本文是一簡單的關于SHIFFER的描述，對于不太知道SNIFFER的人來說可能適用，高手就免進了，要深一層次的就看如袁哥，BACKEND寫的文章吧。
什么是SNIFFER呢？
一般我們在講的SNIFFER程序是把NIC（網絡適配卡，一般如以太網卡）置為一種叫promiscuous雜亂模式的狀態(tài)，一旦網卡設置為這種模式，它就能是SNIFFER程序能接受傳輸在網絡上的每一個信息包。普通的情況下，網卡只接受和自己的地址有關的信息包，即傳輸?shù)奖镜刂鳈C的信息包。要使SNIFFER能接受處理這種方式的信息，就需要系統(tǒng)支持bpf，LINUX下如SOCKET-PACKET，但一般情況下網絡硬件和TCP/IP堆棧是不支持接受或者發(fā)送與本地計算機無關的數(shù)據(jù)包，所以為了繞過標準的TCP/IP堆棧，網卡就必須設置為我們剛開始將的雜亂模式，一般情況下，要激活這種方式，必須內核支持這種偽設備bpfilter，而且需要ROOT用戶來運行這種SNIFFER程序，所以大家知道SNIFFER需要ROOT身份安裝，而你即使以本地用戶進入了系統(tǒng)，你也嗅探不到ROOT的密碼，因為不能運行SNIFFER。
基于SNIFFER這樣的模式，可以分析各種信息包可以很清楚的描述出網絡的結構和使用的機器，由于它接受任何一個在同一網段上傳輸?shù)臄?shù)據(jù)包，所以也就存在著SNIFFER可以用來捕獲密碼，EMAIL信息，秘密文檔等一些其他沒有加密的信息。所以這成為黑客們常用的擴大戰(zhàn)果的方法，奪取其他主機的控制權。
下面描述了一些傳輸介質被監(jiān)聽的可能性：

Ethernet監(jiān)聽的可能性比較高，因為Ethernet網是一個廣播型的網絡，困擾著INTERNET的大多數(shù)包監(jiān)聽時間都是一些運行在一臺計算機中的包監(jiān)聽程序的結果。這臺計算機和其他計算機，一個網關或者路由器形成一個以太網。

FDDIToken-監(jiān)聽的可能性也比較高，盡管令牌網內的并不是一個廣播型網絡，ring實際上，帶有令牌的那些包在傳輸過程中，平均要經過網絡上一半的計算機。但高的傳輸率將使監(jiān)聽變得困難。

電話線監(jiān)聽的可能性中等，電話線可以被一些與電話公司協(xié)作的人或者一些有機會在物理上訪問到線路的人搭線竊聽，在微波線路上的信息也會被截獲。在實際中，高速的MODEM比低速的MODEM搭線困難的多,因為高速MODEM引入了許多頻率。

IP通過有監(jiān)聽的可能性比較高，使用有線電視信道發(fā)送IP數(shù)據(jù)包依靠RF調制線電視信道解調器，RF調制解調器使用一個TV通道用于上行，一個用于下行。
在這些線路上傳輸?shù)男畔]有加密，因此，可以被一些可以物理訪問到TV電纜的人截獲。

微波和監(jiān)聽的可能性比較高，無線電本來是一個廣播型的傳輸媒介，任何一個有無線電接受機的人可以截獲那些傳輸?shù)男畔ⅰ?/p>現(xiàn)在多數(shù)的SNIFFER只監(jiān)視連接時的信息包，原因是SNIFFER如果接受全部的信息包，一個是LOG記錄極其大，而且會占用大量的CPU時間，所以在一個擔負繁忙任務的計算機中進行監(jiān)聽，由于占用的CPU和帶寬就可以懷疑有SNIFFER在工作，當你覺得有異?，F(xiàn)象的時候就先需要一些簡單的方法檢測。
雖然可以使用PS或者netstat的命令去查看是否有可以進程和連接信息的轉態(tài)，但入侵者改變了ps或者netstat程序也就不能發(fā)現(xiàn)這些程序了，其實修改ps命令只須短短數(shù)條SHELL命令，即可將監(jiān)聽軟件的名字過濾掉。
下面的兩個方法原理簡單，但操作起來比較困難：
1，對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去PING，運行監(jiān)聽程序的機器回有響應，這是因為正常的機器不接受錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接受，如果他的IPSTACK不再次反向檢查的話，就會響應，這種方法依賴系統(tǒng)的IPSTACK，對有些系統(tǒng)可能行不通。
2，往網上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序將處理這些包，將導致性能下降，通過比較前后該機器性能（icmpechodelay等方法）加以判斷，這種方法難度較大點。
一些流行的SNIFFER

SNIFFIT：這是一個比較的SNIFFER，它由BrechtClearhout所寫，這是你應該最先用的程序，這個SNIFFER默認狀態(tài)下只接受最先的400個字節(jié)的信息包，這對于一次登陸會話進程剛剛好。：p

SNORT：這個SNIFFER有很多選項供你使用并可移植性強，可以記錄一些連接信息，用來跟蹤一些網絡活動。

TCPDUMP：這個SNIFFER很有名，F(xiàn)REEBSD還搭帶在系統(tǒng)上，是一個被很多UNIX高手認為是一個專業(yè)的網絡管理工具，記得以前TsutomuShimomura（應該叫下村侵吧）就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統(tǒng)的記錄，后來就配合FBI抓住了KEVINMITNICK，后來他寫了一文：使用這些LOG記錄描述了那次的攻擊，HowMitnickhackedTsutomuShimomurawithanIPsequenceattack(http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt)

ADMsniff:這是非常有名的ADM黑客集團寫的一個SNIFFER程序。

linsniffer:這是一個專門設計雜一LINUX平臺上的SNIFFER。

Esniffer:這個也是一個比較有名的SNIFFER程序。

Sunsniff:這個是用在SUNOS系統(tǒng)上的SNIFFER，此程序應該在十年前推出的吧。

Solsniffer:這是個Solarissniffer，主要是修改了SunSniff專門用來可以
方便的在Solair平臺上編譯。

這些程序attrition收集起來了，大家可以到下面的URL下載：
http://www.attrition.org/security/newbie/security/sniffer/

一些流行的檢測SNIFFER的程序：

http://www.attrition.org/security/newbie/security/sniffer/promisc.c--是一個很小的C程序，當編譯好后，會查找本地機器上任何處于雜亂模式的NIC網絡適配卡。

http://www.attrition.org/security/newbie/security/sniffer/neped.c--是一個用來遠程檢查任何嗅探活動的程序，可惜它只在LINUX下編譯，當然你也可以簡單的使用ifconfig-a來檢查你的UNIX機器是否有PROMISC標志。

http://www.l0pht.com/antisniff/這是L0pht寫的很好的反SNIFFER程序，L0PHT還打算公開LINUX版本上的源碼版本。

另外，如果機器上使用兩塊網卡，把一塊設置為雜亂模式，并把IP地址設置為0.0.0.0，另一塊卡處于正常的模式并是正確的地址，這樣將很難發(fā)現(xiàn)SNIFFER的存在。

一些資源：

大家可以到http://www.securityfocus.com/找到很多關于SNIFFER的程序， PHRACK54（FILE10）的文章awesomearticle很好的解釋了很多方法和技巧來對付SNIFFER，
http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt
是Shimomura寫的文章(HowMitnickhackedTsutomuShimomurawithanIPsequenceattack)
。也可以到http://www.l0pht.com/站點下載Antisniffer，這確實是一個不錯的工具。