嗅探（英語:Sniffing）是一種竊聽流經(jīng)網(wǎng)絡的數(shù)據(jù)包的方法，一般指嗅探器對數(shù)據(jù)流進行攔截和數(shù)據(jù)包分析。根據(jù)工作環(huán)境和工作原理，嗅探技術可分為本地嗅探、廣播網(wǎng)絡嗅探和基于交換機的嗅探。嗅探技術是一種重要的網(wǎng)絡安全攻防技術。在嗅探技術的幫助下，安全管理人員可以實時監(jiān)控網(wǎng)絡活動并發(fā)現(xiàn)各種網(wǎng)絡攻擊。但是，由于嗅探易于操作且難以檢測，它也可能被黑客用于網(wǎng)絡攻擊，以獲取網(wǎng)絡中大量未加密的敏感信息。

定義嗅探是一種網(wǎng)絡流量數(shù)據(jù)分析方法，它可以在不重定向數(shù)據(jù)傳輸或更改其內容的情況下捕獲和攔截在計算機網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，使接受數(shù)據(jù)的用戶難以發(fā)現(xiàn)。網(wǎng)絡管理員可以使用嗅探技術實時監(jiān)控網(wǎng)絡運行，捕獲和分析通信數(shù)據(jù)，并發(fā)現(xiàn)網(wǎng)絡安全漏洞。它還可以用作黑客工具來竊取用戶數(shù)據(jù)，窺探用戶隱私，并進行會話劫持等網(wǎng)絡攻擊。

本地嗅探：原生嗅探是指嗅探器程序在計算機中以某種方式獲取發(fā)送給進程的數(shù)據(jù)包的過程。例如，當郵件客戶端正在發(fā)送和接收郵件時，嗅探器程序可以竊聽所有的交互進程和其中傳遞的數(shù)據(jù)。網(wǎng)絡數(shù)據(jù)包需要多次解析才能獲得應用程序數(shù)據(jù)。在獲得它們之后，它們通常要經(jīng)過硬件驅動程序和操作系統(tǒng)協(xié)議棧，然后才能進入應用程序處理。因此，如果將數(shù)據(jù)包捕獲代碼寫入硬件驅動程序層或操作系統(tǒng)協(xié)議棧層，則可以獲取其他應用程序的網(wǎng)絡數(shù)據(jù)。

廣播網(wǎng)絡嗅探：廣播網(wǎng)絡嗅探是廣播網(wǎng)絡中的一種網(wǎng)絡嗅探行為。廣播網(wǎng)絡通常是使用集線器（HUB）的局域網(wǎng)，其工作原理基于總線模式。在該網(wǎng)絡中，所有數(shù)據(jù)包都將被廣播和發(fā)送到所有端口。廣播網(wǎng)絡中的嗅探使用廣播網(wǎng)絡中“共享”的通信模式，其中所有網(wǎng)卡將接收所有數(shù)據(jù)包，然后通過各自的過濾器過濾不必要的數(shù)據(jù)包。因此，只要本地網(wǎng)卡設置為混雜模式，嗅探工具就可以支持對廣播網(wǎng)絡或多播網(wǎng)絡的嗅探。

基于交換機的嗅探：基于交換機的嗅探是指在交換環(huán)境中以某種方式實施的嗅探。交換機的工作原理與集線器不同。它不是將數(shù)據(jù)包轉發(fā)到所有端口，而是通過“包交換”一對一地傳輸數(shù)據(jù)。也就是說，交換機可以記住每個端口的MAC地址，并根據(jù)數(shù)據(jù)包的目的地址選擇目的端口，因此只有與目的地址對應的網(wǎng)卡才能接收數(shù)據(jù)。端口鏡像、MAC泛洪、MAC復制和ARP欺騙可用于實現(xiàn)基于交換機的嗅探。

大多數(shù)可管理的交換機都支持端口鏡像功能，這是交換機為調試而保留的功能。通過端口鏡像，本機嗅探器工具可以嗅探交換機上的任何端口。基于端口鏡像的嗅探受到交換機可支持的鏡像功能的限制。因為基于端口鏡像的嗅探必須具有交換機的管理權限，所以網(wǎng)絡管理員經(jīng)常使用這種嗅探方法。

攻擊者經(jīng)常使用MAC泛洪嗅探。為了執(zhí)行分組交換，網(wǎng)絡交換機必須在內部維護一個轉換表，以將不同的MAC地址轉換為它們自己的物理端口。因為交換機的工作內存是有限的，如果交換機不斷受到虛假MAC地址的攻擊，直到交換機的工作內存滿了為止，它將進入“失效開放模式”，并開始像集線器一樣工作，向網(wǎng)絡上的所有機器廣播數(shù)據(jù)包。在這種情況下，交換機嗅探可以通過廣播網(wǎng)絡嗅探來實現(xiàn)。

MAC復制是修改本地MAC地址，使其與要嗅探的主機的MAC地址相同。交換機將發(fā)現(xiàn)有兩個端口對應于同一個MAC地址，因此發(fā)往該MAC地址的數(shù)據(jù)包將同時從這兩個交換機端口發(fā)出。

ARP欺騙技術是指騙子利用ARP協(xié)議的漏洞。根據(jù)ARP協(xié)議的設計，為了減少網(wǎng)絡上過多的ARP數(shù)據(jù)通信，每當主機收到ARP回復包時，都會自動更新ARP緩存。通過這種方式，攻擊者可以向目標主機發(fā)送偽造的ARP數(shù)據(jù)包進行欺騙，從而達到監(jiān)控的目的。一旦局域網(wǎng)中存在ARP攻擊，它將欺騙局域網(wǎng)中的所有主機和網(wǎng)關，并讓所有通信通過ARP攻擊者控制的主機。

嗅探攻擊是一種常見的被動網(wǎng)絡攻擊類型，它只會復制網(wǎng)絡信息，而不會直接改變信息的狀態(tài)。嗅探器是嗅探攻擊技術中常用的一種設備，它可以實時監(jiān)控網(wǎng)絡的運行狀態(tài)，當在大量信息中發(fā)現(xiàn)有用和有價值的信息時，就開始竊取它。攻擊者可以竊聽通信數(shù)據(jù)，監(jiān)視網(wǎng)絡狀態(tài)，并在網(wǎng)絡拓撲中的某些節(jié)點或鏈路上竊取用戶帳戶和密碼等敏感數(shù)據(jù)。

信息交互需要建立信息傳輸通道，發(fā)送方通過該通道向接收方發(fā)送數(shù)據(jù)信息。嗅探攻擊的原理與信息傳輸?shù)脑砘鞠嗤畔⒉粌H從發(fā)送者傳輸?shù)浇邮照撸已刂鴱慕K端到黑客終端的路徑傳輸，從終端到黑客終端的傳輸對發(fā)送者和接收者都是完全透明的。集線器從端口接收到MAC幀后，它不僅需要從該端口接收MAC幀，還需要將MAC幀發(fā)送到其他端口。因此，當集線器接收到MAC幀時，它將沿著從路由器到黑客的路徑輸出MAC幀，這將容易造成數(shù)據(jù)泄漏并達到網(wǎng)絡嗅探的目的。

當網(wǎng)絡受到嗅探器攻擊時，數(shù)據(jù)信息將被泄露，此時黑客可以惡意篡改信息。當黑客不斷收到信息時，他們會將信息發(fā)送到目的地終端，或者增加信息傳輸?shù)念l率，從而增強網(wǎng)絡攻擊的次數(shù)，這將對整個網(wǎng)絡系統(tǒng)造成更大的破壞。

對策：子網(wǎng)劃分:網(wǎng)絡嗅探技術大多局限于嗅探和分析同一子網(wǎng)下的網(wǎng)絡信息。對于工作在不同子網(wǎng)的主機，由于IP地址不同，需要進行IP地址前綴匹配等操作，無法通過MAC廣播幀的方式直接轉發(fā)和交付數(shù)據(jù)。因此，對組織的內部網(wǎng)絡劃分子網(wǎng)可以有效地應對網(wǎng)絡嗅探攻擊。

網(wǎng)絡流量監(jiān)控:嗅探器的網(wǎng)卡工作在“混雜模式”，這導致嗅探器接收來自同一子網(wǎng)的所有數(shù)據(jù)幀，因此嗅探器將占用大量網(wǎng)絡帶寬。根據(jù)嗅探器的這一工作特性，我們可以通過監(jiān)控網(wǎng)絡流量來發(fā)現(xiàn)網(wǎng)絡中是否存在嗅探器。如果發(fā)現(xiàn)某臺主機的網(wǎng)絡帶寬利用率始終很高，則意味著該主機的網(wǎng)卡很可能工作在“混雜模式”下，這意味著該主機可能是嗅探器。

數(shù)據(jù)加密:網(wǎng)絡協(xié)議在設計之初主要考慮數(shù)據(jù)包傳輸?shù)姆奖憧旖菪裕鴽]有考慮數(shù)據(jù)的安全性，導致數(shù)據(jù)包在網(wǎng)絡中以明文形式傳輸。在傳輸數(shù)據(jù)之前對數(shù)據(jù)進行加密，這樣嗅探器就無法獲取數(shù)據(jù)包中的用戶信息，保證了網(wǎng)絡傳輸?shù)陌踩浴?br />

“欺騙和暴露”策略:該策略是根據(jù)工作在“混合模式”下的網(wǎng)卡將接受所有MAC幀的行為而設計的。因為嗅探器只接收所有的MAC數(shù)據(jù)幀，所以它不知道它接收到的MAC地址是否真的存在于子網(wǎng)中。因此，為了檢測子網(wǎng)中是否存在嗅探器，可以向子網(wǎng)發(fā)送IP地址正確但MAC地址錯誤的數(shù)據(jù)幀。如果該子網(wǎng)中存在嗅探器，嗅探器將捕獲錯誤的數(shù)據(jù)幀，并給出基于ICMP協(xié)議的響應消息。

嗅探器：嗅探器是一種通過使用計算機的網(wǎng)絡接口來攔截目的地為其他計算機的數(shù)據(jù)包的工具，它可以竊聽流經(jīng)網(wǎng)絡的數(shù)據(jù)包。

嗅探器最初是網(wǎng)絡管理人員監(jiān)控網(wǎng)絡運行狀態(tài)和數(shù)據(jù)流的有效管理工具。網(wǎng)絡管理員可以使用它進行故障分析以發(fā)現(xiàn)網(wǎng)絡中的問題，也可以使用它進行性能分析以發(fā)現(xiàn)網(wǎng)絡瓶頸。此外，嗅探器是基于網(wǎng)絡的入侵檢測系統(tǒng)的基礎。但是黑客也可以使用嗅探器竊取用戶帳戶和密碼，非法訪問計算機中的信息資源，竊取商業(yè)機密，甚至破壞計算機系統(tǒng)。

嗅探器可以分為軟件和硬件。軟件嗅探器很容易使用，并且針對不同的操作系統(tǒng)平臺有許多不同的軟件嗅探器，其中大多數(shù)都是免費的。硬件嗅探器通常被稱為協(xié)議分析器。根據(jù)功能的不同，嗅探器還可以分為通用網(wǎng)絡嗅探器和專用嗅探器。前者支持多種協(xié)議，如tcpdump、Snifferit等。后者一般針對特定軟件或僅提供特定功能，例如用于MSN等即時通信軟件的嗅探器、用于電子郵件密碼的嗅探器以及用于捕獲藍牙設備之間的通信數(shù)據(jù)的嗅探器。

常用工具：Tcpdump/Windump: Tcpdump是一種網(wǎng)絡數(shù)據(jù)包監(jiān)控和分析工具，最初由加州大學伯克利分校勞倫斯伯克利國家實驗室的網(wǎng)絡研究小組開發(fā)，后來由“Tcpdump小組”進行更新和維護。Tcpdump（基于Libpcap）支持Solaris、HP-UX、Irix和BSD等多種操作系統(tǒng)平臺，不同平臺的具體安裝有所不同。Windows平臺的Tcpdump版本稱為Windump，它運行在與Libpcap兼容的Winpcap庫上。

Sniffit:Sniffit是勞倫斯伯克利實驗室開發(fā)的嗅探器，可以在Solaris、Iris、FreeBSD和Linux等各種系統(tǒng)平臺上運行。與Tcpdump相比，它可以提供完整的數(shù)據(jù)包內容輸出。用戶可以選擇源地址和目的地址或地址集，并選擇監(jiān)聽端口、協(xié)議和網(wǎng)絡接口。從而方便地捕獲網(wǎng)絡數(shù)據(jù)包。Sniffit是基于Libpcap開發(fā)的。當它在Windows平臺上運行時，需要Winpcap的支持。

Ettercap:Ettercap是由Alberto Ornaghi和Marco Valleri開發(fā)交換網(wǎng)絡嗅探器。它不僅包括常規(guī)的混雜模式嗅探，還包括ARP欺騙的嗅探功能，可以監(jiān)視交換環(huán)境中的網(wǎng)絡通信。它支持許多協(xié)議的主動和被動解析，包括加密協(xié)議，并包括用于互聯(lián)網(wǎng)和用戶計算機分析的功能。它有兩個主要的嗅探選項:統(tǒng)一模式，即以中間人的方式進行嗅探；橋接模式，即在雙網(wǎng)卡的情況下，嗅探兩個網(wǎng)卡之間的數(shù)據(jù)包。

Dsniff:Dsniff是由Dug Song開發(fā)的嗅探器，它是第一個擴展了傳統(tǒng)嗅探器概念的監(jiān)控工具。Dsniff用于分析各種網(wǎng)絡協(xié)議和嗅探密碼。它可以從FTP、Telnet、POP、rLogin、Microsoft SMB、SNMP、IMAP和其他協(xié)議獲取信息。

Wireshark:Wireshark（原名:Ethereal）是一款網(wǎng)絡數(shù)據(jù)包分析軟件。作為一款開源的數(shù)據(jù)包捕獲和分析器，Wireshark支持Windows和Linux等操作系統(tǒng)。Wireshark使用pcap監(jiān)控和捕獲來自網(wǎng)絡接口的數(shù)據(jù)包，并根據(jù)IP地址、協(xié)議和許多其他參數(shù)過濾數(shù)據(jù)包。不同的數(shù)據(jù)包可以基于相關性進行分組或標記。

微軟網(wǎng)絡監(jiān)視器:微軟網(wǎng)絡監(jiān)視器是一個網(wǎng)絡數(shù)據(jù)分析工具，僅支持Windows平臺。它可用于捕獲、分析和排除網(wǎng)絡數(shù)據(jù)包故障，為實時網(wǎng)絡流量提供專業(yè)的圖形界面。在功能上，該軟件支持300多種協(xié)議、無線監(jiān)控模式和碎片消息重組。

網(wǎng)絡入侵監(jiān)控：NIDS（Network Intrusion Detection System，網(wǎng)絡入侵檢測系統(tǒng)）是指通過異常分析和模式匹配來分析網(wǎng)絡上的數(shù)據(jù)包，進而發(fā)現(xiàn)蠕蟲、攻擊和入侵等違規(guī)行為的硬件或軟件。NIDS是一個帶有專家系統(tǒng)的嗅探工具，通常運行在鏡像端口（交換機）上。NIDS將把通過嗅探捕獲的數(shù)據(jù)包提交到分析模式進行分析。結合專家?guī)熘械奶卣骱湍Ｐ停治瞿K將提取有害和可疑事件，從而對病毒蠕蟲和網(wǎng)絡入侵進行報警。

嗅探

網(wǎng)絡安全審計：網(wǎng)絡審計是指使用網(wǎng)絡嗅探工具獲取、解碼和存儲數(shù)據(jù)包，以供以后查詢或提供即時警報。通過嗅探技術，網(wǎng)絡審計可以實現(xiàn)在線行為審計、網(wǎng)絡違規(guī)數(shù)據(jù)監(jiān)控等功能。利用網(wǎng)絡嗅探技術開發(fā)的網(wǎng)絡行為審計軟件是檢查網(wǎng)絡傳輸數(shù)據(jù)流合法性的工具。它在重要的網(wǎng)絡節(jié)點上工作，可以檢測在線違規(guī)行為，例如發(fā)送違反國家法律或法規(guī)或包含色情和反動內容的電子郵件；在論壇或網(wǎng)站上傳播違反國家法律法規(guī)或色情或反動信息；訪問違反國家法律或包含色情或反動內容的網(wǎng)站。

病毒和蠕蟲的控制：嗅探技術對蠕蟲病毒的控制可以起到一定的作用:利用基于嗅探的流量檢測及時發(fā)現(xiàn)網(wǎng)絡流量異常，并結合已建立的異常流量模式，初步判斷網(wǎng)絡蠕蟲病毒爆發(fā)的前兆；利用基于嗅探的網(wǎng)絡協(xié)議分析進一步確認病毒和蠕蟲的爆發(fā)，及時給出預警信息；利用基于嗅探的蜜罐，獲取病毒和蠕蟲樣本并進行詳細分析，設計了可行的清除和防御方案。基于嗅探的入侵檢測用于準確定位局域網(wǎng)中病毒和蠕蟲的傳播源，從而及時有效地扼殺病毒傳播行為。

網(wǎng)絡部署和跟蹤：現(xiàn)代網(wǎng)絡犯罪往往通過跳板進行，即通過一個中間主機進行網(wǎng)絡攻擊和犯罪活動，這嚴重阻礙了對犯罪分子的抓捕。嗅探技術可用于追蹤網(wǎng)絡犯罪，并幫助執(zhí)法機構定位網(wǎng)絡罪犯。網(wǎng)絡控制的實際操作如下:當發(fā)現(xiàn)通過中間跳板主機進行網(wǎng)絡犯罪時，可以運行網(wǎng)絡嗅探器對其進行24小時監(jiān)控。如果罪犯遠程登錄主機，網(wǎng)絡嗅探器將記錄罪犯的IP地址，從而協(xié)助定位和跟蹤。網(wǎng)絡跟蹤是一種針對偽造IP地址攻擊的跟蹤方法。網(wǎng)絡攻擊通常使用虛假的IP地址（尤其是大規(guī)模拒絕服務攻擊），因此無法從被攻擊的飛機嗅探到的數(shù)據(jù)中直接確定攻擊的來源。因此，有必要使用移動網(wǎng)絡嗅探器從端點逐一追溯，直到找到攻擊的原點。

網(wǎng)絡取證：基于嗅探的網(wǎng)絡取證工具可以運行在犯罪分子需要取證的計算機上（如個人計算機或公共場所的計算機），可以記錄犯罪分子的網(wǎng)絡行為（如電子郵件、聊天信息、上網(wǎng)記錄等）。），從而協(xié)助偵破案件和獲取起訴證據(jù)。為了確保嗅探工具獲取的網(wǎng)絡證據(jù)不可篡改，需要在網(wǎng)絡取證工具中內置數(shù)字簽名工具，防止操作人員人為修改或錯誤修改數(shù)字證據(jù)。