网络嗅探器详解(sniffer)

        近段时间arp病毒开始在网络上泛滥，很多客户都打电话来咨询。今天我就将arp及与arp相关的技术与大家介绍一下。

arp原本是一种网络协议，是网络上主机用来将IP地址转换MAC地址的一种协议，其中包括arp请求广播包和arp响应包。大家都知道，两台主机通信时需要知道对方的IP地址和MAC地址。如果发送方不知道接收方的MAC地址时就会在网络上广播寻求接收方的MAC地址，如果接收方和发送方在同一局域网则接收方会给发送方一个ARP响应包，这样发送方就知道接收方的MAC地址了。(接收方与发送方在不通的网络这里就不在叙述了) 由上可知ARP主要是用来获得MAC地址的，但正是arp的这个作用被很多居心不良的人用来搞破坏。

例如现今很多arp攻击都是通过在网络上发布假的数据包，导致网络紊乱。举个例子，主机A给主机B发一个假的ARP应答包，告诉主机B一个假的路由器MAC地址，主机B收到这个包后，就会根据包中的信息更改自己的ARP缓存。这样主机B的ARP缓存里就存了一个假的记录，当主机B要与外网通信时就会用这假的MAC地址，结果可想而知，不能上网。 可是中了ARP病毒的现象是，网络时断时上。这是因为arp缓存有一定的刷新频率。主机会定期更新自己的arp缓存，从新获取新的MAC地址。

以上讲的只是arp攻击的一种情况，还有一种情况，就是利用arp来截获用户信息，这也是今天的主题：网络嗅探！ 网络嗅探说白了就是截获网络上的数据包，并进行分析。用在正当处可以对网络的管理有很大帮助有助于网络管理者了解网络情况。如果用在不正当处，就可以被用来截取用户有用信息，因为当今还有很多通信的用户名、密码及其他一些有用信息都是明文传输的。 网络嗅探要分两种情况：一种是共享式网络嗅探，一种是交换式网络嗅探。今天先大概的和大家说说，以后有时间在细说。在以前用HUB通信时整个网络是共享式的一台主机发的包网络上的所有主机都可以接收到。在这种情况下，只要将网卡调成混杂模式就可以接收网上所有的包(默认主机只接收发个自己的包和地址为ff:ff:ff:ff:ff:ff的广播包)。在交换式网络情况就不一样了，主机A发给主机B的包不会发到其他主机上，这时即使开启混杂模式也只能监听发给自己的包。于是这里就要用到ARP欺骗技术，至于具体怎么用留给大家思考吧，我都说了就没意义了。 希望以上能对大家在日后的网络维护中有所帮助。对了原创文章转载别忘写出处哦，谢谢！