Sniffer深入分析網(wǎng)絡

sniffer(嗅探器)是利用計算機的網(wǎng)絡接口，截獲目的地是其他計算機的數(shù)據(jù)報文的一種技術(shù)。該技術(shù)被廣泛應用于網(wǎng)絡維護和管理方面，它工作的時候就像一部被動聲納，默默地接收著來自網(wǎng)絡的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡管理員可以深入了解網(wǎng)絡當前的運行狀況，以便找出所關(guān)心的網(wǎng)絡中潛在的問題。
    sniffer技術(shù)簡介
    數(shù)據(jù)在網(wǎng)絡上是以很小的稱為“幀”的單位傳輸?shù)模瑤�由多個部分組成，不同的部分對應不同的信息以實現(xiàn)相應的功能，例如，以太網(wǎng)的前12個字節(jié)存放的是源地址和目的地址，這些數(shù)據(jù)告訴網(wǎng)絡該幀的來源和去處。其余的部分存放實際用戶數(shù)據(jù)、TCP/IP的報頭或IPX報頭等等。幀是根據(jù)通信所使用的協(xié)議，由網(wǎng)絡驅(qū)動程序按照一定規(guī)則生成，然后通過網(wǎng)卡發(fā)送到網(wǎng)絡中，通過網(wǎng)線傳送到它們的目的主機，在目的主機的一端按照同樣的通信協(xié)議執(zhí)行相反的過程。接收端機器的網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)有新的幀到達，然后對其進行存儲。在正常情況下，網(wǎng)卡讀入一幀并進行檢查，如果幀中攜帶的目的地址(這里的目的地址是指物理地址而非IP地址，該地址是網(wǎng)絡設備的唯一性標志)和自己的物理地址一致或者是廣播地址(就是被設定為一次性發(fā)送到網(wǎng)絡所有主機的特殊地址，當目標地址為該地址時，所有的網(wǎng)卡都會接收該幀)，網(wǎng)卡通過產(chǎn)生一個硬件中斷引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理，否則就將這個幀丟棄。
    我們可以想象到這樣一種特別的情況：如果網(wǎng)絡中某個網(wǎng)卡的物理地址不確定(這可以通過本地網(wǎng)卡設置成“混雜”狀態(tài)來實現(xiàn))，網(wǎng)卡會如何處理收到的幀呢?實際的情況是該網(wǎng)卡將接收所有在網(wǎng)絡中傳輸?shù)膸�，無論該幀是廣播的還是發(fā)向某一指定地址的，這就形成了監(jiān)聽。如果某一臺主機被設置成這種監(jiān)聽模式，它就成了一個sniffer。
    鑒于sniffer的工作原理，我們知道：如果一個幀沒有發(fā)送到你的網(wǎng)卡上，那么你將無法監(jiān)聽到該幀。所以sniffer所能監(jiān)聽到的信息僅限于在同一物理網(wǎng)絡內(nèi)傳送的數(shù)據(jù)，在使用了交換(路由)設備的網(wǎng)絡中，由于其數(shù)據(jù)是根據(jù)目的地址進行分發(fā)的，單個網(wǎng)卡將無法監(jiān)聽到所有正在傳輸?shù)男畔ⅰ?br />     不同傳輸介質(zhì)網(wǎng)絡的可監(jiān)聽性是不同的。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因為以太網(wǎng)是一個廣播型的網(wǎng)絡;FDDI Token被監(jiān)聽的可能性也比較高，盡管它并不是一個廣播型網(wǎng)絡，但帶有令牌的那些幀在傳輸過程中，平均要經(jīng)過網(wǎng)絡上一半的計算機;電話線監(jiān)聽的可能性中等，但在實際中，高速的調(diào)制解調(diào)器比低速的調(diào)制解調(diào)器搭線困難的多，因為高速調(diào)制解調(diào)器引入了更高的頻率;微波和無線網(wǎng)被監(jiān)聽的可能性同樣比較高，因為無線電本身是一個廣播型的傳輸媒介，彌散在空中的無線電信號可以被很輕易地被截獲。所以，sniffer可以應用于大部分的網(wǎng)絡類型中。
    sniffer本來是網(wǎng)絡工程師常用的工具，也是網(wǎng)絡管理員的好幫手，但由于網(wǎng)絡中的數(shù)據(jù)傳送往往是以明文方式進行的，所以sniffer也常常被某些人用于“特殊”的用途。
    sniffer的應用
    sniffer工具在功能和設計上有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析如下的協(xié)議：標準的以太網(wǎng)、TCP/IP、IPX、DECNet等。
    實際應用中的sniffer還分軟、硬兩種。軟件sniffer的優(yōu)點在于比較便宜，易于學習使用，同時也易于交流，缺點是往往無法抓取網(wǎng)絡上所有的傳輸(比如碎片)，某些情況下也就可能無法真正了解網(wǎng)絡的故障和運行情況;硬件的sniffer通常稱為協(xié)議分析儀，一般都比較昂貴，它的優(yōu)點恰恰是軟件sniffer所欠缺的，但是昂貴是它致命的缺點。因此目前流行的sniffer工具都是軟件的。網(wǎng)上有不少免費的sniffer工具可下載使用(有些甚至提供源碼)，但是這些免費的軟件往往功能單一，穩(wěn)定性和技術(shù)支持方面也無法和商業(yè)軟件相比;目前在商業(yè)網(wǎng)管軟件中，NAI的sniffer TNV套件是非常典型的協(xié)議分析儀。
    sniffer TNV主要包括兩部分：便攜式套件和分布式套件。便攜式套件主要包括sniffer Basic、sniffer Pro LAN、sniffer Pro WAN、sniffer Pro High Speed等組件，它是一種便攜式的網(wǎng)絡故障與性能分析的解決方案，是能夠為全部七層OSI網(wǎng)絡模型提供全面性能管理的工具包，它使得網(wǎng)絡專職人員能夠主動維護多拓撲結(jié)構(gòu)和多協(xié)議的網(wǎng)絡，并顯著降低其網(wǎng)絡操作成本。同時，它還具備出色的監(jiān)測和分辨能力，智能的專家技術(shù)掃描從網(wǎng)絡上捕獲的信息以檢測網(wǎng)絡異常現(xiàn)象，并應用用戶定義的試探式程序自動對每種異常現(xiàn)象進行歸類，并給出一份警告、解釋問題和提出建議的解決方案;同時sniffer 的網(wǎng)絡分析器還可以監(jiān)視所有類型的網(wǎng)絡硬件和拓撲結(jié)構(gòu)，包括交換網(wǎng)絡和運行ATM OC-12和千兆以太網(wǎng)的高速骨干網(wǎng)在內(nèi);它能夠支持400多種協(xié)議解釋和強大的專家分析功能，可以對網(wǎng)絡傳輸進行分析，找出故障和響應緩慢的原因，從而能夠確保整個LAN和WAN拓撲網(wǎng)絡的最高性能。
    分布式套件主要包括Distributed sniffer System/RMON Basic和Distributed sniffer System/RMON Pro組件。通過結(jié)合中央控制臺與分布全網(wǎng)的網(wǎng)絡分析器，網(wǎng)絡管理員可以全天候地監(jiān)控整個網(wǎng)絡運行情況，這是符合RMON 1/ RMON 2 的基于專家系統(tǒng)的網(wǎng)絡和應用程序管理系統(tǒng)，能夠適應各種拓撲結(jié)構(gòu)、速度和不同介質(zhì)類型的網(wǎng)絡，將有助于排除故障和生成報告。同時該軟件包中還集成了SiteMinder Security Manager，這是一個基于NT的服務器，支持多個身份驗證和授權(quán)選項，允許您檢查用戶訪問，并選擇對網(wǎng)絡設備進行訪問的相應級別，如此可以保護通過Distributed sniffer System顯示的敏感信息。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]