一.嗅探器的應(yīng)用范圍
嗅探器要求監(jiān)聽設(shè)備的物理傳輸介質(zhì)與被監(jiān)聽設(shè)備的物理傳輸介質(zhì)存在直接聯(lián)系或者數(shù)據(jù)包能通過路由選擇到達(dá)對(duì)方,及一個(gè)邏輯上的三方連接,具體來說有以下兩種情況:
1.監(jiān)聽方與通訊方位于同一物理網(wǎng)絡(luò),如局域網(wǎng)。
2.監(jiān)聽方和通訊方存在路由或者接口關(guān)系,如通訊雙方的同一網(wǎng)關(guān),連接通訊雙方的路由設(shè)備等。
因此,嗅探技術(shù)不太可能在公共網(wǎng)絡(luò)設(shè)備上使用,當(dāng)今最普遍的嗅探行為多發(fā)生在大大小小的局域網(wǎng)中。
二.發(fā)生在交換式局域網(wǎng)內(nèi)的竊聽
交換式局域網(wǎng)內(nèi)的網(wǎng)絡(luò)連接設(shè)備是交換機(jī),它連接的每臺(tái)計(jì)算機(jī)是獨(dú)立的,交換機(jī)引入了端口的概念,它會(huì)產(chǎn)生一個(gè)地址表存放每臺(tái)與之連接的計(jì)算機(jī)的MAC地址,除了聲明為廣播或者組播的報(bào)文,交換機(jī)在一般情況下是不會(huì)讓其他報(bào)文出現(xiàn)共享式局域網(wǎng)那樣的廣播形式發(fā)送,因此即使網(wǎng)卡設(shè)置為混雜模式,它也接收不到發(fā)往其他計(jì)算機(jī)的數(shù)據(jù),因?yàn)閿?shù)據(jù)的目標(biāo)地址會(huì)在交換機(jī)中被識(shí)別,然后有針對(duì)性的發(fā)往表中對(duì)應(yīng)地址的端口。
在這種環(huán)境中,嗅探器為了監(jiān)聽特定計(jì)算機(jī)的通訊,通常采取ARP欺騙行為,這時(shí)嗅探器充當(dāng)了一個(gè)被監(jiān)聽對(duì)象與信息交換對(duì)象之間的轉(zhuǎn)發(fā)者的角色,它會(huì)截獲雙方發(fā)給對(duì)方的信息后經(jīng)過處理在發(fā)送給目的方,這時(shí)嗅探器對(duì)雙方是透明的。