1.1 什么是嗅探器?

　　嗅探器的英文寫(xiě)法是Sniff，可以理解為一個(gè)安裝在計算機上的竊聽(tīng)設備它可以用來(lái)竊聽(tīng)計算機在網(wǎng)絡(luò )上所產(chǎn)生的眾多的信息。簡(jiǎn)單一點(diǎn)解釋?zhuān)阂徊侩娫?huà)的竊聽(tīng)裝置, 可以用來(lái)竊聽(tīng)雙方通話(huà)的內容，而計算機網(wǎng)絡(luò )嗅探器則可以竊聽(tīng)計算機程序在網(wǎng)絡(luò )上發(fā)送和接收到的數據。

　　可是，計算機直接所傳送的數據，事實(shí)上是大量的二進(jìn)制數據。因此, 一個(gè)網(wǎng)絡(luò )竊聽(tīng)程序必須也使用特定的網(wǎng)絡(luò )協(xié)議來(lái)分解嗅探到的數據， 嗅探器也就必須能夠識別出那個(gè)協(xié)議對應于這個(gè)數據片斷，只有這樣才能夠進(jìn)行正確的解碼。

　　計算機的嗅探器比起電話(huà)竊聽(tīng)器，有他獨特的優(yōu)勢： 很多的計算機網(wǎng)絡(luò )采用的是“共享媒體"。 也就是說(shuō)，你不必中斷他的通訊，并且配置特別的線(xiàn)路，再安裝嗅探器，你幾乎可以在任何連接著(zhù)的網(wǎng)絡(luò )上直接竊聽(tīng)到你同一掩碼范圍內的計算機網(wǎng)絡(luò )數據。我們稱(chēng)這種竊聽(tīng)方式為“基于混雜模式的嗅探”(promiscuous mode) 。 盡管如此，這種“共享” 的技術(shù)發(fā)展的很快，慢慢轉向“交換” 技術(shù)，這種技術(shù)會(huì )長(cháng)期內會(huì )繼續使用下去， 它可以實(shí)現有目的選擇的收發(fā)數據。

　　1.2嗅探器是如何工作的

　　1.2.1如何竊聽(tīng)網(wǎng)絡(luò )上的信息

　　剛才說(shuō)了，以太網(wǎng)的數據傳輸是基于“共享”原理的：所有的同一本地網(wǎng)范圍內的計算機共同接收到相同的數據包。這意味著(zhù)計算機直接的通訊都是透明可見(jiàn)的。

　　正是因為這樣的原因，以太網(wǎng)卡都構造了硬件的“過(guò)濾器”這個(gè)過(guò)濾器將忽略掉一切和自己無(wú)關(guān)的網(wǎng)絡(luò )信息。事實(shí)上是忽略掉了與自身MAC地址不符合的信息。

　　嗅探程序正是利用了這個(gè)特點(diǎn)，它主動(dòng)的關(guān)閉了這個(gè)嗅探器，也就是前面提到的設置網(wǎng)卡“混雜模式”。因此，嗅探程序就能夠接收到整個(gè)以太網(wǎng)內的網(wǎng)絡(luò )數據了信息了。

　　1.2.2什么是以太網(wǎng)的MAC地址

　　MAC：Media Access Control.

　　由于大量的計算機在以太網(wǎng)內“共享“數據流，所以必須有一個(gè)統一的辦法用來(lái)區分傳遞給不同計算機的數據流的。這種問(wèn)題不會(huì )發(fā)生在撥號用戶(hù)身上，因為計算機會(huì )假定一切數據都由你發(fā)動(dòng)給modem然后通過(guò)電話(huà)線(xiàn)傳送出去?？墒?，當你發(fā)送數據到以太網(wǎng)上的時(shí)候，你必須弄清楚，哪臺計算機是你發(fā)送數據的對象。的確，現在有大量的雙向通訊程序出現了，看上去，他們好像只會(huì )在兩臺機器內交換信息，可是你要明白，以太網(wǎng)的信息是共享的，其他用戶(hù)，其實(shí)一樣接收到了你發(fā)送的數據，只不過(guò)是被過(guò)濾器給忽略掉了。

　　MAC地址是由一組6個(gè)16進(jìn)制數組成的，它存在于每一塊以太網(wǎng)卡中。后面的章節將告訴你如何查看自己計算機的MAC地址。

　　如果你對網(wǎng)絡(luò )結構不太熟悉，建議參考一下OSI 7-Layer Model，這將有助于你理解后面的東西以太網(wǎng)所使用的協(xié)議主要是TCP/IP，并且TCP/IP也用于其他的網(wǎng)絡(luò )模型(比如撥號用戶(hù),他們并不是處于一個(gè)以太網(wǎng)環(huán)境中)。舉例一下，很多的小團體計算機用戶(hù)都為實(shí)現文件和打印共享，安裝了“NetBEUI” 因為它不是基于TCP/IP協(xié)議的， 所以來(lái)自于網(wǎng)絡(luò )的黑客一樣無(wú)法得知他們的設備情況。

　　基于Raw協(xié)議，傳輸和接收都在以太網(wǎng)里起著(zhù)支配作用。你不能直接發(fā)送一個(gè)Raw數據給以太網(wǎng)，你必須先做一些事情，讓以太網(wǎng)能夠理解你的意思。這有點(diǎn)類(lèi)似于郵寄信件的方法，你不可能直接把一封信投遞出去，你必須先裝信封，寫(xiě)地址，貼郵票，網(wǎng)絡(luò )上的傳輸也是這樣的。

　　下面給出一個(gè)簡(jiǎn)單的圖示，有助于你理解數據傳送的原理：

　　_________

　　/.........

　　/..Internet.

　　+-----+ +----+.............+-----+

　　|UserA|-----|路由|.............|UserB|

　　+-----+ ^ +----+.............+-----+

　　| .........../

　　| ---------/

　　+------+

　　|嗅探器|

　　+------+

　　UserA IP 地址: 10.0.0.23

　　UserB IP 地址: 192.168.100.54

　　現在知道UserA要于UserB進(jìn)行計算機通訊，UserA需要為10.0.0.23到192.168.100.54的通訊建立一個(gè)IP包

　　這個(gè)IP包在網(wǎng)絡(luò )上傳輸，它必須能夠穿透路由器。因此， UserA必須首先提交這個(gè)包給路由器。由每個(gè)路由器考查目地IP地址然后決定傳送路徑。

　　UserA 所知道的只是本地與路由的連接，和UserB的IP地址。UserA并不清楚網(wǎng)絡(luò )的結構情況和路由走向。

　　UserA必須告訴路由預備發(fā)送的數據包的情況，以太網(wǎng)數據傳輸結構大概是這樣的：

　　+--+--+--+--+--+--+

　　| 目標 MAC |

　　+--+--+--+--+--+--+

　　| 源 MAC |

　　+--+--+--+--+--+--+

　　|08 00|

　　+--+--+-----------+

　　| |

　　. .

　　. IP 包 .

　　. .

　　| |

　　+--+--+--+--+-----+

　　| CRC校驗 |

　　+--+--+--+--+

　　理解一下這個(gè)結構，UserA的計算機建立了一個(gè)包假設它由100個(gè)字節的長(cháng)度(我們假設一下，20 個(gè)字節是IP信息，20個(gè)字節是TCP信息，還有60個(gè)字節為傳送的數據)?，F在把這個(gè)包發(fā)給以太網(wǎng),放14個(gè)字節在目地MAC地址之前，源MAC地址，還要置一個(gè)0x0800的標記，他指示出了TCP/IP棧后的數據結構。同時(shí)，也附加了4個(gè)字節用于做CRC校驗 (CRC校驗用來(lái)檢查傳輸數據的正確性)。

　　現在發(fā)送數據到網(wǎng)絡(luò )。

　　所有在網(wǎng)內的計算機通過(guò)適配器都能夠發(fā)現這個(gè)數據片，其中也包括路由適配器，嗅探器和其他一些機器。通常，適配器都具有一塊芯片用來(lái)做結構比較的，檢查結構中的目地MAC地址和自己的MAC地址，如果不相同，則適配器會(huì )丟棄這個(gè)結構。這個(gè)操作會(huì )由硬件來(lái)完成，所以，對于計算機內的程序來(lái)說(shuō)，整個(gè)過(guò)程時(shí)毫無(wú)察覺(jué)的。

　　當路由器的以太網(wǎng)適配器發(fā)現這個(gè)結構后，它會(huì )讀取網(wǎng)絡(luò )信息，并且去掉前14個(gè)字節，跟蹤4個(gè)字節。查找0x8000標記，然后對這個(gè)結構進(jìn)行處理(它將根據網(wǎng)絡(luò )狀況推測出下一個(gè)最快路由節點(diǎn)，從而最快傳送數據到預定的目標地址)。

　　設想，只有路由機器能夠檢查這個(gè)結構，并且所有其他的機器都忽略這個(gè) 結構，則嗅探器無(wú)論如何也無(wú)法檢測到這個(gè)結構的。

　　1.3.1 MAC地址的格式是什么?

　　以太網(wǎng)卡的MAC地址是一組48比特的數字，這48比特分為兩個(gè)部分組成，前面的24比特用于表示以太網(wǎng)卡的寄主，后面的24比特是一組序列號，是由寄主進(jìn)行支派的。這樣可以擔保沒(méi)有任何兩塊網(wǎng)卡的MAC地址是相同的(當然可以通過(guò)特殊的方法實(shí)現)。如果出現相同的地址，將發(fā)生問(wèn)題，所有這一點(diǎn)是非常重要的。這24比特被稱(chēng)之為OUI(Organizationally Unique Identifier)。

　　可是，OUI的真實(shí)長(cháng)度只有22比特，還有兩個(gè)比特用于其他：一個(gè)比特用來(lái)校驗是否是廣播或者多播地址，另一個(gè)比特用來(lái)分配本地執行地址(一些網(wǎng)絡(luò )允許管理員針對具體情況再分配MAC地址)。

　　舉個(gè)例子，你的MAC地址在網(wǎng)絡(luò )中表示為 03 00 00 00 00 01 。第一個(gè)字節所包含的值二進(jìn)制表示方法為00000011。 可以看到，最后兩個(gè)比特都被置為真值。他指定了一個(gè)多播模式，向所有的計算機進(jìn)行廣播，使用了“NetBEUI”協(xié)議(一般的，在Windows計算機的網(wǎng)絡(luò )中，文件共享傳輸等是不使用TCP/IP協(xié)議的)。.

　　1.3.2 我如何得到自己計算機的MAC地址?

　　Win9x

　　Win9x自帶的這個(gè)程序將告訴你答案：“winipcfg.exe”

　　WinNT

　　在命令行的狀態(tài)下運行這個(gè)命令："ipconfig /all"

　　它會(huì )顯示出你的MAC網(wǎng)卡地址，下面是一個(gè)例子：

　　Windows 2000 IP Configuration

　　Host Name . . . . . . . . . . . . : bigball

　　Primary DNS Suffix . . . . . . . :

　　Node Type . . . . . . . . . . . . : Hybrid

　　IP Routing Enabled. . . . . . . . : No

　　WINS Proxy Enabled. . . . . . . . : No

　　Ethernet adapter 本地連接:

　　Connection-specific DNS Suffix . :

　　Description . . . . . . . . . . . : Legend/D-Link DFE-530TX PCI Fast Eth

　　ernet Adapter (Rev

　　Physical Address. . . . . . . . . : 00-50-BA-25-5D-E8

　　DHCP Enabled. . . . . . . . . . . : No

　　IP Address. . . . . . . . . . . . : 192.168.10.254

　　Subnet Mask . . . . . . . . . . . : 255.255.128.0

　　Default Gateway . . . . . . . . . : 192.168.10.3

　　Ethernet adapter SC12001:

　　Description . . . . . . . . : DEC DC21140 PCI Fast Ethernet

　　Linux

　　運行“ifconfig”。結果如下：

　　eth0 Link encap:Ethernet HWaddr 08:00:17:0A:36:3E

　　inet addr:192.0.2.161 Bcast:192.0.2.255 Mask:255.255.255.0

　　UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1