一.嗅探器的應(yīng)用范圍
嗅探器要求監(jiān)聽設(shè)備的物理傳輸介質(zhì)與被監(jiān)聽設(shè)備的物理傳輸介質(zhì)存在直接聯(lián)系或者數(shù)據(jù)包能通過路由選擇到達(dá)對方,及一個邏輯上的三方連接,具體來說有以下兩種情況:
1.監(jiān)聽方與通訊方位于同一物理網(wǎng)絡(luò),如局域網(wǎng)。
2.監(jiān)聽方和通訊方存在路由或者接口關(guān)系,如通訊雙方的同一網(wǎng)關(guān),連接通訊雙方的路由設(shè)備等。
因此,嗅探技術(shù)不太可能在公共網(wǎng)絡(luò)設(shè)備上使用,當(dāng)今最普遍的嗅探行為多發(fā)生在大大小小的局域網(wǎng)中。
二.發(fā)生在交換式局域網(wǎng)內(nèi)的竊聽
交換式局域網(wǎng)內(nèi)的網(wǎng)絡(luò)連接設(shè)備是交換機,它連接的每臺計算機是獨立的,交換機引入了端口的概念,它會產(chǎn)生一個地址表存放每臺與之連接的計算機的MAC地址,除了聲明為廣播或者組播的報文,交換機在一般情況下是不會讓其他報文出現(xiàn)共享式局域網(wǎng)那樣的廣播形式發(fā)送,因此即使網(wǎng)卡設(shè)置為混雜模式,它也接收不到發(fā)往其他計算機的數(shù)據(jù),因為數(shù)據(jù)的目標(biāo)地址會在交換機中被識別,然后有針對性的發(fā)往表中對應(yīng)地址的端口。
在這種環(huán)境中,嗅探器為了監(jiān)聽特定計算機的通訊,通常采取ARP欺騙行為,這時嗅探器充當(dāng)了一個被監(jiān)聽對象與信息交換對象之間的轉(zhuǎn)發(fā)者的角色,它會截獲雙方發(fā)給對方的信息后經(jīng)過處理在發(fā)送給目的方,這時嗅探器對雙方是透明的。