Sniffer(嗅探器)就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它工作的時(shí)候就像一部被動(dòng)聲納，默默的接收著來自網(wǎng)絡(luò)的各種信息，通過對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

Sniffer技術(shù)簡介

數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為“幀”(又稱：包)的單位傳輸?shù)模瑤啥鄠€(gè)部分組成，不同的部分對(duì)應(yīng)不同的信息以實(shí)現(xiàn)相應(yīng)的功能，例如，以太網(wǎng)的前12個(gè)字節(jié)存放的是源地址和目的地址，這些數(shù)據(jù)告訴網(wǎng)絡(luò)該幀的來源和去處。其余的部分存放實(shí)際用戶數(shù)據(jù)、TCP/IP的報(bào)頭或IPX報(bào)頭等等。幀是根據(jù)通訊所使用的協(xié)議，由網(wǎng)絡(luò)驅(qū)動(dòng)程序按照一定規(guī)則生成，然后通過網(wǎng)絡(luò)接口卡(網(wǎng)絡(luò)接口卡，在局域網(wǎng)中一般指網(wǎng)卡)發(fā)送到網(wǎng)絡(luò)中，通過網(wǎng)線傳送到它們的目的主機(jī)，在目的主機(jī)的一端按照同樣的通訊協(xié)議執(zhí)行相反的過程。接收端機(jī)器的網(wǎng)絡(luò)接口卡捕獲到這些幀，并告訴操作系統(tǒng)有新的幀到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。在正常情況下，網(wǎng)絡(luò)接口卡讀入一幀并進(jìn)行檢查，如果幀中攜帶的目的地址(這里的目的地址是指物理地址而非IP地址，該地址是網(wǎng)絡(luò)設(shè)備的唯一性標(biāo)志)和自己的物理地址一致或者是廣播地址(就是被設(shè)定為一次性發(fā)送到網(wǎng)絡(luò)所有主機(jī)的特殊地址，當(dāng)目標(biāo)地址為該地址時(shí)，所有的網(wǎng)絡(luò)接口卡都會(huì)接收該幀)，網(wǎng)絡(luò)接口卡通過產(chǎn)生一個(gè)硬件中斷引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理，否則就將這個(gè)幀丟棄。

我們可以想象到這樣一種特別的情況：如果網(wǎng)絡(luò)中某個(gè)網(wǎng)絡(luò)接口卡的物理地址不確定呢(這可以通過本地網(wǎng)絡(luò)接口卡設(shè)置成“混雜”狀態(tài)來實(shí)現(xiàn))？網(wǎng)絡(luò)接口卡會(huì)如何處理收到的幀呢？實(shí)際的情況是該網(wǎng)絡(luò)接口卡將接收所有在網(wǎng)絡(luò)中傳輸?shù)膸?，無論該幀是廣播的還是發(fā)向某一指定地址的，這就形成了監(jiān)聽。如果某一臺(tái)主機(jī)被設(shè)置成這種監(jiān)聽模式，它就成了一個(gè)Sniffer。

鑒于Sniffer的工作原理，我們知道：如果一個(gè)數(shù)據(jù)幀沒有發(fā)送到你的網(wǎng)絡(luò)接口卡上，那么你將無法監(jiān)聽到該幀。所以Sniffer所能監(jiān)聽到的信息僅限于在同一物理網(wǎng)絡(luò)內(nèi)傳送的數(shù)據(jù)，在使用了交換(路由)設(shè)備的網(wǎng)絡(luò)中，由于其數(shù)據(jù)是根據(jù)目的地址進(jìn)行分發(fā)的，單個(gè)的網(wǎng)絡(luò)接口卡將無法監(jiān)聽到所有正在傳輸?shù)男畔ⅰ?/p>

不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)；FDDI Token被監(jiān)聽的可能性也比較高，盡管它并不是一個(gè)廣播型網(wǎng)絡(luò)，但帶有令牌的那些數(shù)據(jù)包在傳輸過程中，平均要經(jīng)過網(wǎng)絡(luò)上一半的計(jì)算機(jī)；電話線監(jiān)聽的可能性中等，但在實(shí)際中，高速的調(diào)制解調(diào)器比低速的調(diào)制解調(diào)器搭線困難的多，因?yàn)楦咚僬{(diào)制解調(diào)器引入了更多的頻率；微波和無線網(wǎng)被監(jiān)聽的可能性同樣比較高，因?yàn)闊o線電本身是一個(gè)廣播型的傳輸媒介，彌散在空中的無線電信號(hào)可以被很輕易的截獲。所以，Sniffer可以應(yīng)用于大部分的網(wǎng)絡(luò)類型中。

Sniffer本來是網(wǎng)絡(luò)工程師常用的工具，也是網(wǎng)絡(luò)管理員的好幫手，但由于網(wǎng)絡(luò)中的數(shù)據(jù)傳送往往是明文方式進(jìn)行的(不要懷疑，甚至于連用戶名和口令這類敏感信息也是明文的，尤其是在以太網(wǎng)中)，所以Sniffer也常常被某些人用于“特殊”的用途。

Sniffer的應(yīng)用

Sniffer工具在功能和設(shè)計(jì)上有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析如下的協(xié)議：標(biāo)準(zhǔn)的以太網(wǎng)、TCP/IP、IPX、DECNet等，在這方面，往往商業(yè)軟件的表現(xiàn)較一些免費(fèi)軟件要好。

實(shí)際應(yīng)用中的Sniffer還分軟、硬兩種。軟件Sniffer的優(yōu)點(diǎn)在于比較便宜，易于學(xué)習(xí)使用，同時(shí)也易于交流，缺點(diǎn)是往往無法抓取網(wǎng)絡(luò)上所有的傳輸(比如碎片)，某些情況下也就可能無法真正了解網(wǎng)絡(luò)的故障和運(yùn)行情況；硬件的Sniffer通常稱為協(xié)議分析儀，一般都比較昂貴，它的優(yōu)點(diǎn)恰恰是軟件Sniffer所欠缺的，但是昂貴是它致命的缺點(diǎn)。因此目前流行的Sniffer工具都是軟件的。網(wǎng)上有不少免費(fèi)的Sniffer工具可下載使用(有些甚至提供源碼)，但是這些免費(fèi)的軟件往往功能單一，穩(wěn)定性和技術(shù)支持方面也無法和商業(yè)軟件相比；目前在商業(yè)網(wǎng)管軟件中，以NAI出品的Sniffer TNV套件最為知名。

業(yè)界領(lǐng)先的Sniffer TNV套件

Sniffer TNV主要包括兩部分：便攜式套件(Protable Analysis Suite)和分布式套件(Distributed Analysis Suite)。便攜式套件是一種便攜式的網(wǎng)絡(luò)故障與性能分析的解決方案，是目前唯一能夠?yàn)槿科邔覱SI網(wǎng)絡(luò)模型提供全面性能管理的工具包，它使得網(wǎng)絡(luò)專職人員能夠主動(dòng)維護(hù)多拓?fù)浣Y(jié)構(gòu)和多協(xié)議的網(wǎng)絡(luò)，并顯著的降低其網(wǎng)絡(luò)操作成本。同時(shí)，它還具備出色的監(jiān)測和分辨能力，智能的專家技術(shù)掃描從網(wǎng)絡(luò)上捕獲的信息以檢測網(wǎng)絡(luò)異常現(xiàn)象，并應(yīng)用用戶定義的試探式程序自動(dòng)對(duì)每種異?，F(xiàn)象進(jìn)行歸類，并給出一份警告、解釋問題的性質(zhì)和提出建議的解決方案；如此深層次的監(jiān)測使得Sniffer Pro能準(zhǔn)確地指出問題的來源并且更快地在第一時(shí)間作出判斷并解決；同時(shí)Sniffer的網(wǎng)絡(luò)分析器還可以監(jiān)視所有類型的網(wǎng)絡(luò)硬件和拓?fù)浣Y(jié)構(gòu)，這包括交換網(wǎng)絡(luò)和運(yùn)行ATM OC-12和千兆以太網(wǎng)的高速骨干網(wǎng)在內(nèi)；它能夠支持400多種協(xié)議解釋和強(qiáng)大的專家分析功能，可以對(duì)網(wǎng)絡(luò)傳輸進(jìn)行分析，找出故障和響應(yīng)緩慢的原因，從而能夠確保整個(gè)LAN和WAN拓?fù)渚W(wǎng)絡(luò)的最高性能。

Sniffer Pro兼網(wǎng)絡(luò)專家積累的經(jīng)驗(yàn)、業(yè)界伙伴和智能捕獲技術(shù)于一身，幫助用戶更快地分析判斷和解決網(wǎng)絡(luò)性能問題。Expert Analysis(專家分析系統(tǒng))具有先天的靈活性，并且它可以自定義生成專家數(shù)據(jù)，這些數(shù)據(jù)可以很容易地輸出為HTML格式以提供用戶需要的觀察分析結(jié)構(gòu)與報(bào)告。專家分析系統(tǒng)支持業(yè)界最廣泛的應(yīng)用軟件和網(wǎng)絡(luò)通訊技術(shù)。便攜式套件主要包括Sniffer Basic、Sniffer Pro LAN、Sniffer Pro WAN、Sniffer Pro High Speed等組件。

分布式套件能夠結(jié)合中央控制平臺(tái)與分布全網(wǎng)的網(wǎng)絡(luò)分析器，網(wǎng)絡(luò)管理員可以全天候地監(jiān)控整個(gè)網(wǎng)絡(luò)運(yùn)行情況，這是唯一符合RMON 1/ RMON 2(遠(yuǎn)程監(jiān)控技術(shù))的基于專家系統(tǒng)的網(wǎng)絡(luò)和應(yīng)用程序管理系統(tǒng)，能夠適應(yīng)各種拓?fù)浣Y(jié)構(gòu)、速度和不同介質(zhì)類型的網(wǎng)絡(luò)，這將有助于排除故障和生成報(bào)告。同時(shí)該軟件包中還集成了SiteMinder Security Manager，這是一個(gè)基于NT的服務(wù)器，支持多個(gè)身份驗(yàn)證和授權(quán)選項(xiàng)，允許您檢查用戶訪問，并選擇隊(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問的相應(yīng)級(jí)別，如此可以保護(hù)通過Distributed Sniffer System顯示的敏感信息。