网络嗅探器的实际与实现

网络与信息安全

课程设计

网络嗅探器的设计和实现

学院：计算机科学与技术

班级：网络工程06-1班

姓名：白俊生

学号：310609040105

指导老师：刘坤

目录

一、什么是嗅探器--------------------------------------------1

二、嗅探器的作用---------------------------------------------1

三、网络嗅探器的原理-----------------------------------------1

四、反嗅探技术----------------------------------------------7

五、网络嗅探器的设计-----------------------------------------8

六、结语---------------------------------------------------14参考书目--------------------------------------------------14

网络嗅探器的实际与实现

一、什么是嗅探器

嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。

可是，计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。

计算机的嗅探器比起电话窃听器，有他独特的优势：很多的计算机网络采用的是“共享媒体"。也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。尽管如此，这种“共享” 的技术发展的很快，慢慢转向“交换” 技术，这种技术会长期内会继续使用下去，它可以实现有目的选择的收发数据。

二、嗅探器的作用

嗅探器是网络的抓包工具，可以对网络中大量数据抓取，从而方便使用者对网络中用户的一些信息进行分析，所以，通常被黑客运用于网络攻击。我们如果也能掌握网络嗅探器的原理和设计，可以将它运用与网络故障检测、网络状况的监视，还可以加强企业信息安全防护。

三、网络嗅探器原理

嗅探器是如何工作的？如何窃听网络上的信息？

网络的一个特点就是数据总是在流动中，从一处到另外一处，而互联网是由错综复杂的各种网络交汇而成的，也就是说:当你的数据从网络的一台电脑到另一台电脑的时候，通常会经过大量不同的网络设备，(我们用tracert命令就可以看到这种路径是如何进行的)。如果传输过程中，有人看到了传输中的数据，

那么问题就出现了——这就好比给人发了一封邮件，在半路上被人拆开偷看一样，这样说或许还不是很可怕，那要是传送的数据是企业的机密文件那，或是用户的信用卡帐号和密码呢……?

嗅探侦听主要有两种途径，一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上，(比如网关服务器，路由器)——当然要实现这样的效果可能也需要通过其他黑客技术来实现:比如通过木马方式将嗅探器发给某个网络管理员，使其不自觉的为攻击者进行了安装。另外一种是针对不安全的局域网(采用交换hub实现)，放到个人电脑上就可以实现对整个局域网的侦听，这里的原理是这样的:共享hub获得一个子网内需要接收的数据时，并不是直接发送到指定主机，而是通过广播方式发送到每个电脑，对于处于接受者地位的电脑就会处理该数据，而其他非接受者的电脑就会过滤这些数据，这些操作与电脑操作者无关，是系统自动完成的，但是电脑操作者如果有意的话，他是可以将那些原本不属于他的数据打开!——这就是安全隐患!

以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。

嗅探程序正是利用了这个特点，它主动的关闭了这个嗅探器，也就是前面提到的设置网卡“混杂模式”。因此，嗅探程序就能够接收到整个以太网内的网络数据了信息了。

什么是以太网的MAC地址（MAC：Media Access Control）？由于大量的计算机在以太网内“共享“数据流，所以必须有一个统一的办法用来区分传递给不同计算机的数据流的。这种问题不会发生在拨号用户身上，因为计算机会假定一切数据都由你发动给modem然后通过电话线传送出去。可是，当你发送数据到以太网上的时候，你必须弄清楚，哪台计算机是你发送数据的对象。的确，现在有大量的双向通讯程序出现了，看上去，他们好像只会在两台机器内交换信息，可是你要明白，以太网的信息是共享的，其他用户，其实一样接收到了你发送的数据，只不过是被过滤器给忽略掉了。

MAC地址是由一组6个16进制数组成的，它存在于每一块以太网卡中。后面的章节将告诉你如何查看自己计算机的MAC地址。

如果对网络结构不太熟悉，建议参考一下OSI 7-Layer Model，这将有助于你理解后面的东西以太网所使用的协议主要是TCP/IP，并且TCP/IP也用于其他的网络模型(比如拨号用户,他们并不是处于一个以太网环境中)。举例一下，很多的小团体计算机用户都为实现文件和打印共享，安装了“NetBEUI” 因为它不是基于TCP/IP协议的，所以来自于网络的黑客一样无法得知他们的设备情况。

基于Raw协议，传输和接收都在以太网里起着支配作用。你不能直接发送一个Raw数据给以太网，你必须先做一些事情，让以太网能够理解你的意思。这有点类似于邮寄信件的方法，你不可能直接把一封信投递出去，你必须先装信封，写地址，贴邮票，网络上的传输也是这样的。

下面给出一个简单的图示，有助于你理解数据传送的原理：

_________

/.........\

/..Internet.\

+-----+ +----+.............+-----+

UserA ----- 路由............. UserB

+-----+ ^ +----+.............+-----+

\.........../

\---------/

+------+

嗅探器

+------+

UserA IP 地址: 10.0.0.23

UserB IP 地址: 192.168.100.54