Sniffer深入分析網絡

sniffer(嗅探器)是利用計算機的網絡接口，截獲目的地是其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面，它工作的時候就像一部被動聲納，默默地接收著來自網絡的各種信息，通過對這些數據的分析，網絡管理員可以深入了解網絡當前的運行狀況，以便找出所關心的網絡中潛在的問題。
    sniffer技術簡介
    數據在網絡上是以很小的稱為“幀”的單位傳輸的，幀由多個部分組成，不同的部分對應不同的信息以實現相應的功能，例如，以太網的前12個字節存放的是源地址和目的地址，這些數據告訴網絡該幀的來源和去處。其余的部分存放實際用戶數據、TCP/IP的報頭或IPX報頭等等。幀是根據通信所使用的協議，由網絡驅動程序按照一定規則生成，然后通過網卡發送到網絡中，通過網線傳送到它們的目的主機，在目的主機的一端按照同樣的通信協議執行相反的過程。接收端機器的網卡捕獲到這些幀，并告訴操作系統有新的幀到達，然后對其進行存儲。在正常情況下，網卡讀入一幀并進行檢查，如果幀中攜帶的目的地址(這里的目的地址是指物理地址而非IP地址，該地址是網絡設備的唯一性標志)和自己的物理地址一致或者是廣播地址(就是被設定為一次性發送到網絡所有主機的特殊地址，當目標地址為該地址時，所有的網卡都會接收該幀)，網卡通過產生一個硬件中斷引起操作系統注意，然后將幀中所包含的數據傳送給系統進一步處理，否則就將這個幀丟棄。
    我們可以想象到這樣一種特別的情況：如果網絡中某個網卡的物理地址不確定(這可以通過本地網卡設置成“混雜”狀態來實現)，網卡會如何處理收到的幀呢?實際的情況是該網卡將接收所有在網絡中傳輸的幀，無論該幀是廣播的還是發向某一指定地址的，這就形成了監聽。如果某一臺主機被設置成這種監聽模式，它就成了一個sniffer。
    鑒于sniffer的工作原理，我們知道：如果一個幀沒有發送到你的網卡上，那么你將無法監聽到該幀。所以sniffer所能監聽到的信息僅限于在同一物理網絡內傳送的數據，在使用了交換(路由)設備的網絡中，由于其數據是根據目的地址進行分發的，單個網卡將無法監聽到所有正在傳輸的信息。
    不同傳輸介質網絡的可監聽性是不同的。一般來說，以太網被監聽的可能性比較高，因為以太網是一個廣播型的網絡;FDDI Token被監聽的可能性也比較高，盡管它并不是一個廣播型網絡，但帶有令牌的那些幀在傳輸過程中，平均要經過網絡上一半的計算機;電話線監聽的可能性中等，但在實際中，高速的調制解調器比低速的調制解調器搭線困難的多，因為高速調制解調器引入了更高的頻率;微波和無線網被監聽的可能性同樣比較高，因為無線電本身是一個廣播型的傳輸媒介，彌散在空中的無線電信號可以被很輕易地被截獲。所以，sniffer可以應用于大部分的網絡類型中。
    sniffer本來是網絡工程師常用的工具，也是網絡管理員的好幫手，但由于網絡中的數據傳送往往是以明文方式進行的，所以sniffer也常常被某些人用于“特殊”的用途。
    sniffer的應用
    sniffer工具在功能和設計上有很多不同。有些只能分析一種協議，而另一些可能能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析如下的協議：標準的以太網、TCP/IP、IPX、DECNet等。
    實際應用中的sniffer還分軟、硬兩種。軟件sniffer的優點在于比較便宜，易于學習使用，同時也易于交流，缺點是往往無法抓取網絡上所有的傳輸(比如碎片)，某些情況下也就可能無法真正了解網絡的故障和運行情況;硬件的sniffer通常稱為協議分析儀，一般都比較昂貴，它的優點恰恰是軟件sniffer所欠缺的，但是昂貴是它致命的缺點。因此目前流行的sniffer工具都是軟件的。網上有不少免費的sniffer工具可下載使用(有些甚至提供源碼)，但是這些免費的軟件往往功能單一，穩定性和技術支持方面也無法和商業軟件相比;目前在商業網管軟件中，NAI的sniffer TNV套件是非常典型的協議分析儀。
    sniffer TNV主要包括兩部分：便攜式套件和分布式套件。便攜式套件主要包括sniffer Basic、sniffer Pro LAN、sniffer Pro WAN、sniffer Pro High Speed等組件，它是一種便攜式的網絡故障與性能分析的解決方案，是能夠為全部七層OSI網絡模型提供全面性能管理的工具包，它使得網絡專職人員能夠主動維護多拓撲結構和多協議的網絡，并顯著降低其網絡操作成本。同時，它還具備出色的監測和分辨能力，智能的專家技術掃描從網絡上捕獲的信息以檢測網絡異常現象，并應用用戶定義的試探式程序自動對每種異常現象進行歸類，并給出一份警告、解釋問題和提出建議的解決方案;同時sniffer 的網絡分析器還可以監視所有類型的網絡硬件和拓撲結構，包括交換網絡和運行ATM OC-12和千兆以太網的高速骨干網在內;它能夠支持400多種協議解釋和強大的專家分析功能，可以對網絡傳輸進行分析，找出故障和響應緩慢的原因，從而能夠確保整個LAN和WAN拓撲網絡的最高性能。
    分布式套件主要包括Distributed sniffer System/RMON Basic和Distributed sniffer System/RMON Pro組件。通過結合中央控制臺與分布全網的網絡分析器，網絡管理員可以全天候地監控整個網絡運行情況，這是符合RMON 1/ RMON 2 的基于專家系統的網絡和應用程序管理系統，能夠適應各種拓撲結構、速度和不同介質類型的網絡，將有助于排除故障和生成報告。同時該軟件包中還集成了SiteMinder Security Manager，這是一個基于NT的服務器，支持多個身份驗證和授權選項，允許您檢查用戶訪問，并選擇對網絡設備進行訪問的相應級別，如此可以保護通過Distributed sniffer System顯示的敏感信息。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]