3.3 常见的嗅探工具

嗅探器工具无论是在网络安全还是在黑客攻击中都有着很重要的地位，我们使用嗅探器也可以探测到网络上传输的数据，嗅探器其实像一把双刃剑，利用好了它就是神器，没有用好那么它给你带来的危害是不可估量的。网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析和利用可帮助我们维护网络安全。

3.3.1 嗅探概述

嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器：如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据及诊断并修复网络问题等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。

计算机的嗅探器比起电话窃听器，有它独特的优势：很多的计算机网络采用的是 “共享媒体”。也就是说，你不必中断它的通信，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。尽管如此，这种“共享”的技术发展得很快，慢慢转向“交换”技术，这种技术长期内会继续使用下去，它可以实现有目的选择地收发数据。

3.3.2 SRSniffer嗅探工具

SRSniffer是一款基于被动侦听原理的网络分析方式，可以监视网络的状态、数据流动情况及网络上传输的信息。SRSniffer可以监听网卡数据包，分析出HTTP数据，可以根据选择监听指定进程。标注出程序、影音和文档等特殊文件，视频、音乐类的网站资源都可以轻松下载了。数据包列表使用两种颜色区分发送和接收，更直观。

具体使用方法如下。

1. 软件下载完毕后，打开SRSniffer，左侧会显示目前运行的网络应用。

2. 打开要嗅探的网络应用，如我们启用IE浏览器，此时左侧显示栏就会多出IE浏览器一项，如图3-24所示。

3. 启动一个需要侦测的网页，如进入新浪网，此时选中左侧IE浏览器，然后单击左上角的“启动”按钮，SRSniffer会捕捉相关信息，如图3-25所示。

4. 对于想要保存的数据，右键选择“保存数据到文件”命令，如图3-26所示。弹出另存为对话框，选取合适的文件位置进行保存即可，如图3-27所示。

5. 在执行下次操作时，只需单击清除所有数据，然后重复上述步骤即可。

3.3.3 影音嗅探器

影音嗅探专家是一款能够嗅探出多媒体信息的软件，该软件使用WinPcap开发包，嗅探流过网卡的数据并智能分析过滤，快速找到所需要的网络信息（音乐、视频、图片、文件等）。软件不仅智能化程度高，而且使用方便快捷，可以利用该软件实现相关下载操作。

一、基础设置

下载安装完成后，打开影音嗅探器，选择“设置”/“选择网卡”命令，如图3-28所示，然后设定合适的网卡，如图3-29所示。

设置好网卡后返回，选择“设置”/“高级设置”命令，在弹出的对话框中选择我们需要嗅探的网络资源类型，如选择影音、图片，如图3-30所示。单击“其他”选项，勾选“自动开始嗅探”复选框，选择需要保存的文件位置，单击“确定”按钮，完成基础设置，如图3-31所示。

二、嗅探操作

完成设定后，单击左上角的“开始嗅探”按钮对我们打开的网络资源进行嗅探，结果如图3-32所示。如想对某项进行下载，直接用鼠标右键单击该项，在弹出的菜单中选择“下载”命令即可，下载结果如图3-33所示。完成嗅探后，单击“停止嗅探”按钮。

如果想查看某些包数据，只需右键单击该项然后选择“查看包数据”命令即可，如图3-34所示。打开的包数据如图3-35所示。

3.3.4 嗅探防范

黑客在进行嗅探时，可能会用一些更复杂的工具以致我们难以发现，但是如果注意我们的网络，可以及时发现并处理。

一、注意网络带宽出现反常

通过某些带宽控制器（通常是防火墙所带），可以实时看到目前网络带宽的分布情况，如果某台机器长时间地占用了较大的带宽，这台机器就有可能在监听。如果网络中存在sniffer，你应该也可以察觉出网络通信速度的变化。

二、查看计算机上当前正在运行的所有程序

在UNIX系统下使用ps -aux或ps–augx命令，可以列出当前的所有进程，启动这些进程的用户，它们占用CPU的时间，占用内存的多少等，进而查看可疑进程。

在Windows系统下，按“Ctrl”+“Alt”+“Del”组合键，看一下任务列表，结束带有可疑sniffer的进程。在系统中搜索、查找可疑的文件并删除。

注意：sniffer往往是攻击者在侵入系统后使用的，用来收集有用的信息。因此，防止系统被突破是关键。系统安全管理员要定期地对所管理的网络进行安全测试，防止安全隐患。

同时要控制拥有相当权限的用户的数量。请记住，许多攻击往往来自网络内部。