A. 網路嗅探器在網路管理和網路安全方面的作用
網路嗅探器的功能主要是:通過捕獲和分析網路上傳輸的數據來監視網路數據運行。
利用它能夠隨時掌握網路的實際狀況,查找網路漏洞和檢測網路性能;當網路性能急劇下降的時候,可以通過嗅探器分析網路流量,找出網路阻塞的來源。
嗅探技術是一種重要的網路安全攻防技術,網路嗅探器是構成入侵檢測系統和網路管理工具的基石。
B. 嗅探器的作用是什麼
SNIFFER(嗅探器)-簡介Sniffer(嗅探器)是一種常用的收集有用數據方法,這些數據可以是用戶的帳號和密碼,可以是一些商用機密數據等等。Snifffer可以作為能夠捕獲網路報文的設備,ISS為Sniffer這樣定義:Sniffer是利用計算機的網路介面截獲目的地為其他計算機的數據報文的一種工具。Sniffer的正當用處主要是分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。 在合理的網路中,sniffer的存在對系統管理員是致關重要的,系統管理員通過sniffer可以診斷出大量的不可見模糊問題,這些問題涉及兩台乃至多台計算機之間的異常通訊有些甚至牽涉到各種的協議,藉助於sniffer%2C系統管理員可以方便的確定出多少的通訊量屬於哪個網路協議、佔主要通訊協議的主機是哪一台、大多數通訊目的地是哪台主機、報文發送佔用多少時間、或著相互主機的報文傳送間隔時間等等,這些信息為管理員判斷網路問題、管理網路區域提供了非常寶貴的信息。 嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值,而嗅探器則捕獲真實的網路報文。
C. 瀏覽器嗅探是什麼意思
瀏覽器嗅探是指嗅探器。安裝了嗅探器的瀏覽器能夠接收區域網中計算機發出的數據包,並對這些數據進行分析。乙太網中是基於廣播方式傳送數據的,所有的物理信號都要經過主機節點。
使用嗅探工具後,計算機則能接收所有流經本地計算機的數據包,從而實現盜取敏感信息。由於嗅探器的隱蔽性好,只是被動接收數據,而不向外發送數據,所以在傳輸數據的過程中,難以覺察到有人監聽。
1、瀏覽器嗅探的發展背景:
隨著互聯網多層次性、多樣性的發展,網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用,擴展成為運行大量在線游戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和復雜性,因此,這些應用對我們的網路服務質量要求更為嚴格和苛刻。
2、瀏覽器嗅探的作用:
嗅探器可以獲取網路上流經的數據包。 用集線器hub組建的網路是基於共享的原理的, 區域網內所有的計算機都接收相同的數據包, 而網卡構造了硬體的「過濾器「 通過識別MAC地址過濾掉和自己無關的信息。
(3)計算機網路嗅探擴展閱讀:
防範瀏覽器嗅探的方法:
1、對數據進行加密:對數據的加密是安全的必要條件。其安全級別取決於加密演算法的強度和密鑰的強度。使用加密技術,防止使用明文傳輸信息。
2、實時檢測監控嗅探器:監測網路通訊丟包和帶寬異常情況,及時發現可能存在的網路監聽機器。
3、使用安全的拓樸結構:將非法用戶與敏感的網路資源相互隔離,網路分段越細,則安全程度越大。
參考資料來源:網路-嗅探
D. 嗅探的SNIFF原理
要知道在乙太網中,所有的通訊都是廣播的,也就是說通常在同一個網段的所有網路介面都可以訪問在物理媒體上傳輸的所有數據,而每一個網路介面都有一個唯一的硬體地址,這個硬體地址也就是網卡的MAC地址,大多數系統使用48比特的地址,這個地址用來表示網路中的每一個設備,一般來說每一塊網卡上的MAC地址都是不同的,每個網卡廠家得到一段地址,然後用這段地址分配給其生產的每個網卡一個地址。在硬體地址和IP地址間使用ARP和RARP協議進行相互轉換。
在正常的情況下,一個網路介面應該只響應這樣的兩種數據幀:
1.與自己硬體地址相匹配的數據幀。
2.發向所有機器的廣播數據幀。
在一個實際的系統中,數據的收發是由網卡來完成的,網卡接收到傳輸來的數據,網卡內的單片程序接收數據幀的目的MAC地址,根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收,認為該接收就接收後產生中斷信號通知CPU,認為不該接收就丟掉不管,所以不該接收的數據網卡就截斷了,計算機根本就不知道。CPU得到中斷信號產生中斷,操作系統就根據網卡的驅動程序設置的網卡中斷程序地址調用驅動程序接收數據,驅動程序接收數據後放入信號堆棧讓操作系統處理。而對於網卡來說一般有四種接收模式:
廣播方式:該模式下的網卡能夠接收網路中的廣播信息。組播方式:設置在該模式下的網卡能夠接收組播數據。
直接方式:在這種模式下,只有目的網卡才能接收該數據。混雜模式:在這種模式下的網卡能夠接收一切通過它的數據,而不管該數據是否是傳給它的。
好了,現在我們總結一下,首先,我們知道了在乙太網中是基於廣播方式傳送數據的,也就是說,所有的物理信號都要經過我的機器,再次,網卡可以置於一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠接收到一切通過它的數據,而不管實際上數據的目的地址是不是他。這實際上就是我們SNIFF工作的基本原理:讓網卡接收一切他所能接收的數據。
我們來看一個簡單的例子,如圖一所示,機器A、B、C與集線器HUB相連接,集線器HUB通過路由器Router訪問外部網路。這是一個很簡單也很常見的情況,比如說在公司大樓里,我所在的網路部辦公室里的幾台機器通過集線器連接,而網路部、開發部、市場部也是同樣如此,幾個部門的集線器通過路由器連接。還是回到我們的圖一上來,值得注意的一點是機器A、B、C使用一個普通的HUB連接的,不是用SWITCH,也不是用ROUTER,使用SWITCH和ROUTER的情況要比這復雜得多。
我們假設一下機器A上的管理員為了維護機器C,使用了一個FTP命令向機器C進行遠程登陸,那麼在這個用HUB連接的網路里數據走向過程是這樣的。首先機器A上的管理員輸入的登陸機器C的FTP口令經過應用層FTP協議、傳輸層TCP協議、網路層IP協議、數據鏈路層上的乙太網驅動程序一層一層的包裹,最後送到了物理層,我們的網線上。接下來數據幀送到了HUB上,現在由HUB向每一個接點廣播由機器A發出的數據幀,機器B接收到由HUB廣播發出的數據幀,並檢查在數據幀中的地址是否和自己的地址相匹配,發現不是發向自己的後把這數據幀丟棄,不予理睬。而機器C也接收到了數據幀,並在比較之後發現是發現自己的,接下來他就對這數據幀進行分析處理。
在上面這個簡單的例子中,機器B上的管理員如果很好奇,他很想知道究竟登陸機器C上FTP口令是什麼?那麼他要做的很簡單,僅僅需要把自己機器上的網卡置於混雜模式,並對接收到的數據幀進行分析,從而找到包含在數據幀中的口令信息。
sniff做法
在上一節里,我們已經知道了SNIFF的基本原理是怎麼一回事,這一節我們來親自動手做一個自己的sniff,畢竟,用程序代碼來說話比什麼都要來得真實,也容易加深理解。
回頭想一想我們上面說的原理,我們要做的事情有幾件:
1. 把網卡置於混雜模式。 2. 捕獲數據包。 3.分析數據包。
註:下面的源代碼取至Chad Renfro的《Basic Packet-SnifferConstruction from the Ground Up》一文中
/************************Tcp_sniff_2.c********************/
1.#include
2.#include
3.#include
4.#include
5.#include
6.#include
7.#include
8.#include
9.#include headers.h
#define INTERFACE eth0
/*Prototype area*/
1 0 int Open_Raw_Socket(void);
11 int Set_Promisc(char *interface,intsock);
12 int main() {
13int sock,bytes_recieved,fromlen;
14.char buffer[65535];
15.struct sockaddr_in from;
16.struct ip *ip;
17.struct tcp *tcp;
18.sock = Open_Raw_Socket();
19. Set_Promisc(INTERFACE,sock);
20. while(1)
22. {
23. fromlen = sizeof from;
24. bytes_recieved = recvfrom(sock,buffer,sizeofbuffer,0,(struct sockaddr *)&from,&fromlen);
25. printf(
Bytes received :::%5d
,bytes_recieved);
26. printf(Source address :::%s
,inet_ntoa(from.sin_addr));
27. ip = (struct ip *)buffer;
/*See if this is a TCP packet*/
28. if(ip->ip_protocol == 6) {
29. printf(IP header length :::%d
,ip->ip_length);
30. printf(Protocol :::%d
,ip->ip_protocol);
31. tcp = (struct tcp *)(buffer +(4*ip->ip_length));
32. printf(Source port :::%d
,ntohs(tcp->tcp_source_port));
33. printf(Dest port :::%d
,ntohs(tcp->tcp_dest_port));
34. }
35. }
36.}
37 int Open_Raw_Socket() {
38. int sock;
39. if((sock = socket(AF_INET,SOCK_RAW,IPPROTO_TCP)) < 0){
/*Then the socket was not created properly and must die*/
40. perror(The raw socket was not created);
41. exit(0);
42. };
43. return(sock);
44. }
45 int Set_Promisc(char *interface,int sock ) {
46. struct ifreq ifr;
47. strncpy(ifr.ifr_name,interface,strnlen(interface)+1);
48. if((ioctl(sock,SIOCGIFFLAGS,&ifr) == -1)) {
/*Could not retrieve flags for the interface*/
49. perror(Could not retrive flags for the interface);
50. exit(0);
51. }
52. printf(The interface is ::: %s
,interface);
53. perror(Retrieved flags from interface successfully);
54. ifr.ifr_flags |= IFF_PROMISC;
55. if (ioctl (sock,SIOCSIFFLAGS,&ifr) == -1 ) {
/*Could not set the flags on the interface */
56. perror(Could not set the PROMISC flag:);
57. exit(0);
58. }
59. printf(Setting interface ::: %s ::: to promisc,interface);
60. return(0);
61. }
/***********************EOF**********************************/
上面這段程序中有很詳細的註解,不過我想還是有必要說一說,首先第10行--intOpen_Raw_Socket(void);是我們的自定義函數,具體內容如下:
37 int Open_Raw_Socket() {
38. int sock;
39. if((sock = socket(AF_INET,SOCK_RAW,IPPROTO_TCP)) < 0){
/*Then the socket was not created properly and must die*/
40. perror(The raw socket was not created);
41. exit(0);
42. };
43. return(sock);
44. }
第39行 if((sock = socket(AF_INET,SOCK_RAW,IPPROTO_TCP)) < 0) {
這里我們調用了socket函數,使創建了了一個原始套介面,使之收到TCP/IP信息包。
接下來第11行-int Set_Promisc(char *interface,intsock),這也是我們的自定義函數,目的是把網卡置於混雜模式,具體內容如下:
45 int Set_Promisc(char *interface,int sock ) {
46. struct ifreq ifr;
47. strncpy(ifr.ifr_name,interface,strlen(interface)+1);
48. if((ioctl(sock,SIOCGIFFLAGS,&ifr) == -1)) {
/*Could not retrieve flags for the interface*/
49. perror(Could not retrive flags for the interface);
50. exit(0);
51. }
52. printf(The interface is ::: %s
,interface);
53. perror(Retrieved flags from interface successfully);
54. ifr.ifr_flags |= IFF_PROMISC;
55. if (ioctl (sock,SIOCSIFFLAGS,&ifr) == -1 ) {
/*Could not set the flags on the interface */
56. perror(Could not set the PROMISC flag:);
57. exit(0);
58. }
59. printf(Setting interface ::: %s ::: to promisc,interface);
60. return(0);
61. }
首先 struct ifreq ifr; 定一了一個ifrreg的結構ifr,接下來strncpy(ifr.ifr_name,interface,strnlen(interface)+1);,就是把我們網路設備的名字填充到ifr結構中,在這里#define INTERFACE eth0 ,讓我們再往下看,ioctl(sock,SIOCGIFFLAGS,&ifr),SIOCGIFFLAGS請求表示需要獲取介面標志,現在到了第54行,在我們成功的獲取介面標志後把他設置成混雜模式,ifr.ifr_flags|= IFF_PROMISC;ioctl (sock,SIOCSIFFLAGS,&ifr)。OK,現在我們所說的第一步已經完成--------把網卡置於混雜模式。
現在進入第二步,捕獲數據包。從第20行開始,我們進入了一個死循環,while(1),在第24行,recvfrom(sock,buffer,sizeof buffer,0,(struct sockaddr *)&from,&fromlen),這個函數要做的就是接收數據,並把接收到的數據放入buffer中。就是這么簡單,已經完成了我們要捕獲數據包的任務。
到了第三步,分析數據包。27行,ip = (struct ip*)buffer,使我們在頭文件中的IP結構對應於所接收到的數據,接下來判斷在網路層中是否使用的是TCP協議,if(ip->ip_protocol== 6) ,如果答案是,tcp信息包從整個IP/TCP包 buffer +(4*ip->ip_length) 地址處開始,所以31行 tcp = (struct tcp*)(buffer +(4*ip->ip_length)),然後對應結構把你所需要的信息輸出。
/*************************headers.h**************************/
/*structure of an ip header*/
struct ip {
unsigned int ip_length:4; /*little-endian*/
unsigned int ip_version:4;
unsigned char ip_tos;
unsigned short ip_total_length;
unsigned short ip_id;
unsigned short ip_flags;
unsigned char ip_ttl;
unsigned char ip_protocol;
unsigned short ip_cksum;
unsigned int ip_source; unsigned int ip_dest;
};
/* Structure of a TCP header */
struct tcp {
unsigned short tcp_source_port;
unsigned short tcp_dest_port;
unsigned int tcp_seqno;
unsigned int tcp_ackno;
unsigned int tcp_res1:4,/*little-endian*/
tcp_hlen:4,
tcp_fin:1,
tcp_syn:1,
tcp_rst:1,
tcp_psh:1,
tcp_ack:1,
tcp_urg:1,
tcp_res2:2;
unsigned short tcp_winsize;
unsigned short tcp_cksum;
unsigned short tcp_urgent;
};
/*********************EOF***********************************/
從上面的分析我們可以清楚的認識到,認識一個SNIFF需要對TCP/IP協議有著詳細的了解,否則你根本無法找到你需要的信息。有了上面的基礎,你可以自己來做一個你需要的SNIFF了。
E. 什麼是網路嗅探器,網路嗅探器是幹嘛的
網路嗅探器簡單說來就是使我們能夠「嗅探」到本地網路的數據,並檢查進入計算機的信息包。
另外,當我們處理自身網路問題的時候,一個信息包嗅探器向我們展示出正在網路上進行的一切活動。於是,藉助一定的知識水準,我們就可以確定問題的根源所在。必須記住的是, 信息嗅探器並不會告訴你問題究竟是什麼,而只會告訴你究竟發生了什麼。
就好比你用鼻子「嗅」,或用手去「探」,而不用眼去看,你能「嗅探」出那裡有東西,但不知道是什麼!
方法主要就是用一些嗅探工具。你在網路上搜索一下「嗅探器工具」就會有很多介紹和下載。