网络嗅探技术ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第11章 网络嗅探技术
11.1 网络协议分析及嗅探原理 11.2 常用嗅探器
11.3 网络嗅探防范技术
11.1 网络协议分析及嗅 探原理
本节内容
11.1.1
11.1.2 11.1.3 11.1.4
嗅探技术与嗅探器
通信协议分析 嗅探原理 简单的嗅探技术
11.1.1 嗅探技术与嗅探器
嗅探器(Sniffer)可以理解为一个安装在计算机上的窃听设备,它 可以用来窃听计算机在网络上所产生的众多的信息。一部电话的窃听 装置,可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃 听计算机程序在网络上发送和接收到的数据。 嗅探器是利用计算机的网络接口截获目的地及其他计算机数据报 文的一种技术。它工作在网络的最底层,把网络传输的全部数据记录 下来。嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能,嗅 探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。不 同传输介质的网络可监听性是不同的。一般来说,以太网被监听的可 能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的 可能性也比较高,尽管它并不是一个广播型网络,但带有令牌的那些 数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线 网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输 媒介,弥散在空中的无线电信号可以被很轻易的截获。
在这个简单的例子中,机器B上的管理员如果很好奇,想知道究竟登陆机器 C上FTP口令是什么,要做的事情是很简单的,仅仅需要把自己机器上的网卡置 于混杂模式,即可接收数据,接着对接收到的数据帧进行分析,从而可得到包含 在数据帧中所想知道的信息。
FTP命令
应用层FTP协议
传输层TCP协议
网络层IP协议
网络接口层以太网卡驱动程序
假设机器A上的管理员为了维护机器C,使用了一个FTP命令 向机器C进行登录,那么在这个用HUB连接的网络里数据走向过程 是这样的。首先机器A上的管理员输入的登陆机器C的FTP命令经 过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层 上的以太网驱动程序一层一层的包裹,最后送到了物理层所连接 的网线上。如图11-3。接下来数据帧送到了HUB上,再由HUB向 每一个接点广播由机器A发出的数据帧,机器B接收到由HUB广播 发出的数据帧,并检查在数据帧中的地址是否和自己的地址相匹 配,发现不是发向自己的数据后就把这数据帧丢弃,不予理睬。 而机器C也接收到了数据帧,并在比较之后发现是发现自己的数据 帧,接下来就对这数据帧进行接收和分析处理。
2.MAC Flooding(MAC地址溢出)
在上面我们曾经提到过,Switch之所以能够由数据包中目的 MAC地址 判断出他应该把数据包发送到那一个端口上是根据自身维护的一张 ARP地 址表。这张地址表可能是动态的也可能是静态的,这要看Switch的厂商和 Switch的型号来定,对于某些Switch来说,他维护的是一张动态的地址表, 并且地址表的大小是有上限的,比如3com Superstack Switch 3300 就是 这样一种Switch,我们可以通过发送大量错误的地址信息而使Switch维护 的地址表“溢出”,从而使他变成广播模式来达到我们要Sniff机器A与机 器C之间的通信的目的。 3.Fake the MAC address (伪造MAC地址)
客户 应用层 传输层 网间网层 FTP TCP端口 IP 地址 网络接口层 物理网络 硬件地址 电缆
服务 器 用户进程 FTP服务器 TCP端口 IP 地址 硬件地址 电缆 以太网驱动程序 物理网络 内核中的协议 栈 内核中的协议栈
11.1.3 嗅探原理
我们知道,计算机所传送的数据是大量的二进制数据。因此, 一个网络窃听程序也必须使用特定的网络协议来分解嗅探到的数据, 嗅探器也就必须能够识别出哪个协议对应于这个数据片断,只有这 样才能够进行正确的解码。 网络嗅探器比起电话窃听器来说,有他独特的优势:很多的计 算机网络采用的是“共享媒体”。几乎可以在任何连接着的网络上 直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听 方式为“基于混杂模式的嗅探”(promiscuous mode)。 我们知道,在以太网中,所有的通讯都是广播方式,也就是说 通常在同一个网段的所有网络接口都可以接收在物理媒体上传输的 所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件 地址也就是网卡的MAC地址,MAC使用的是48比特的地址,这个地 址用来表示网络中的每一个设备,每块网卡上的MAC地址都是不同 的。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
一般情况下,大多数的嗅探器至少能够分析下面的协议:
l 标准以太网协议; l TCP/IP; l IPX ; l DECNET;
l FDDI Token;
l 微波和无线网协议。
实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用,缺点是往往 无法抓取网络上所有的传输数据(比如碎片),也就无法全面了解网络的故障和运 行情况;硬件嗅探器通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的, 但是价格昂贵。目前使用的嗅探器仍是以软件为主。
11.1.4
简单嗅探技术
在这一节中,我们介绍几种常用的嗅探技术。 1.ARP Spoof(ARP欺骗) ARP Spoof攻击的根本原理是因为计算机中维护着一个 ARP高速 缓存,并且这个ARP高速缓存是随着计算机不断的发出ARP请求和收 到ARP响应而不断的更新的,ARP高速缓存的目的是把机器的IP地址 和MAC地址相互映射(绑定)。可以使用ARP命令来查看自己的 ARP 高速缓存。现在设想一下,一个 Switch 工作在数据链路层,根据 MAC地址来转发他所接收的数据包,而计算机维护的ARP高速缓存却 是动态的。在这种情况下,会发生什么样的事情呢? 为了便于分析,我们为三台计算机统一分配IP地址。
网关:主要工作在网络第四层以上,主要实现收敛功能及协议 转换,不过很多时候网关都被用来描述任何网络互连设备。
2.TCP/IP与以太网
以太网和TCP/IP可以说是相互相成的,可以说两者的关系几乎是密不可 分,以太网在一二层提供物理上的连线,而TCP/IP工作在上层,使用32位的 IP地址,以太网则使用48位的MAC地址,两者间使用ARP和RARP协议进行相互 转换。 载波监听/冲突检测(CSMA/CD)技术被普遍的使用在以太网中,所谓载波 监听是指在以太网中的每个站点都具有同等的权利,在传输自己的数据时, 首先监听信道是否空闲,如果空闲,就传输自己的数据,如果信道被占用, 就等待信道空闲。而冲突检测则是为了防止发生两个站点同时在网络发送数 据而产生的冲突。以太网采用广播机制,所有与网络连接的工作站都可以看 到网络上传递的数据。 3.TCP/IP通信 在TCP/IP通信中,网络接口层直接与硬件地址相连接,网间网层与IP地 址相连接,传输层与TCP接口相连接,应用层则是面向用户的应用程序接口, 如FTP、TELNET等接口。一个典型的在以太网中客户与服务器使用TCP/IP 协议的通信如图11-1所示。
嗅探器可能造成的危害有: l 嗅探器能够捕获口令;
Baidu Nhomakorabea
l 能够捕获专用的或者机密的信息;
l 可以用来危害网络邻居的安全,或者用来获取更高级 别的访问权限;
l 分析网络结构,进行网络渗透。
11.1.2
通信协议分析
1.与嗅探技术有关的网络通信设备 中继器:中继器的主要功能是终结一个网段的信号并在另一个 网段再生该信号,起到信号放大和转发的作用,中继器工作在物理 层上。 网桥:网桥使用 MAC 物理地址实现中继功能,可以用来分隔网 段或连接部分异种网络,网桥工作在数据链路层。 路由器:路由器工作在网络层,主要负责数据包的路由寻径, 也能处理物理层和数据链路层上的工作。
我们来看一个简单的例子,如图11-2所示,机器A、B、C与集 线器HUB相连接,集线器HUB通过路由器Router访问外部网络。
值得注意的一点是机器 A、B、C使用一个普通的 HUB连接的, 不是用 Switch ,也不是用 Router ,使用 Switch 和 Router 的情况要 比这复杂得多。
而对于网卡来说一般有四种接收模式:
l 广播方式:该模式下的网卡能够接收网络中的所有广播信息; l 组播方式:设置在该模式下的网卡能够接收组播数据;
l 直接方式:在这种模式下,只有目的网卡才能接收该数据;
l混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不 管该数据是否是传给它的。与HUB只是简单地把所接收到的信号通过所有 端口重复发送出去不同,Switch却可以检查每一个收到的数据包,并对数 据包进行相应的处理。在Switch内保存着每一个网段上所有结点的物理地 址,只允许必要的网络流量通过Switch。举例来说,当Switch接收到一个 数据包之后,根据自身保存的网络地址表检查数据包内包含的发送方和接 收方地址。如果接收方位于发送方网段内,该数据包就会被Switch丢弃, 不能通过交换机传送到其它的网段;如果接收方和发送方位于两个不同的 网段,该数据包就会被Switch转发到目标网段。这样,通过交换机的过滤 和转发,可以有效避免网络广播风暴,减少误包和错包的出现。
在正常的情况下,一个网络接口应该只响应下述的两种数据帧 来完成的:
l 与自己硬件地址相匹配的数据帧;
l 发向所有机器的广播数据帧。
网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目 的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该 不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该 接收就丢掉不管,所以不该接收的数据在网卡处就截断了,计算机 根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡 的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动 程序接收数据后放入信号堆栈让操作系统处理。
伪造MAC地址也是一种常用的办法,不过这要基于你网络内的Switch 是动态更新其地址表,这实际上和我们上面说到的 ARP Spoof 有些类似, 只不过现在是想要Switch相信你,而不是要机器A相信你。因为Switch是 动态更新其地址表的。其关键技术是需要向Switch发送伪造过的数据包, 其中源MAC地址对应的是机器C的MAC地址,现在Switch就把机器C和你的端 口对应起来了。
通过前面的学习,网卡接收信息技术可总结如下:
l 在以太网中是基于广播方式传送数据的,也就是说,所 有的物理信号都要经过连接在以太网段上的机器;
l网卡可以置于混杂模式(promiscuous),在这种模式 下工作的网卡能够接收到一切通过它的数据,而不管实际上数 据的目的地址是不是自己的。这实际上就是我们Sniff工作的基 本原理:让网卡接收一切能接收的数据。
嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目 的。例如:将以太网卡设置成混杂模式。数据在网络上是以帧(Frame)为单位传 输的。帧是通过特定的网络驱动程序进行传送的,然后通过网卡发送到网线上。 通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器 的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是 在这个传输和接收的过程中,每一个在LAN上的工作站都有其硬件地址。这些地 址唯一地表示着网络上的机器。当用户发送一个报文时,这些报文就会发送到 LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以“侦听”到通 过的流量,但对不属于自己的报文则不予响应。如果某工作站的网络接口处于混 杂模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这 样的方式,它就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通 常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。对于外部入侵者来说, 能通过入侵外网服务器、往内部工作站发送木马等获得所需信息,然后用基点来 放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的 物理设备作为嗅探器。
11.1 网络协议分析及嗅探原理 11.2 常用嗅探器
11.3 网络嗅探防范技术
11.1 网络协议分析及嗅 探原理
本节内容
11.1.1
11.1.2 11.1.3 11.1.4
嗅探技术与嗅探器
通信协议分析 嗅探原理 简单的嗅探技术
11.1.1 嗅探技术与嗅探器
嗅探器(Sniffer)可以理解为一个安装在计算机上的窃听设备,它 可以用来窃听计算机在网络上所产生的众多的信息。一部电话的窃听 装置,可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃 听计算机程序在网络上发送和接收到的数据。 嗅探器是利用计算机的网络接口截获目的地及其他计算机数据报 文的一种技术。它工作在网络的最底层,把网络传输的全部数据记录 下来。嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能,嗅 探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。不 同传输介质的网络可监听性是不同的。一般来说,以太网被监听的可 能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的 可能性也比较高,尽管它并不是一个广播型网络,但带有令牌的那些 数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线 网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输 媒介,弥散在空中的无线电信号可以被很轻易的截获。
在这个简单的例子中,机器B上的管理员如果很好奇,想知道究竟登陆机器 C上FTP口令是什么,要做的事情是很简单的,仅仅需要把自己机器上的网卡置 于混杂模式,即可接收数据,接着对接收到的数据帧进行分析,从而可得到包含 在数据帧中所想知道的信息。
FTP命令
应用层FTP协议
传输层TCP协议
网络层IP协议
网络接口层以太网卡驱动程序
假设机器A上的管理员为了维护机器C,使用了一个FTP命令 向机器C进行登录,那么在这个用HUB连接的网络里数据走向过程 是这样的。首先机器A上的管理员输入的登陆机器C的FTP命令经 过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层 上的以太网驱动程序一层一层的包裹,最后送到了物理层所连接 的网线上。如图11-3。接下来数据帧送到了HUB上,再由HUB向 每一个接点广播由机器A发出的数据帧,机器B接收到由HUB广播 发出的数据帧,并检查在数据帧中的地址是否和自己的地址相匹 配,发现不是发向自己的数据后就把这数据帧丢弃,不予理睬。 而机器C也接收到了数据帧,并在比较之后发现是发现自己的数据 帧,接下来就对这数据帧进行接收和分析处理。
2.MAC Flooding(MAC地址溢出)
在上面我们曾经提到过,Switch之所以能够由数据包中目的 MAC地址 判断出他应该把数据包发送到那一个端口上是根据自身维护的一张 ARP地 址表。这张地址表可能是动态的也可能是静态的,这要看Switch的厂商和 Switch的型号来定,对于某些Switch来说,他维护的是一张动态的地址表, 并且地址表的大小是有上限的,比如3com Superstack Switch 3300 就是 这样一种Switch,我们可以通过发送大量错误的地址信息而使Switch维护 的地址表“溢出”,从而使他变成广播模式来达到我们要Sniff机器A与机 器C之间的通信的目的。 3.Fake the MAC address (伪造MAC地址)
客户 应用层 传输层 网间网层 FTP TCP端口 IP 地址 网络接口层 物理网络 硬件地址 电缆
服务 器 用户进程 FTP服务器 TCP端口 IP 地址 硬件地址 电缆 以太网驱动程序 物理网络 内核中的协议 栈 内核中的协议栈
11.1.3 嗅探原理
我们知道,计算机所传送的数据是大量的二进制数据。因此, 一个网络窃听程序也必须使用特定的网络协议来分解嗅探到的数据, 嗅探器也就必须能够识别出哪个协议对应于这个数据片断,只有这 样才能够进行正确的解码。 网络嗅探器比起电话窃听器来说,有他独特的优势:很多的计 算机网络采用的是“共享媒体”。几乎可以在任何连接着的网络上 直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听 方式为“基于混杂模式的嗅探”(promiscuous mode)。 我们知道,在以太网中,所有的通讯都是广播方式,也就是说 通常在同一个网段的所有网络接口都可以接收在物理媒体上传输的 所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件 地址也就是网卡的MAC地址,MAC使用的是48比特的地址,这个地 址用来表示网络中的每一个设备,每块网卡上的MAC地址都是不同 的。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
一般情况下,大多数的嗅探器至少能够分析下面的协议:
l 标准以太网协议; l TCP/IP; l IPX ; l DECNET;
l FDDI Token;
l 微波和无线网协议。
实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用,缺点是往往 无法抓取网络上所有的传输数据(比如碎片),也就无法全面了解网络的故障和运 行情况;硬件嗅探器通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的, 但是价格昂贵。目前使用的嗅探器仍是以软件为主。
11.1.4
简单嗅探技术
在这一节中,我们介绍几种常用的嗅探技术。 1.ARP Spoof(ARP欺骗) ARP Spoof攻击的根本原理是因为计算机中维护着一个 ARP高速 缓存,并且这个ARP高速缓存是随着计算机不断的发出ARP请求和收 到ARP响应而不断的更新的,ARP高速缓存的目的是把机器的IP地址 和MAC地址相互映射(绑定)。可以使用ARP命令来查看自己的 ARP 高速缓存。现在设想一下,一个 Switch 工作在数据链路层,根据 MAC地址来转发他所接收的数据包,而计算机维护的ARP高速缓存却 是动态的。在这种情况下,会发生什么样的事情呢? 为了便于分析,我们为三台计算机统一分配IP地址。
网关:主要工作在网络第四层以上,主要实现收敛功能及协议 转换,不过很多时候网关都被用来描述任何网络互连设备。
2.TCP/IP与以太网
以太网和TCP/IP可以说是相互相成的,可以说两者的关系几乎是密不可 分,以太网在一二层提供物理上的连线,而TCP/IP工作在上层,使用32位的 IP地址,以太网则使用48位的MAC地址,两者间使用ARP和RARP协议进行相互 转换。 载波监听/冲突检测(CSMA/CD)技术被普遍的使用在以太网中,所谓载波 监听是指在以太网中的每个站点都具有同等的权利,在传输自己的数据时, 首先监听信道是否空闲,如果空闲,就传输自己的数据,如果信道被占用, 就等待信道空闲。而冲突检测则是为了防止发生两个站点同时在网络发送数 据而产生的冲突。以太网采用广播机制,所有与网络连接的工作站都可以看 到网络上传递的数据。 3.TCP/IP通信 在TCP/IP通信中,网络接口层直接与硬件地址相连接,网间网层与IP地 址相连接,传输层与TCP接口相连接,应用层则是面向用户的应用程序接口, 如FTP、TELNET等接口。一个典型的在以太网中客户与服务器使用TCP/IP 协议的通信如图11-1所示。
嗅探器可能造成的危害有: l 嗅探器能够捕获口令;
Baidu Nhomakorabea
l 能够捕获专用的或者机密的信息;
l 可以用来危害网络邻居的安全,或者用来获取更高级 别的访问权限;
l 分析网络结构,进行网络渗透。
11.1.2
通信协议分析
1.与嗅探技术有关的网络通信设备 中继器:中继器的主要功能是终结一个网段的信号并在另一个 网段再生该信号,起到信号放大和转发的作用,中继器工作在物理 层上。 网桥:网桥使用 MAC 物理地址实现中继功能,可以用来分隔网 段或连接部分异种网络,网桥工作在数据链路层。 路由器:路由器工作在网络层,主要负责数据包的路由寻径, 也能处理物理层和数据链路层上的工作。
我们来看一个简单的例子,如图11-2所示,机器A、B、C与集 线器HUB相连接,集线器HUB通过路由器Router访问外部网络。
值得注意的一点是机器 A、B、C使用一个普通的 HUB连接的, 不是用 Switch ,也不是用 Router ,使用 Switch 和 Router 的情况要 比这复杂得多。
而对于网卡来说一般有四种接收模式:
l 广播方式:该模式下的网卡能够接收网络中的所有广播信息; l 组播方式:设置在该模式下的网卡能够接收组播数据;
l 直接方式:在这种模式下,只有目的网卡才能接收该数据;
l混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不 管该数据是否是传给它的。与HUB只是简单地把所接收到的信号通过所有 端口重复发送出去不同,Switch却可以检查每一个收到的数据包,并对数 据包进行相应的处理。在Switch内保存着每一个网段上所有结点的物理地 址,只允许必要的网络流量通过Switch。举例来说,当Switch接收到一个 数据包之后,根据自身保存的网络地址表检查数据包内包含的发送方和接 收方地址。如果接收方位于发送方网段内,该数据包就会被Switch丢弃, 不能通过交换机传送到其它的网段;如果接收方和发送方位于两个不同的 网段,该数据包就会被Switch转发到目标网段。这样,通过交换机的过滤 和转发,可以有效避免网络广播风暴,减少误包和错包的出现。
在正常的情况下,一个网络接口应该只响应下述的两种数据帧 来完成的:
l 与自己硬件地址相匹配的数据帧;
l 发向所有机器的广播数据帧。
网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目 的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该 不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该 接收就丢掉不管,所以不该接收的数据在网卡处就截断了,计算机 根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡 的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动 程序接收数据后放入信号堆栈让操作系统处理。
伪造MAC地址也是一种常用的办法,不过这要基于你网络内的Switch 是动态更新其地址表,这实际上和我们上面说到的 ARP Spoof 有些类似, 只不过现在是想要Switch相信你,而不是要机器A相信你。因为Switch是 动态更新其地址表的。其关键技术是需要向Switch发送伪造过的数据包, 其中源MAC地址对应的是机器C的MAC地址,现在Switch就把机器C和你的端 口对应起来了。
通过前面的学习,网卡接收信息技术可总结如下:
l 在以太网中是基于广播方式传送数据的,也就是说,所 有的物理信号都要经过连接在以太网段上的机器;
l网卡可以置于混杂模式(promiscuous),在这种模式 下工作的网卡能够接收到一切通过它的数据,而不管实际上数 据的目的地址是不是自己的。这实际上就是我们Sniff工作的基 本原理:让网卡接收一切能接收的数据。
嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目 的。例如:将以太网卡设置成混杂模式。数据在网络上是以帧(Frame)为单位传 输的。帧是通过特定的网络驱动程序进行传送的,然后通过网卡发送到网线上。 通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器 的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是 在这个传输和接收的过程中,每一个在LAN上的工作站都有其硬件地址。这些地 址唯一地表示着网络上的机器。当用户发送一个报文时,这些报文就会发送到 LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以“侦听”到通 过的流量,但对不属于自己的报文则不予响应。如果某工作站的网络接口处于混 杂模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这 样的方式,它就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通 常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。对于外部入侵者来说, 能通过入侵外网服务器、往内部工作站发送木马等获得所需信息,然后用基点来 放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的 物理设备作为嗅探器。