深入学习sniffer（工作原理）

二、sniffer工作原理  
T"{ZQ!Y Fu8HZ-Y0
eLbAR"ez0通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：  ITPUB个人空间 X!L k`)Vn!D{K"B
ITPUB个人空间~6XxHy9C
1、帧的目标区域具有和本地网络接口相匹配的硬件地址。  
$M#j#v5a|9_02、帧的目标区域具有"广播地址"。  ITPUB个人空间t `BU#IsL%M
ITPUB个人空间JS4oYoaE
在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。  
*A]"[
r#~!V+B4L0
B"T/hm Z2w0而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成promiscuous方式的能力）  ITPUB个人空间\@]@N
ITPUB个人空间`,^O#g(pp
可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。  
5de2e LU1_Z#n0ITPUB个人空间8_&i*~3CBa\K
通常sniffer所要关心的内容可以分成这样几类：  
9@)k&p JqP0
t2L9qFC$x*tA01、口令：  
\$yD,GX"b~C#]%l O B0我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。  ITPUB个人空间M y1_7LH Vt
ITPUB个人空间)X'?y'BW([ S2j1\
2、金融帐号：  ITPUB个人空间F@qq0~
Jq l({
许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。  ITPUB个人空间xFF:UpE wIjy
ITPUB个人空间5RMz~`rb
3、偷窥机密或敏感的信息数据：  
F1Y R.Q0i"\ x@0通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。  
L"CvrEuj}0ITPUB个人空间.@-V0}-E-I L"l
4、窥探低级的协议信息：  ITPUB个人空间2{1]:gB{ l$O-JKr
这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大条得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）。  
B,C;F4vxl1Mm9N:v0