全面介紹sniffer（1）

與電話電路不同，計算機網絡是共享通訊通道的。支持每對通訊計算機獨占通道的交換機/集線器仍然過于昂貴。共享意味著計算機能夠接收到發送給其它計算機的信息。捕獲在網絡中傳輸的數據信息就稱為sniffing（竊聽）。

以太網是現在應用最廣泛的計算機連網方式。以太網協議是在同一回路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一臺主機能夠接收所有數據包，而不理會數據包頭內容，這種方式通常稱為"混雜"模式。

由于在一個普通的網絡環境中，帳號和口令信息以明文方式在以太網中傳輸，一旦入侵者獲得其中一臺主機的root權限，并將其置于混雜模式以竊聽網絡數據，從而有可能入侵網絡中的所有計算機。

哪里可以得到sniffer

Sniffer是黑客們最常用的入侵手段之一。例如Esniff.c，是一個小巧的工具，運行在SunOS平臺，可捕獲所有te.net、ftp、rloing會話的前300個字節內容。這個由Phrack開發的程序已成為在黑客中傳播最廣泛的工具之一。

你可以在經過允許的網絡中運行Esniff.c，了解它是如何有效地危及本地機器安全。

以下是一些也被廣泛用于調試網絡故障的sniffer工具：

*EtherfindonSunOs

*SnooponSolaris2.xandSunOs

*Tcpdump

*Packetman,Interman,Etherman,Loadman

商用sniffer：

*NetworkGeneral.

NetworkGeneral開發了多種產品。最重要的是ExpertSniffer，它不僅僅可以sniff，還能夠通過高性能的專門系統發送/接收數據包，幫助診斷故障。還有一個增強產品"DistrbutedSnifferSystem"可以將UNIX工作站作為sniffer控制臺，而將snifferagents（代理）分布到遠程主機上。

*Microsoft'sNetMonitor

對于某些商業站點，可能同時需要運行多種協議--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到一種sniffer幫助解決網絡問題，因為許多sniffer往往將某些正確的協議數據包當成了錯誤數據包。Microsoft的NetMonitor（以前叫Bloodhound）可以解決這個難題。它能夠正確區分諸如Netware控制數據包、NTNetBios名字服務廣播等獨特的數據包。（etherfind只會將這些數據包標識為類型0000的廣播數據包。）這個工具運行在MSWindows平臺上。它甚至能夠按MAC地址（或主機名）進行網絡統計和會話信息監視。只需簡單地單擊某個會話即可獲得tcpdump標準的輸出。