3.3 常見的嗅探工具

嗅探器工具無論是在網絡安全還是在黑客攻擊中都有著很重要的地位，我們使用嗅探器也可以探測到網絡上傳輸的數據，嗅探器其實像一把雙刃劍，利用好了它就是神器，沒有用好那么它給你帶來的危害是不可估量的。網絡嗅探手段可以有效地探測在網絡上傳輸的數據包信息，通過對這些信息的分析和利用可幫助我們維護網絡安全。

3.3.1 嗅探概述

嗅探器是一種監視網絡數據運行的軟件設備，協議分析器既能用于合法網絡管理也能用于竊取網絡信息。網絡運作和維護都可以采用協議分析器：如監視網絡流量、分析數據包、監視網絡資源利用、執行網絡安全操作規則、鑒定分析網絡數據及診斷并修復網絡問題等。非法嗅探器嚴重威脅網絡安全性，這是因為它實質上不能進行探測行為且容易隨處插入，所以網絡黑客常將它作為攻擊武器。

計算機的嗅探器比起電話竊聽器，有它獨特的優勢：很多的計算機網絡采用的是 “共享媒體”。也就是說，你不必中斷它的通信，并且配置特別的線路，再安裝嗅探器，你幾乎可以在任何連接著的網絡上直接竊聽到你同一掩碼范圍內的計算機網絡數據。我們稱這種竊聽方式為“基于混雜模式的嗅探”（promiscuous mode）。盡管如此，這種“共享”的技術發展得很快，慢慢轉向“交換”技術，這種技術長期內會繼續使用下去，它可以實現有目的選擇地收發數據。

3.3.2 SRSniffer嗅探工具

SRSniffer是一款基于被動偵聽原理的網絡分析方式，可以監視網絡的狀態、數據流動情況及網絡上傳輸的信息。SRSniffer可以監聽網卡數據包，分析出HTTP數據，可以根據選擇監聽指定進程。標注出程序、影音和文檔等特殊文件，視頻、音樂類的網站資源都可以輕松下載了。數據包列表使用兩種顏色區分發送和接收，更直觀。

具體使用方法如下。

1. 軟件下載完畢后，打開SRSniffer，左側會顯示目前運行的網絡應用。

2. 打開要嗅探的網絡應用，如我們啟用IE瀏覽器，此時左側顯示欄就會多出IE瀏覽器一項，如圖3-24所示。

3. 啟動一個需要偵測的網頁，如進入新浪網，此時選中左側IE瀏覽器，然后單擊左上角的“啟動”按鈕，SRSniffer會捕捉相關信息，如圖3-25所示。

4. 對于想要保存的數據，右鍵選擇“保存數據到文件”命令，如圖3-26所示。彈出另存為對話框，選取合適的文件位置進行保存即可，如圖3-27所示。

5. 在執行下次操作時，只需單擊清除所有數據，然后重復上述步驟即可。

3.3.3 影音嗅探器

影音嗅探專家是一款能夠嗅探出多媒體信息的軟件，該軟件使用WinPcap開發包，嗅探流過網卡的數據并智能分析過濾，快速找到所需要的網絡信息（音樂、視頻、圖片、文件等）。軟件不僅智能化程度高，而且使用方便快捷，可以利用該軟件實現相關下載操作。

一、基礎設置

下載安裝完成后，打開影音嗅探器，選擇“設置”/“選擇網卡”命令，如圖3-28所示，然后設定合適的網卡，如圖3-29所示。

設置好網卡后返回，選擇“設置”/“高級設置”命令，在彈出的對話框中選擇我們需要嗅探的網絡資源類型，如選擇影音、圖片，如圖3-30所示。單擊“其他”選項，勾選“自動開始嗅探”復選框，選擇需要保存的文件位置，單擊“確定”按鈕，完成基礎設置，如圖3-31所示。

二、嗅探操作

完成設定后，單擊左上角的“開始嗅探”按鈕對我們打開的網絡資源進行嗅探，結果如圖3-32所示。如想對某項進行下載，直接用鼠標右鍵單擊該項，在彈出的菜單中選擇“下載”命令即可，下載結果如圖3-33所示。完成嗅探后，單擊“停止嗅探”按鈕。

如果想查看某些包數據，只需右鍵單擊該項然后選擇“查看包數據”命令即可，如圖3-34所示。打開的包數據如圖3-35所示。

3.3.4 嗅探防范

黑客在進行嗅探時，可能會用一些更復雜的工具以致我們難以發現，但是如果注意我們的網絡，可以及時發現并處理。

一、注意網絡帶寬出現反常

通過某些帶寬控制器（通常是防火墻所帶），可以實時看到目前網絡帶寬的分布情況，如果某臺機器長時間地占用了較大的帶寬，這臺機器就有可能在監聽。如果網絡中存在sniffer，你應該也可以察覺出網絡通信速度的變化。

二、查看計算機上當前正在運行的所有程序

在UNIX系統下使用ps -aux或ps–augx命令，可以列出當前的所有進程，啟動這些進程的用戶，它們占用CPU的時間，占用內存的多少等，進而查看可疑進程。

在Windows系統下，按“Ctrl”+“Alt”+“Del”組合鍵，看一下任務列表，結束帶有可疑sniffer的進程。在系統中搜索、查找可疑的文件并刪除。

注意：sniffer往往是攻擊者在侵入系統后使用的，用來收集有用的信息。因此，防止系統被突破是關鍵。系統安全管理員要定期地對所管理的網絡進行安全測試，防止安全隱患。

同時要控制擁有相當權限的用戶的數量。請記住，許多攻擊往往來自網絡內部。