(jī)的嗅探。嗅探技術(shù)是一種重要的網(wǎng)絡(luò)安全攻防技術(shù)。在嗅探技術(shù)的幫助下，安全管理人員可以實時監(jiān)控網(wǎng)絡(luò)活動并發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊。但是，由于嗅探易于操作且難以檢測，它也可能被黑客用于網(wǎng)絡(luò)攻擊，以獲取網(wǎng)絡(luò)中大量未加密的敏感信息。

定義嗅探是一種網(wǎng)絡(luò)流量數(shù)據(jù)分析方法，它可以在不重定向數(shù)據(jù)傳輸或更改其內(nèi)容的情況下捕獲和攔截在計算機(jī)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，使接受數(shù)據(jù)的用戶難以發(fā)現(xiàn)。網(wǎng)絡(luò)管理員可以使用嗅探技術(shù)實時監(jiān)控網(wǎng)絡(luò)運行，捕獲和分析通信數(shù)據(jù)，并發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。它還可以用作黑客工具來竊取用戶數(shù)據(jù)，窺探用戶隱私，并進(jìn)行會話劫持等網(wǎng)絡(luò)攻擊。

本地嗅探：原生嗅探是指嗅探器程序在計算機(jī)中以某種方式獲取發(fā)送給進(jìn)程的數(shù)據(jù)包的過程。例如，當(dāng)郵件客戶端正在發(fā)送和接收郵件時，嗅探器程序可以竊聽所有的交互進(jìn)程和其中傳遞的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)包需要多次解析才能獲得應(yīng)用程序數(shù)據(jù)。在獲得它們之后，它們通常要經(jīng)過硬件驅(qū)動程序和操作系統(tǒng)協(xié)議棧，然后才能進(jìn)入應(yīng)用程序處理。因此，如果將數(shù)據(jù)包捕獲代碼寫入硬件驅(qū)動程序?qū)踊虿僮飨到y(tǒng)協(xié)議棧層，則可以獲取其他應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)。

廣播網(wǎng)絡(luò)嗅探：廣播網(wǎng)絡(luò)嗅探是廣播網(wǎng)絡(luò)中的一種網(wǎng)絡(luò)嗅探行為。廣播網(wǎng)絡(luò)通常是使用集線器（HUB）的局域網(wǎng)，其工作原理基于總線模式。在該網(wǎng)絡(luò)中，所有數(shù)據(jù)包都將被廣播和發(fā)送到所有端口。廣播網(wǎng)絡(luò)中的嗅探使用廣播網(wǎng)絡(luò)中“共享”的通信模式，其中所有網(wǎng)卡將接收所有數(shù)據(jù)包，然后通過各自的過濾器過濾不必要的數(shù)據(jù)包。因此，只要本地網(wǎng)卡設(shè)置為混雜模式，嗅探工具就可以支持對廣播網(wǎng)絡(luò)或多播網(wǎng)絡(luò)的嗅探。

基于交換機(jī)的嗅探：基于交換機(jī)的嗅探是指在交換環(huán)境中以某種方式實施的嗅探。交換機(jī)的工作原理與集線器不同。它不是將數(shù)據(jù)包轉(zhuǎn)發(fā)到所有端口，而是通過“包交換”一對一地傳輸數(shù)據(jù)。也就是說，交換機(jī)可以記住每個端口的MAC地址，并根據(jù)數(shù)據(jù)包的目的地址選擇目的端口，因此只有與目的地址對應(yīng)的網(wǎng)卡才能接收數(shù)據(jù)。端口鏡像、MAC泛洪、MAC復(fù)制和ARP欺騙可用于實現(xiàn)基于交換機(jī)的嗅探。

大多數(shù)可管理的交換機(jī)都支持端口鏡像功能，這是交換機(jī)為調(diào)試而保留的功能。通過端口鏡像，本機(jī)嗅探器工具可以嗅探交換機(jī)上的任何端口。基于端口鏡像的嗅探受到交換機(jī)可支持的鏡像功能的限制。因為基于端口鏡像的嗅探必須具有交換機(jī)的管理權(quán)限，所以網(wǎng)絡(luò)管理員經(jīng)常使用這種嗅探方法。

攻擊者經(jīng)常使用MAC泛洪嗅探。為了執(zhí)行分組交換，網(wǎng)絡(luò)交換機(jī)必須在內(nèi)部維護(hù)一個轉(zhuǎn)換表，以將不同的MAC地址轉(zhuǎn)換為它們自己的物理端口。因為交換機(jī)的工作內(nèi)存是有限的，如果交換機(jī)不斷受到虛假MAC地址的攻擊，直到交換機(jī)的工作內(nèi)存滿了為止，它將進(jìn)入“失效開放模式”，并開始像集線器一樣工作，向網(wǎng)絡(luò)上的所有機(jī)器廣播數(shù)據(jù)包。在這種情況下，交換機(jī)嗅探可以通過廣播網(wǎng)絡(luò)嗅探來實現(xiàn)。

MAC復(fù)制是修改本地MAC地址，使其與要嗅探的主機(jī)的MAC地址相同。交換機(jī)將發(fā)現(xiàn)有兩個端口對應(yīng)于同一個MAC地址，因此發(fā)往該MAC地址的數(shù)據(jù)包將同時從這兩個交換機(jī)端口發(fā)出。

ARP欺騙技術(shù)是指騙子利用ARP協(xié)議的漏洞。根據(jù)ARP協(xié)議的設(shè)計，為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，每當(dāng)主機(jī)收到ARP回復(fù)包時，都會自動更新ARP緩存。通過這種方式，攻擊者可以向目標(biāo)主機(jī)發(fā)送偽造的ARP數(shù)據(jù)包進(jìn)行欺騙，從而達(dá)到監(jiān)控的目的。一旦局域網(wǎng)中存在ARP攻擊，它將欺騙局域網(wǎng)中的所有主機(jī)和網(wǎng)關(guān)，并讓所有通信通過ARP攻擊者控制的主機(jī)。

嗅探攻擊是一種常見的被動網(wǎng)絡(luò)攻擊類型，它只會復(fù)制網(wǎng)絡(luò)信息，而不會直接改變信息的狀態(tài)。嗅探器是嗅探攻擊技術(shù)中常用的一種設(shè)備，它可以實時監(jiān)控網(wǎng)絡(luò)的運行狀態(tài)，當(dāng)在大量信息中發(fā)現(xiàn)有用和有價值的信息時，就開始竊取它。攻擊者可以竊聽通信數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)狀態(tài)，并在網(wǎng)絡(luò)拓?fù)?/a>中的某些節(jié)點或鏈路上竊取用戶帳戶和密碼等敏感數(shù)據(jù)。

信息交互需要建立信息傳輸通道，發(fā)送方通過該通道向接收方發(fā)送數(shù)據(jù)信息。嗅探攻擊的原理與信息傳輸?shù)脑砘鞠嗤?，但信息不僅從發(fā)送者傳輸?shù)浇邮照?，而且沿著從終端到黑客終端的路徑傳輸，從終端到黑客終端的傳輸對發(fā)送者和接收者都是完全透明的。集線器從端口接收到MAC幀后，它不僅需要從該端口接收MAC幀，還需要將MAC幀發(fā)送到其他端口。因此，當(dāng)集線器接收到MAC幀時，它將沿著從路由器到黑客的路徑輸出MAC幀，這將容易造成數(shù)據(jù)泄漏并達(dá)到網(wǎng)絡(luò)嗅探的目的。

當(dāng)網(wǎng)絡(luò)受到嗅探器攻擊時，數(shù)據(jù)信息將被泄露，此時黑客可以惡意篡改信息。當(dāng)黑客不斷收到信息時，他們會將信息發(fā)送到目的地終端，或者增加信息傳輸?shù)念l率，從而增強(qiáng)網(wǎng)絡(luò)攻擊的次數(shù)，這將對整個網(wǎng)絡(luò)系統(tǒng)造成更大的破壞。

對策：子網(wǎng)劃分:網(wǎng)絡(luò)嗅探技術(shù)大多局限于嗅探和分析同一子網(wǎng)下的網(wǎng)絡(luò)信息。對于工作在不同子網(wǎng)的主機(jī)，由于IP地址不同，需要進(jìn)行IP地址前綴匹配等操作，無法通過MAC廣播幀的方式直接轉(zhuǎn)發(fā)和交付數(shù)據(jù)。因此，對組織的內(nèi)部網(wǎng)絡(luò)劃分子網(wǎng)可以有效地應(yīng)對網(wǎng)絡(luò)嗅探攻擊。

網(wǎng)絡(luò)流量監(jiān)控:嗅探器的網(wǎng)卡工作在“混雜模式”，這導(dǎo)致嗅探器接收來自同一子網(wǎng)的所有數(shù)據(jù)幀，因此嗅探器將占用大量網(wǎng)絡(luò)帶寬。根據(jù)嗅探器的這一工作特性，我們可以通過監(jiān)控網(wǎng)絡(luò)流量來發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嗅探器。如果發(fā)現(xiàn)某臺主機(jī)的網(wǎng)絡(luò)帶寬利用率始終很高，則意味著該主機(jī)的網(wǎng)卡很可能工作在“混雜模式”下，這意味著該主機(jī)可能是嗅探器。

數(shù)據(jù)加密:網(wǎng)絡(luò)協(xié)議在設(shè)計之初主要考慮數(shù)據(jù)包傳輸?shù)姆奖憧旖菪?，而沒有考慮數(shù)據(jù)的安全性，導(dǎo)致數(shù)據(jù)包在網(wǎng)絡(luò)中以明文形式傳輸。在傳輸數(shù)據(jù)之前對數(shù)據(jù)進(jìn)行加密，這樣嗅探器就無法獲取數(shù)據(jù)包中的用戶信息，保證了網(wǎng)絡(luò)傳輸?shù)陌踩浴?br />

“欺騙和暴露”策略:該策略是根據(jù)工作在“混合模式”下的網(wǎng)卡將接受所有MAC幀的行為而設(shè)計的。因為嗅探器只接收所有的MAC數(shù)據(jù)幀，所以它不知道它接收到的MAC地址是否真的存在于子網(wǎng)中。因此，為了檢測子網(wǎng)中是否存在嗅探器，可以向子網(wǎng)發(fā)送IP地址正確但MAC地址錯誤的數(shù)據(jù)幀。如果該子網(wǎng)中存在嗅探器，嗅探器將捕獲錯誤的數(shù)據(jù)幀，并給出基于ICMP協(xié)議的響應(yīng)消息。

嗅探器：嗅探器是一種通過使用計算機(jī)的網(wǎng)絡(luò)接口來攔截目的地為其他計算機(jī)的數(shù)據(jù)包的工具，它可以竊聽流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包。

嗅探器最初是網(wǎng)絡(luò)管理人員監(jiān)控網(wǎng)絡(luò)運行狀態(tài)和數(shù)據(jù)流的有效管理工具。網(wǎng)絡(luò)管理員可以使用它進(jìn)行故障分析以發(fā)現(xiàn)網(wǎng)絡(luò)中的問題，也可以使用它進(jìn)行性能分析以發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸。此外，嗅探器是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的基礎(chǔ)。但是黑客也可以使用嗅探器竊取用戶帳戶和密碼，非法訪問計算機(jī)中的信息資源，竊取商業(yè)機(jī)密，甚至破壞計算機(jī)系統(tǒng)。

嗅探器可以分為軟件和硬件。軟件嗅探器很容易使用，并且針對不同的操作系統(tǒng)平臺有許多不同的軟件嗅探器，其中大多數(shù)都是免費的。硬件嗅探器通常被稱為協(xié)議分析器。根據(jù)功能的不同，嗅探器還可以分為通用網(wǎng)絡(luò)嗅探器和專用嗅探器。前者支持多種協(xié)議，如tcpdump、Snifferit等。后者一般針對特定軟件或僅提供特定功能，例如用于MSN等即時通信軟件的嗅探器、用于電子郵件密碼的嗅探器以及用于捕獲藍(lán)牙設(shè)備之間的通信數(shù)據(jù)的嗅探器。

常用工具：Tcpdump/Windump: Tcpdump是一種網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控和分析工具，最初由加州大學(xué)伯克利分校勞倫斯伯克利國家實驗室的網(wǎng)絡(luò)研究小組開發(fā)，后來由“Tcpdump小組”進(jìn)行更新和維護(hù)。Tcpdump（基于Libpcap）支持Solaris、HP-UX、Irix和BSD等多種操作系統(tǒng)平臺，不同平臺的具體安裝有所不同。Windows平臺的Tcpdump版本稱為Windump，它運行在與Libpcap兼容的Winpcap庫上。

Sniffit:Sniffit是勞倫斯伯克利實驗室開發(fā)的嗅探器，可以在Solaris、Iris、FreeBSD和Linux等各種系統(tǒng)平臺上運行。與Tcpdump相比，它可以提供完整的數(shù)據(jù)包內(nèi)容輸出。用戶可以選擇源地址和目的地址或地址集，并選擇監(jiān)聽端口、協(xié)議和網(wǎng)絡(luò)接口。從而方便地捕獲網(wǎng)絡(luò)數(shù)據(jù)包。Sniffit是基于Libpcap開發(fā)的。當(dāng)它在Windows平臺上運行時，需要Winpcap的支持。

Ettercap:Ettercap是由Alberto Ornaghi和Marco Valleri開發(fā)交換網(wǎng)絡(luò)嗅探器。它不僅包括常規(guī)的混雜模式嗅探，還包括ARP欺騙的嗅探功能，可以監(jiān)視交換環(huán)境中的網(wǎng)絡(luò)通信。它支持許多協(xié)議的主動和被動解析，包括加密協(xié)議，并包括用于互聯(lián)網(wǎng)和用戶計算機(jī)分析的功能。它有兩個主要的嗅探選項:統(tǒng)一模式，即以中間人的方式進(jìn)行嗅探；橋接模式，即在雙網(wǎng)卡的情況下，嗅探兩個網(wǎng)卡之間的數(shù)據(jù)包。

Dsniff:Dsniff是由Dug Song開發(fā)的嗅探器，它是第一個擴(kuò)展了傳統(tǒng)嗅探器概念的監(jiān)控工具。Dsniff用于分析各種網(wǎng)絡(luò)協(xié)議和嗅探密碼。它可以從FTP、Telnet、POP、rLogin、Microsoft SMB、SNMP、IMAP和其他協(xié)議獲取信息。

Wireshark:Wireshark（原名:Ethereal）是一款網(wǎng)絡(luò)數(shù)據(jù)包分析軟件。作為一款開源的數(shù)據(jù)包捕獲和分析器，Wireshark支持Windows和Linux等操作系統(tǒng)。Wireshark使用pcap監(jiān)控和捕獲來自網(wǎng)絡(luò)接口的數(shù)據(jù)包，并根據(jù)IP地址、協(xié)議和許多其他參數(shù)過濾數(shù)據(jù)包。不同的數(shù)據(jù)包可以基于相關(guān)性進(jìn)行分組或標(biāo)記。

微軟網(wǎng)絡(luò)監(jiān)視器:微軟網(wǎng)絡(luò)監(jiān)視器是一個網(wǎng)絡(luò)數(shù)據(jù)分析工具，僅支持Windows平臺。它可用于捕獲、分析和排除網(wǎng)絡(luò)數(shù)據(jù)包故障，為實時網(wǎng)絡(luò)流量提供專業(yè)的圖形界面。在功能上，該軟件支持300多種協(xié)議、無線監(jiān)控模式和碎片消息重組。

網(wǎng)絡(luò)入侵監(jiān)控：NIDS（Network Intrusion Detection System，網(wǎng)絡(luò)入侵檢測系統(tǒng)）是指通過異常分析和模式匹配來分析網(wǎng)絡(luò)上的數(shù)據(jù)包，進(jìn)而發(fā)現(xiàn)蠕蟲、攻擊和入侵等違規(guī)行為的硬件或軟件。NIDS是一個帶有專家系統(tǒng)的嗅探工具，通常運行在鏡像端口（交換機(jī)）上。NIDS將把通過嗅探捕獲的數(shù)據(jù)包提交到分析模式進(jìn)行分析。結(jié)合專家?guī)熘械奶卣骱湍Ｐ停治瞿K將提取有害和可疑事件，從而對病毒蠕蟲和網(wǎng)絡(luò)入侵進(jìn)行報警。

嗅探

網(wǎng)絡(luò)安全審計：網(wǎng)絡(luò)審計是指使用網(wǎng)絡(luò)嗅探工具獲取、解碼和存儲數(shù)據(jù)包，以供以后查詢或提供即時警報。通過嗅探技術(shù)，網(wǎng)絡(luò)審計可以實現(xiàn)在線行為審計、網(wǎng)絡(luò)違規(guī)數(shù)據(jù)監(jiān)控等功能。利用網(wǎng)絡(luò)嗅探技術(shù)開發(fā)的網(wǎng)絡(luò)行為審計軟件是檢查網(wǎng)絡(luò)傳輸數(shù)據(jù)流合法性的工具。它在重要的網(wǎng)絡(luò)節(jié)點上工作，可以檢測在線違規(guī)行為，例如發(fā)送違反國家法律或法規(guī)或包含色情和反動內(nèi)容的電子郵件；在論壇或網(wǎng)站上傳播違反國家法律法規(guī)或色情或反動信息；訪問違反國家法律或包含色情或反動內(nèi)容的網(wǎng)站。

病毒和蠕蟲的控制：嗅探技術(shù)對蠕蟲病毒的控制可以起到一定的作用:利用基于嗅探的流量檢測及時發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并結(jié)合已建立的異常流量模式，初步判斷網(wǎng)絡(luò)蠕蟲病毒爆發(fā)的前兆；利用基于嗅探的網(wǎng)絡(luò)協(xié)議分析進(jìn)一步確認(rèn)病毒和蠕蟲的爆發(fā)，及時給出預(yù)警信息；利用基于嗅探的蜜罐，獲取病毒和蠕蟲樣本并進(jìn)行詳細(xì)分析，設(shè)計了可行的清除和防御方案。基于嗅探的入侵檢測用于準(zhǔn)確定位局域網(wǎng)中病毒和蠕蟲的傳播源，從而及時有效地扼殺病毒傳播行為。

網(wǎng)絡(luò)部署和跟蹤：現(xiàn)代網(wǎng)絡(luò)犯罪往往通過跳板進(jìn)行，即通過一個中間主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊和犯罪活動，這嚴(yán)重阻礙了對犯罪分子的抓捕。嗅探技術(shù)可用于追蹤網(wǎng)絡(luò)犯罪，并幫助執(zhí)法機(jī)構(gòu)定位網(wǎng)絡(luò)罪犯。網(wǎng)絡(luò)控制的實際操作如下:當(dāng)發(fā)現(xiàn)通過中間跳板主機(jī)進(jìn)行網(wǎng)絡(luò)犯罪時，可以運行網(wǎng)絡(luò)嗅探器對其進(jìn)行24小時監(jiān)控。如果罪犯遠(yuǎn)程登錄主機(jī)，網(wǎng)絡(luò)嗅探器將記錄罪犯的IP地址，從而協(xié)助定位和跟蹤。網(wǎng)絡(luò)跟蹤是一種針對偽造IP地址攻擊的跟蹤方法。網(wǎng)絡(luò)攻擊通常使用虛假的IP地址（尤其是大規(guī)模拒絕服務(wù)攻擊），因此無法從被攻擊的飛機(jī)嗅探到的數(shù)據(jù)中直接確定攻擊的來源。因此，有必要使用移動網(wǎng)絡(luò)嗅探器從端點逐一追溯，直到找到攻擊的原點。

網(wǎng)絡(luò)取證：基于嗅探的網(wǎng)絡(luò)取證工具可以運行在犯罪分子需要取證的計算機(jī)上（如個人計算機(jī)或公共場所的計算機(jī)），可以記錄犯罪分子的網(wǎng)絡(luò)行為（如電子郵件、聊天信息、上網(wǎng)記錄等）。），從而協(xié)助偵破案件和獲取起訴證據(jù)。為了確保嗅探工具獲取的網(wǎng)絡(luò)證據(jù)不可篡改，需要在網(wǎng)絡(luò)取證工具中內(nèi)置數(shù)字簽名工具，防止操作人員人為修改或錯誤修改數(shù)字證據(jù)。