嗅探（英語(yǔ):Sniffing）是一種竊聽(tīng)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包的方法，一般指嗅探器對(duì)數(shù)據(jù)流進(jìn)行攔截和數(shù)據(jù)包分析。根據(jù)工作環(huán)境和工作原理，嗅探技術(shù)可分為本地嗅探、廣播網(wǎng)絡(luò)嗅探和基于交換機(jī)的嗅探。嗅探技術(shù)是一種重要的網(wǎng)絡(luò)安全攻防技術(shù)。在嗅探技術(shù)的幫助下，安全管理人員可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)并發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊。但是，由于嗅探易于操作且難以檢測(cè)，它也可能被黑客用于網(wǎng)絡(luò)攻擊，以獲取網(wǎng)絡(luò)中大量未加密的敏感信息。

定義嗅探是一種網(wǎng)絡(luò)流量數(shù)據(jù)分析方法，它可以在不重定向數(shù)據(jù)傳輸或更改其內(nèi)容的情況下捕獲和攔截在計(jì)算機(jī)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，使接受數(shù)據(jù)的用戶難以發(fā)現(xiàn)。網(wǎng)絡(luò)管理員可以使用嗅探技術(shù)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行，捕獲和分析通信數(shù)據(jù)，并發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞。它還可以用作黑客工具來(lái)竊取用戶數(shù)據(jù)，窺探用戶隱私，并進(jìn)行會(huì)話劫持等網(wǎng)絡(luò)攻擊。

本地嗅探：原生嗅探是指嗅探器程序在計(jì)算機(jī)中以某種方式獲取發(fā)送給進(jìn)程的數(shù)據(jù)包的過(guò)程。例如，當(dāng)郵件客戶端正在發(fā)送和接收郵件時(shí)，嗅探器程序可以竊聽(tīng)所有的交互進(jìn)程和其中傳遞的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)包需要多次解析才能獲得應(yīng)用程序數(shù)據(jù)。在獲得它們之后，它們通常要經(jīng)過(guò)硬件驅(qū)動(dòng)程序和操作系統(tǒng)協(xié)議棧，然后才能進(jìn)入應(yīng)用程序處理。因此，如果將數(shù)據(jù)包捕獲代碼寫(xiě)入硬件驅(qū)動(dòng)程序?qū)踊虿僮飨到y(tǒng)協(xié)議棧層，則可以獲取其他應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)。

廣播網(wǎng)絡(luò)嗅探：廣播網(wǎng)絡(luò)嗅探是廣播網(wǎng)絡(luò)中的一種網(wǎng)絡(luò)嗅探行為。廣播網(wǎng)絡(luò)通常是使用集線器（HUB）的局域網(wǎng)，其工作原理基于總線模式。在該網(wǎng)絡(luò)中，所有數(shù)據(jù)包都將被廣播和發(fā)送到所有端口。廣播網(wǎng)絡(luò)中的嗅探使用廣播網(wǎng)絡(luò)中“共享”的通信模式，其中所有網(wǎng)卡將接收所有數(shù)據(jù)包，然后通過(guò)各自的過(guò)濾器過(guò)濾不必要的數(shù)據(jù)包。因此，只要本地網(wǎng)卡設(shè)置為混雜模式，嗅探工具就可以支持對(duì)廣播網(wǎng)絡(luò)或多播網(wǎng)絡(luò)的嗅探。

基于交換機(jī)的嗅探：基于交換機(jī)的嗅探是指在交換環(huán)境中以某種方式實(shí)施的嗅探。交換機(jī)的工作原理與集線器不同。它不是將數(shù)據(jù)包轉(zhuǎn)發(fā)到所有端口，而是通過(guò)“包交換”一對(duì)一地傳輸數(shù)據(jù)。也就是說(shuō)，交換機(jī)可以記住每個(gè)端口的MAC地址，并根據(jù)數(shù)據(jù)包的目的地址選擇目的端口，因此只有與目的地址對(duì)應(yīng)的網(wǎng)卡才能接收數(shù)據(jù)。端口鏡像、MAC泛洪、MAC復(fù)制和ARP欺騙可用于實(shí)現(xiàn)基于交換機(jī)的嗅探。

大多數(shù)可管理的交換機(jī)都支持端口鏡像功能，這是交換機(jī)為調(diào)試而保留的功能。通過(guò)端口鏡像，本機(jī)嗅探器工具可以嗅探交換機(jī)上的任何端口。基于端口鏡像的嗅探受到交換機(jī)可支持的鏡像功能的限制。因?yàn)榛诙丝阽R像的嗅探必須具有交換機(jī)的管理權(quán)限，所以網(wǎng)絡(luò)管理員經(jīng)常使用這種嗅探方法。

攻擊者經(jīng)常使用MAC泛洪嗅探。為了執(zhí)行分組交換，網(wǎng)絡(luò)交換機(jī)必須在內(nèi)部維護(hù)一個(gè)轉(zhuǎn)換表，以將不同的MAC地址轉(zhuǎn)換為它們自己的物理端口。因?yàn)榻粨Q機(jī)的工作內(nèi)存是有限的，如果交換機(jī)不斷受到虛假M(fèi)AC地址的攻擊，直到交換機(jī)的工作內(nèi)存滿了為止，它將進(jìn)入“失效開(kāi)放模式”，并開(kāi)始像集線器一樣工作，向網(wǎng)絡(luò)上的所有機(jī)器廣播數(shù)據(jù)包。在這種情況下，交換機(jī)嗅探可以通過(guò)廣播網(wǎng)絡(luò)嗅探來(lái)實(shí)現(xiàn)。

MAC復(fù)制是修改本地MAC地址，使其與要嗅探的主機(jī)的MAC地址相同。交換機(jī)將發(fā)現(xiàn)有兩個(gè)端口對(duì)應(yīng)于同一個(gè)MAC地址，因此發(fā)往該MAC地址的數(shù)據(jù)包將同時(shí)從這兩個(gè)交換機(jī)端口發(fā)出。

ARP欺騙技術(shù)是指騙子利用ARP協(xié)議的漏洞。根據(jù)ARP協(xié)議的設(shè)計(jì)，為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，每當(dāng)主機(jī)收到ARP回復(fù)包時(shí)，都會(huì)自動(dòng)更新ARP緩存。通過(guò)這種方式，攻擊者可以向目標(biāo)主機(jī)發(fā)送偽造的ARP數(shù)據(jù)包進(jìn)行欺騙，從而達(dá)到監(jiān)控的目的。一旦局域網(wǎng)中存在ARP攻擊，它將欺騙局域網(wǎng)中的所有主機(jī)和網(wǎng)關(guān)，并讓所有通信通過(guò)ARP攻擊者控制的主機(jī)。

嗅探攻擊是一種常見(jiàn)的被動(dòng)網(wǎng)絡(luò)攻擊類型，它只會(huì)復(fù)制網(wǎng)絡(luò)信息，而不會(huì)直接改變信息的狀態(tài)。嗅探器是嗅探攻擊技術(shù)中常用的一種設(shè)備，它可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，當(dāng)在大量信息中發(fā)現(xiàn)有用和有價(jià)值的信息時(shí)，就開(kāi)始竊取它。攻擊者可以竊聽(tīng)通信數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)狀態(tài)，并在網(wǎng)絡(luò)拓?fù)渲械哪承┕?jié)點(diǎn)或鏈路上竊取用戶帳戶和密碼等敏感數(shù)據(jù)。

信息交互需要建立信息傳輸通道，發(fā)送方通過(guò)該通道向接收方發(fā)送數(shù)據(jù)信息。嗅探攻擊的原理與信息傳輸?shù)脑砘鞠嗤畔⒉粌H從發(fā)送者傳輸?shù)浇邮照撸已刂鴱慕K端到黑客終端的路徑傳輸，從終端到黑客終端的傳輸對(duì)發(fā)送者和接收者都是完全透明的。集線器從端口接收到MAC幀后，它不僅需要從該端口接收MAC幀，還需要將MAC幀發(fā)送到其他端口。因此，當(dāng)集線器接收到MAC幀時(shí)，它將沿著從路由器到黑客的路徑輸出MAC幀，這將容易造成數(shù)據(jù)泄漏并達(dá)到網(wǎng)絡(luò)嗅探的目的。

當(dāng)網(wǎng)絡(luò)受到嗅探器攻擊時(shí)，數(shù)據(jù)信息將被泄露，此時(shí)黑客可以惡意篡改信息。當(dāng)黑客不斷收到信息時(shí)，他們會(huì)將信息發(fā)送到目的地終端，或者增加信息傳輸?shù)念l率，從而增強(qiáng)網(wǎng)絡(luò)攻擊的次數(shù)，這將對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)造成更大的破壞。

對(duì)策：子網(wǎng)劃分:網(wǎng)絡(luò)嗅探技術(shù)大多局限于嗅探和分析同一子網(wǎng)下的網(wǎng)絡(luò)信息。對(duì)于工作在不同子網(wǎng)的主機(jī)，由于IP地址不同，需要進(jìn)行IP地址前綴匹配等操作，無(wú)法通過(guò)MAC廣播幀的方式直接轉(zhuǎn)發(fā)和交付數(shù)據(jù)。因此，對(duì)組織的內(nèi)部網(wǎng)絡(luò)劃分子網(wǎng)可以有效地應(yīng)對(duì)網(wǎng)絡(luò)嗅探攻擊。

網(wǎng)絡(luò)流量監(jiān)控:嗅探器的網(wǎng)卡工作在“混雜模式”，這導(dǎo)致嗅探器接收來(lái)自同一子網(wǎng)的所有數(shù)據(jù)幀，因此嗅探器將占用大量網(wǎng)絡(luò)帶寬。根據(jù)嗅探器的這一工作特性，我們可以通過(guò)監(jiān)控網(wǎng)絡(luò)流量來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嗅探器。如果發(fā)現(xiàn)某臺(tái)主機(jī)的網(wǎng)絡(luò)帶寬利用率始終很高，則意味著該主機(jī)的網(wǎng)卡很可能工作在“混雜模式”下，這意味著該主機(jī)可能是嗅探器。

數(shù)據(jù)加密:網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)之初主要考慮數(shù)據(jù)包傳輸?shù)姆奖憧旖菪裕鴽](méi)有考慮數(shù)據(jù)的安全性，導(dǎo)致數(shù)據(jù)包在網(wǎng)絡(luò)中以明文形式傳輸。在傳輸數(shù)據(jù)之前對(duì)數(shù)據(jù)進(jìn)行加密，這樣嗅探器就無(wú)法獲取數(shù)據(jù)包中的用戶信息，保證了網(wǎng)絡(luò)傳輸?shù)陌踩浴?br />

“欺騙和暴露”策略:該策略是根據(jù)工作在“混合模式”下的網(wǎng)卡將接受所有MAC幀的行為而設(shè)計(jì)的。因?yàn)樾崽狡髦唤邮账械腗AC數(shù)據(jù)幀，所以它不知道它接收到的MAC地址是否真的存在于子網(wǎng)中。因此，為了檢測(cè)子網(wǎng)中是否存在嗅探器，可以向子網(wǎng)發(fā)送IP地址正確但MAC地址錯(cuò)誤的數(shù)據(jù)幀。如果該子網(wǎng)中存在嗅探器，嗅探器將捕獲錯(cuò)誤的數(shù)據(jù)幀，并給出基于ICMP協(xié)議的響應(yīng)消息。

嗅探器：嗅探器是一種通過(guò)使用計(jì)算機(jī)的網(wǎng)絡(luò)接口來(lái)攔截目的地為其他計(jì)算機(jī)的數(shù)據(jù)包的工具，它可以竊聽(tīng)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包。

嗅探器最初是網(wǎng)絡(luò)管理人員監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)和數(shù)據(jù)流的有效管理工具。網(wǎng)絡(luò)管理員可以使用它進(jìn)行故障分析以發(fā)現(xiàn)網(wǎng)絡(luò)中的問(wèn)題，也可以使用它進(jìn)行性能分析以發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸。此外，嗅探器是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的基礎(chǔ)。但是黑客也可以使用嗅探器竊取用戶帳戶和密碼，非法訪問(wèn)計(jì)算機(jī)中的信息資源，竊取商業(yè)機(jī)密，甚至破壞計(jì)算機(jī)系統(tǒng)。

嗅探器可以分為軟件和硬件。軟件嗅探器很容易使用，并且針對(duì)不同的操作系統(tǒng)平臺(tái)有許多不同的軟件嗅探器，其中大多數(shù)都是免費(fèi)的。硬件嗅探器通常被稱為協(xié)議分析器。根據(jù)功能的不同，嗅探器還可以分為通用網(wǎng)絡(luò)嗅探器和專用嗅探器。前者支持多種協(xié)議，如tcpdump、Snifferit等。后者一般針對(duì)特定軟件或僅提供特定功能，例如用于MSN等即時(shí)通信軟件的嗅探器、用于電子郵件密碼的嗅探器以及用于捕獲藍(lán)牙設(shè)備之間的通信數(shù)據(jù)的嗅探器。

常用工具：Tcpdump/Windump: Tcpdump是一種網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控和分析工具，最初由加州大學(xué)伯克利分校勞倫斯伯克利國(guó)家實(shí)驗(yàn)室的網(wǎng)絡(luò)研究小組開(kāi)發(fā)，后來(lái)由“Tcpdump小組”進(jìn)行更新和維護(hù)。Tcpdump（基于Libpcap）支持Solaris、HP-UX、Irix和BSD等多種操作系統(tǒng)平臺(tái)，不同平臺(tái)的具體安裝有所不同。Windows平臺(tái)的Tcpdump版本稱為Windump，它運(yùn)行在與Libpcap兼容的Winpcap庫(kù)上。

Sniffit:Sniffit是勞倫斯伯克利實(shí)驗(yàn)室開(kāi)發(fā)的嗅探器，可以在Solaris、Iris、FreeBSD和Linux等各種系統(tǒng)平臺(tái)上運(yùn)行。與Tcpdump相比，它可以提供完整的數(shù)據(jù)包內(nèi)容輸出。用戶可以選擇源地址和目的地址或地址集，并選擇監(jiān)聽(tīng)端口、協(xié)議和網(wǎng)絡(luò)接口。從而方便地捕獲網(wǎng)絡(luò)數(shù)據(jù)包。Sniffit是基于Libpcap開(kāi)發(fā)的。當(dāng)它在Windows平臺(tái)上運(yùn)行時(shí)，需要Winpcap的支持。

Ettercap:Ettercap是由Alberto Ornaghi和Marco Valleri開(kāi)發(fā)交換網(wǎng)絡(luò)嗅探器。它不僅包括常規(guī)的混雜模式嗅探，還包括ARP欺騙的嗅探功能，可以監(jiān)視交換環(huán)境中的網(wǎng)絡(luò)通信。它支持許多協(xié)議的主動(dòng)和被動(dòng)解析，包括加密協(xié)議，并包括用于互聯(lián)網(wǎng)和用戶計(jì)算機(jī)分析的功能。它有兩個(gè)主要的嗅探選項(xiàng):統(tǒng)一模式，即以中間人的方式進(jìn)行嗅探；橋接模式，即在雙網(wǎng)卡的情況下，嗅探兩個(gè)網(wǎng)卡之間的數(shù)據(jù)包。

Dsniff:Dsniff是由Dug Song開(kāi)發(fā)的嗅探器，它是第一個(gè)擴(kuò)展了傳統(tǒng)嗅探器概念的監(jiān)控工具。Dsniff用于分析各種網(wǎng)絡(luò)協(xié)議和嗅探密碼。它可以從FTP、Telnet、POP、rLogin、Microsoft SMB、SNMP、IMAP和其他協(xié)議獲取信息。

Wireshark:Wireshark（原名:Ethereal）是一款網(wǎng)絡(luò)數(shù)據(jù)包分析軟件。作為一款開(kāi)源的數(shù)據(jù)包捕獲和分析器，Wireshark支持Windows和Linux等操作系統(tǒng)。Wireshark使用pcap監(jiān)控和捕獲來(lái)自網(wǎng)絡(luò)接口的數(shù)據(jù)包，并根據(jù)IP地址、協(xié)議和許多其他參數(shù)過(guò)濾數(shù)據(jù)包。不同的數(shù)據(jù)包可以基于相關(guān)性進(jìn)行分組或標(biāo)記。

微軟網(wǎng)絡(luò)監(jiān)視器:微軟網(wǎng)絡(luò)監(jiān)視器是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)分析工具，僅支持Windows平臺(tái)。它可用于捕獲、分析和排除網(wǎng)絡(luò)數(shù)據(jù)包故障，為實(shí)時(shí)網(wǎng)絡(luò)流量提供專業(yè)的圖形界面。在功能上，該軟件支持300多種協(xié)議、無(wú)線監(jiān)控模式和碎片消息重組。

網(wǎng)絡(luò)入侵監(jiān)控：NIDS（Network Intrusion Detection System，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)）是指通過(guò)異常分析和模式匹配來(lái)分析網(wǎng)絡(luò)上的數(shù)據(jù)包，進(jìn)而發(fā)現(xiàn)蠕蟲(chóng)、攻擊和入侵等違規(guī)行為的硬件或軟件。NIDS是一個(gè)帶有專家系統(tǒng)的嗅探工具，通常運(yùn)行在鏡像端口（交換機(jī)）上。NIDS將把通過(guò)嗅探捕獲的數(shù)據(jù)包提交到分析模式進(jìn)行分析。結(jié)合專家?guī)熘械奶卣骱湍Ｐ停治瞿K將提取有害和可疑事件，從而對(duì)病毒蠕蟲(chóng)和網(wǎng)絡(luò)入侵進(jìn)行報(bào)警。

嗅探

網(wǎng)絡(luò)安全審計(jì)：網(wǎng)絡(luò)審計(jì)是指使用網(wǎng)絡(luò)嗅探工具獲取、解碼和存儲(chǔ)數(shù)據(jù)包，以供以后查詢或提供即時(shí)警報(bào)。通過(guò)嗅探技術(shù)，網(wǎng)絡(luò)審計(jì)可以實(shí)現(xiàn)在線行為審計(jì)、網(wǎng)絡(luò)違規(guī)數(shù)據(jù)監(jiān)控等功能。利用網(wǎng)絡(luò)嗅探技術(shù)開(kāi)發(fā)的網(wǎng)絡(luò)行為審計(jì)軟件是檢查網(wǎng)絡(luò)傳輸數(shù)據(jù)流合法性的工具。它在重要的網(wǎng)絡(luò)節(jié)點(diǎn)上工作，可以檢測(cè)在線違規(guī)行為，例如發(fā)送違反國(guó)家法律或法規(guī)或包含色情和反動(dòng)內(nèi)容的電子郵件；在論壇或網(wǎng)站上傳播違反國(guó)家法律法規(guī)或色情或反動(dòng)信息；訪問(wèn)違反國(guó)家法律或包含色情或反動(dòng)內(nèi)容的網(wǎng)站。

病毒和蠕蟲(chóng)的控制：嗅探技術(shù)對(duì)蠕蟲(chóng)病毒的控制可以起到一定的作用:利用基于嗅探的流量檢測(cè)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并結(jié)合已建立的異常流量模式，初步判斷網(wǎng)絡(luò)蠕蟲(chóng)病毒爆發(fā)的前兆；利用基于嗅探的網(wǎng)絡(luò)協(xié)議分析進(jìn)一步確認(rèn)病毒和蠕蟲(chóng)的爆發(fā)，及時(shí)給出預(yù)警信息；利用基于嗅探的蜜罐，獲取病毒和蠕蟲(chóng)樣本并進(jìn)行詳細(xì)分析，設(shè)計(jì)了可行的清除和防御方案。基于嗅探的入侵檢測(cè)用于準(zhǔn)確定位局域網(wǎng)中病毒和蠕蟲(chóng)的傳播源，從而及時(shí)有效地扼殺病毒傳播行為。

網(wǎng)絡(luò)部署和跟蹤：現(xiàn)代網(wǎng)絡(luò)犯罪往往通過(guò)跳板進(jìn)行，即通過(guò)一個(gè)中間主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊和犯罪活動(dòng)，這嚴(yán)重阻礙了對(duì)犯罪分子的抓捕。嗅探技術(shù)可用于追蹤網(wǎng)絡(luò)犯罪，并幫助執(zhí)法機(jī)構(gòu)定位網(wǎng)絡(luò)罪犯。網(wǎng)絡(luò)控制的實(shí)際操作如下:當(dāng)發(fā)現(xiàn)通過(guò)中間跳板主機(jī)進(jìn)行網(wǎng)絡(luò)犯罪時(shí)，可以運(yùn)行網(wǎng)絡(luò)嗅探器對(duì)其進(jìn)行24小時(shí)監(jiān)控。如果罪犯遠(yuǎn)程登錄主機(jī)，網(wǎng)絡(luò)嗅探器將記錄罪犯的IP地址，從而協(xié)助定位和跟蹤。網(wǎng)絡(luò)跟蹤是一種針對(duì)偽造IP地址攻擊的跟蹤方法。網(wǎng)絡(luò)攻擊通常使用虛假的IP地址（尤其是大規(guī)模拒絕服務(wù)攻擊），因此無(wú)法從被攻擊的飛機(jī)嗅探到的數(shù)據(jù)中直接確定攻擊的來(lái)源。因此，有必要使用移動(dòng)網(wǎng)絡(luò)嗅探器從端點(diǎn)逐一追溯，直到找到攻擊的原點(diǎn)。

網(wǎng)絡(luò)取證：基于嗅探的網(wǎng)絡(luò)取證工具可以運(yùn)行在犯罪分子需要取證的計(jì)算機(jī)上（如個(gè)人計(jì)算機(jī)或公共場(chǎng)所的計(jì)算機(jī)），可以記錄犯罪分子的網(wǎng)絡(luò)行為（如電子郵件、聊天信息、上網(wǎng)記錄等）。），從而協(xié)助偵破案件和獲取起訴證據(jù)。為了確保嗅探工具獲取的網(wǎng)絡(luò)證據(jù)不可篡改，需要在網(wǎng)絡(luò)取證工具中內(nèi)置數(shù)字簽名工具，防止操作人員人為修改或錯(cuò)誤修改數(shù)字證據(jù)。