网络嗅探

英文全名：Network sniffer

网络嗅探是指利用计算机的网络接口截获其它计算机的数据 报文的一种手段。

积极意义

网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。 嗅探器 也是很多程序人员在编写网络程序时 抓包 测试的工具，因为我们知道网络程序都是以 数据包 的形式在网络中进行传输的，因此难免有协议头定义不对的。

消极意义

任何东西都有它的两面性，在 黑客的手中， 嗅探器就变成了一个黑客利器，如利用ARP欺骗手段，很多攻击方式都要涉及到arp欺骗，如 会话劫持和ip欺骗。首先要把网络置于混杂模式，再通过欺骗 抓包的方式来获取目标主机的pass包，当然得在同一个交换环境下，也就是要先取得目标服务器的 同一网段的一台服务器。 Arp是什么？arp是一种将ip转化成以ip对应的网卡的 物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议，它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换，当你在传送数据时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地址，那么它就直接访问，反之，它就要广播出去，对方的IP地址和你发出的目标IP地址相同，那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始，侵略者若接听到你发送的IP地址，那么，它就可以仿冒目标主机的IP地址，然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以，容易产生ARP欺骗。例如：我们假设有三台主机A,B,C位于同一个 交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。

以上也是基于ARP欺骗的嗅探基本原理。

工作原理

我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备，就像是 电话监控能听到其他人通过电话的交谈一样。与电话电路不同，计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（ 窃听）。

一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是，计算机的会话包括的显然就是随机的二进制数据。因此网络偷听程序也因为它的“ 协议分析”特性而著名，“协议分析”就是对于计算机的通信进行解码并使它变得有意义。

niffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

　　当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

　　网络的安全性和高可用性是建立在有效的网络管理基础之上的,网络管理包括配置管理、故障管理、性能管理、安全管理和计费管理五大部分。对于企业计算机网络来说，网络故障管理主要侧重于实时的监控，而网络性能管理更看中历史分析。