嗅探（英語:Sniffing）是一種竊聽流經網絡的數據包的方法，一般指嗅探器對數據流進行攔截和數據包分析。根據工作環境和工作原理，嗅探技術可分為本地嗅探、廣播網絡嗅探和基于交換機的嗅探。嗅探技術是一種重要的網絡安全攻防技術。在嗅探技術的幫助下，安全管理人員可以實時監控網絡活動并發現各種網絡攻擊。但是，由于嗅探易于操作且難以檢測，它也可能被黑客用于網絡攻擊，以獲取網絡中大量未加密的敏感信息。

定義嗅探是一種網絡流量數據分析方法，它可以在不重定向數據傳輸或更改其內容的情況下捕獲和攔截在計算機網絡上傳輸的數據包，使接受數據的用戶難以發現。網絡管理員可以使用嗅探技術實時監控網絡運行，捕獲和分析通信數據，并發現網絡安全漏洞。它還可以用作黑客工具來竊取用戶數據，窺探用戶隱私，并進行會話劫持等網絡攻擊。

本地嗅探：原生嗅探是指嗅探器程序在計算機中以某種方式獲取發送給進程的數據包的過程。例如，當郵件客戶端正在發送和接收郵件時，嗅探器程序可以竊聽所有的交互進程和其中傳遞的數據。網絡數據包需要多次解析才能獲得應用程序數據。在獲得它們之后，它們通常要經過硬件驅動程序和操作系統協議棧，然后才能進入應用程序處理。因此，如果將數據包捕獲代碼寫入硬件驅動程序層或操作系統協議棧層，則可以獲取其他應用程序的網絡數據。

廣播網絡嗅探：廣播網絡嗅探是廣播網絡中的一種網絡嗅探行為。廣播網絡通常是使用集線器（HUB）的局域網，其工作原理基于總線模式。在該網絡中，所有數據包都將被廣播和發送到所有端口。廣播網絡中的嗅探使用廣播網絡中“共享”的通信模式，其中所有網卡將接收所有數據包，然后通過各自的過濾器過濾不必要的數據包。因此，只要本地網卡設置為混雜模式，嗅探工具就可以支持對廣播網絡或多播網絡的嗅探。

基于交換機的嗅探：基于交換機的嗅探是指在交換環境中以某種方式實施的嗅探。交換機的工作原理與集線器不同。它不是將數據包轉發到所有端口，而是通過“包交換”一對一地傳輸數據。也就是說，交換機可以記住每個端口的MAC地址，并根據數據包的目的地址選擇目的端口，因此只有與目的地址對應的網卡才能接收數據。端口鏡像、MAC泛洪、MAC復制和ARP欺騙可用于實現基于交換機的嗅探。

大多數可管理的交換機都支持端口鏡像功能，這是交換機為調試而保留的功能。通過端口鏡像，本機嗅探器工具可以嗅探交換機上的任何端口。基于端口鏡像的嗅探受到交換機可支持的鏡像功能的限制。因為基于端口鏡像的嗅探必須具有交換機的管理權限，所以網絡管理員經常使用這種嗅探方法。

攻擊者經常使用MAC泛洪嗅探。為了執行分組交換，網絡交換機必須在內部維護一個轉換表，以將不同的MAC地址轉換為它們自己的物理端口。因為交換機的工作內存是有限的，如果交換機不斷受到虛假MAC地址的攻擊，直到交換機的工作內存滿了為止，它將進入“失效開放模式”，并開始像集線器一樣工作，向網絡上的所有機器廣播數據包。在這種情況下，交換機嗅探可以通過廣播網絡嗅探來實現。

MAC復制是修改本地MAC地址，使其與要嗅探的主機的MAC地址相同。交換機將發現有兩個端口對應于同一個MAC地址，因此發往該MAC地址的數據包將同時從這兩個交換機端口發出。

ARP欺騙技術是指騙子利用ARP協議的漏洞。根據ARP協議的設計，為了減少網絡上過多的ARP數據通信，每當主機收到ARP回復包時，都會自動更新ARP緩存。通過這種方式，攻擊者可以向目標主機發送偽造的ARP數據包進行欺騙，從而達到監控的目的。一旦局域網中存在ARP攻擊，它將欺騙局域網中的所有主機和網關，并讓所有通信通過ARP攻擊者控制的主機。

嗅探攻擊是一種常見的被動網絡攻擊類型，它只會復制網絡信息，而不會直接改變信息的狀態。嗅探器是嗅探攻擊技術中常用的一種設備，它可以實時監控網絡的運行狀態，當在大量信息中發現有用和有價值的信息時，就開始竊取它。攻擊者可以竊聽通信數據，監視網絡狀態，并在網絡拓撲中的某些節點或鏈路上竊取用戶帳戶和密碼等敏感數據。

信息交互需要建立信息傳輸通道，發送方通過該通道向接收方發送數據信息。嗅探攻擊的原理與信息傳輸的原理基本相同，但信息不僅從發送者傳輸到接收者，而且沿著從終端到黑客終端的路徑傳輸，從終端到黑客終端的傳輸對發送者和接收者都是完全透明的。集線器從端口接收到MAC幀后，它不僅需要從該端口接收MAC幀，還需要將MAC幀發送到其他端口。因此，當集線器接收到MAC幀時，它將沿著從路由器到黑客的路徑輸出MAC幀，這將容易造成數據泄漏并達到網絡嗅探的目的。

當網絡受到嗅探器攻擊時，數據信息將被泄露，此時黑客可以惡意篡改信息。當黑客不斷收到信息時，他們會將信息發送到目的地終端，或者增加信息傳輸的頻率，從而增強網絡攻擊的次數，這將對整個網絡系統造成更大的破壞。

對策：子網劃分:網絡嗅探技術大多局限于嗅探和分析同一子網下的網絡信息。對于工作在不同子網的主機，由于IP地址不同，需要進行IP地址前綴匹配等操作，無法通過MAC廣播幀的方式直接轉發和交付數據。因此，對組織的內部網絡劃分子網可以有效地應對網絡嗅探攻擊。

網絡流量監控:嗅探器的網卡工作在“混雜模式”，這導致嗅探器接收來自同一子網的所有數據幀，因此嗅探器將占用大量網絡帶寬。根據嗅探器的這一工作特性，我們可以通過監控網絡流量來發現網絡中是否存在嗅探器。如果發現某臺主機的網絡帶寬利用率始終很高，則意味著該主機的網卡很可能工作在“混雜模式”下，這意味著該主機可能是嗅探器。

數據加密:網絡協議在設計之初主要考慮數據包傳輸的方便快捷性，而沒有考慮數據的安全性，導致數據包在網絡中以明文形式傳輸。在傳輸數據之前對數據進行加密，這樣嗅探器就無法獲取數據包中的用戶信息，保證了網絡傳輸的安全性。

“欺騙和暴露”策略:該策略是根據工作在“混合模式”下的網卡將接受所有MAC幀的行為而設計的。因為嗅探器只接收所有的MAC數據幀，所以它不知道它接收到的MAC地址是否真的存在于子網中。因此，為了檢測子網中是否存在嗅探器，可以向子網發送IP地址正確但MAC地址錯誤的數據幀。如果該子網中存在嗅探器，嗅探器將捕獲錯誤的數據幀，并給出基于ICMP協議的響應消息。

嗅探器：嗅探器是一種通過使用計算機的網絡接口來攔截目的地為其他計算機的數據包的工具，它可以竊聽流經網絡的數據包。

嗅探器最初是網絡管理人員監控網絡運行狀態和數據流的有效管理工具。網絡管理員可以使用它進行故障分析以發現網絡中的問題，也可以使用它進行性能分析以發現網絡瓶頸。此外，嗅探器是基于網絡的入侵檢測系統的基礎。但是黑客也可以使用嗅探器竊取用戶帳戶和密碼，非法訪問計算機中的信息資源，竊取商業機密，甚至破壞計算機系統。

嗅探器可以分為軟件和硬件。軟件嗅探器很容易使用，并且針對不同的操作系統平臺有許多不同的軟件嗅探器，其中大多數都是免費的。硬件嗅探器通常被稱為協議分析器。根據功能的不同，嗅探器還可以分為通用網絡嗅探器和專用嗅探器。前者支持多種協議，如tcpdump、Snifferit等。后者一般針對特定軟件或僅提供特定功能，例如用于MSN等即時通信軟件的嗅探器、用于電子郵件密碼的嗅探器以及用于捕獲藍牙設備之間的通信數據的嗅探器。

常用工具：Tcpdump/Windump: Tcpdump是一種網絡數據包監控和分析工具，最初由加州大學伯克利分校勞倫斯伯克利國家實驗室的網絡研究小組開發，后來由“Tcpdump小組”進行更新和維護。Tcpdump（基于Libpcap）支持Solaris、HP-UX、Irix和BSD等多種操作系統平臺，不同平臺的具體安裝有所不同。Windows平臺的Tcpdump版本稱為Windump，它運行在與Libpcap兼容的Winpcap庫上。

Sniffit:Sniffit是勞倫斯伯克利實驗室開發的嗅探器，可以在Solaris、Iris、FreeBSD和Linux等各種系統平臺上運行。與Tcpdump相比，它可以提供完整的數據包內容輸出。用戶可以選擇源地址和目的地址或地址集，并選擇監聽端口、協議和網絡接口。從而方便地捕獲網絡數據包。Sniffit是基于Libpcap開發的。當它在Windows平臺上運行時，需要Winpcap的支持。

Ettercap:Ettercap是由Alberto Ornaghi和Marco Valleri開發交換網絡嗅探器。它不僅包括常規的混雜模式嗅探，還包括ARP欺騙的嗅探功能，可以監視交換環境中的網絡通信。它支持許多協議的主動和被動解析，包括加密協議，并包括用于互聯網和用戶計算機分析的功能。它有兩個主要的嗅探選項:統一模式，即以中間人的方式進行嗅探；橋接模式，即在雙網卡的情況下，嗅探兩個網卡之間的數據包。

Dsniff:Dsniff是由Dug Song開發的嗅探器，它是第一個擴展了傳統嗅探器概念的監控工具。Dsniff用于分析各種網絡協議和嗅探密碼。它可以從FTP、Telnet、POP、rLogin、Microsoft SMB、SNMP、IMAP和其他協議獲取信息。

Wireshark:Wireshark（原名:Ethereal）是一款網絡數據包分析軟件。作為一款開源的數據包捕獲和分析器，Wireshark支持Windows和Linux等操作系統。Wireshark使用pcap監控和捕獲來自網絡接口的數據包，并根據IP地址、協議和許多其他參數過濾數據包。不同的數據包可以基于相關性進行分組或標記。

微軟網絡監視器:微軟網絡監視器是一個網絡數據分析工具，僅支持Windows平臺。它可用于捕獲、分析和排除網絡數據包故障，為實時網絡流量提供專業的圖形界面。在功能上，該軟件支持300多種協議、無線監控模式和碎片消息重組。

網絡入侵監控：NIDS（Network Intrusion Detection System，網絡入侵檢測系統）是指通過異常分析和模式匹配來分析網絡上的數據包，進而發現蠕蟲、攻擊和入侵等違規行為的硬件或軟件。NIDS是一個帶有專家系統的嗅探工具，通常運行在鏡像端口（交換機）上。NIDS將把通過嗅探捕獲的數據包提交到分析模式進行分析。結合專家庫中的特征和模型，分析模塊將提取有害和可疑事件，從而對病毒蠕蟲和網絡入侵進行報警。

嗅探

網絡安全審計：網絡審計是指使用網絡嗅探工具獲取、解碼和存儲數據包，以供以后查詢或提供即時警報。通過嗅探技術，網絡審計可以實現在線行為審計、網絡違規數據監控等功能。利用網絡嗅探技術開發的網絡行為審計軟件是檢查網絡傳輸數據流合法性的工具。它在重要的網絡節點上工作，可以檢測在線違規行為，例如發送違反國家法律或法規或包含色情和反動內容的電子郵件；在論壇或網站上傳播違反國家法律法規或色情或反動信息；訪問違反國家法律或包含色情或反動內容的網站。

病毒和蠕蟲的控制：嗅探技術對蠕蟲病毒的控制可以起到一定的作用:利用基于嗅探的流量檢測及時發現網絡流量異常，并結合已建立的異常流量模式，初步判斷網絡蠕蟲病毒爆發的前兆；利用基于嗅探的網絡協議分析進一步確認病毒和蠕蟲的爆發，及時給出預警信息；利用基于嗅探的蜜罐，獲取病毒和蠕蟲樣本并進行詳細分析，設計了可行的清除和防御方案。基于嗅探的入侵檢測用于準確定位局域網中病毒和蠕蟲的傳播源，從而及時有效地扼殺病毒傳播行為。

網絡部署和跟蹤：現代網絡犯罪往往通過跳板進行，即通過一個中間主機進行網絡攻擊和犯罪活動，這嚴重阻礙了對犯罪分子的抓捕。嗅探技術可用于追蹤網絡犯罪，并幫助執法機構定位網絡罪犯。網絡控制的實際操作如下:當發現通過中間跳板主機進行網絡犯罪時，可以運行網絡嗅探器對其進行24小時監控。如果罪犯遠程登錄主機，網絡嗅探器將記錄罪犯的IP地址，從而協助定位和跟蹤。網絡跟蹤是一種針對偽造IP地址攻擊的跟蹤方法。網絡攻擊通常使用虛假的IP地址（尤其是大規模拒絕服務攻擊），因此無法從被攻擊的飛機嗅探到的數據中直接確定攻擊的來源。因此，有必要使用移動網絡嗅探器從端點逐一追溯，直到找到攻擊的原點。

網絡取證：基于嗅探的網絡取證工具可以運行在犯罪分子需要取證的計算機上（如個人計算機或公共場所的計算機），可以記錄犯罪分子的網絡行為（如電子郵件、聊天信息、上網記錄等）。），從而協助偵破案件和獲取起訴證據。為了確保嗅探工具獲取的網絡證據不可篡改，需要在網絡取證工具中內置數字簽名工具，防止操作人員人為修改或錯誤修改數字證據。