|
sniffer(嗅探器)是利用計算機的網(wǎng)絡接口��,截獲目的地是其他計算機的數(shù)據(jù)報文的一種技術�。該技術被廣泛應用于網(wǎng)絡維護和管理方面���,它工作的時候就像一部被動聲納�����,默默地接收著來自網(wǎng)絡的各種信息,通過對這些數(shù)據(jù)的分析�����,網(wǎng)絡管理員可以深入了解網(wǎng)絡當前的運行狀況�,以便找出所關心的網(wǎng)絡中潛在的問題。
sniffer技術簡介
數(shù)據(jù)在網(wǎng)絡上是以很小的稱為“幀”的單位傳輸?shù)���,幀由多個部分組成,不同的部分對應不同的信息以實現(xiàn)相應的功能�,例如����,以太網(wǎng)的前12個字節(jié)存放的是源地址和目的地址���,這些數(shù)據(jù)告訴網(wǎng)絡該幀的來源和去處���。其余的部分存放實際用戶數(shù)據(jù)�、TCP/IP的報頭或IPX報頭等等。幀是根據(jù)通信所使用的協(xié)議���,由網(wǎng)絡驅動程序按照一定規(guī)則生成,然后通過網(wǎng)卡發(fā)送到網(wǎng)絡中����,通過網(wǎng)線傳送到它們的目的主機���,在目的主機的一端按照同樣的通信協(xié)議執(zhí)行相反的過程���。接收端機器的網(wǎng)卡捕獲到這些幀�����,并告訴操作系統(tǒng)有新的幀到達�����,然后對其進行存儲�。在正常情況下�,網(wǎng)卡讀入一幀并進行檢查,如果幀中攜帶的目的地址(這里的目的地址是指物理地址而非IP地址,該地址是網(wǎng)絡設備的唯一性標志)和自己的物理地址一致或者是廣播地址(就是被設定為一次性發(fā)送到網(wǎng)絡所有主機的特殊地址,當目標地址為該地址時�,所有的網(wǎng)卡都會接收該幀)���,網(wǎng)卡通過產(chǎn)生一個硬件中斷引起操作系統(tǒng)注意�,然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理�,否則就將這個幀丟棄。
我們可以想象到這樣一種特別的情況:如果網(wǎng)絡中某個網(wǎng)卡的物理地址不確定(這可以通過本地網(wǎng)卡設置成“混雜”狀態(tài)來實現(xiàn)),網(wǎng)卡會如何處理收到的幀呢?實際的情況是該網(wǎng)卡將接收所有在網(wǎng)絡中傳輸?shù)膸�����,無論該幀是廣播的還是發(fā)向某一指定地址的�����,這就形成了監(jiān)聽����。如果某一臺主機被設置成這種監(jiān)聽模式,它就成了一個sniffer。
鑒于sniffer的工作原理�����,我們知道:如果一個幀沒有發(fā)送到你的網(wǎng)卡上����,那么你將無法監(jiān)聽到該幀。所以sniffer所能監(jiān)聽到的信息僅限于在同一物理網(wǎng)絡內(nèi)傳送的數(shù)據(jù)���,在使用了交換(路由)設備的網(wǎng)絡中����,由于其數(shù)據(jù)是根據(jù)目的地址進行分發(fā)的,單個網(wǎng)卡將無法監(jiān)聽到所有正在傳輸?shù)男畔ⅰ?br />
不同傳輸介質(zhì)網(wǎng)絡的可監(jiān)聽性是不同的。一般來說���,以太網(wǎng)被監(jiān)聽的可能性比較高,因為以太網(wǎng)是一個廣播型的網(wǎng)絡;FDDI Token被監(jiān)聽的可能性也比較高,盡管它并不是一個廣播型網(wǎng)絡,但帶有令牌的那些幀在傳輸過程中����,平均要經(jīng)過網(wǎng)絡上一半的計算機;電話線監(jiān)聽的可能性中等����,但在實際中����,高速的調(diào)制解調(diào)器比低速的調(diào)制解調(diào)器搭線困難的多,因為高速調(diào)制解調(diào)器引入了更高的頻率;微波和無線網(wǎng)被監(jiān)聽的可能性同樣比較高�,因為無線電本身是一個廣播型的傳輸媒介�����,彌散在空中的無線電信號可以被很輕易地被截獲。所以,sniffer可以應用于大部分的網(wǎng)絡類型中�����。
sniffer本來是網(wǎng)絡工程師常用的工具�����,也是網(wǎng)絡管理員的好幫手����,但由于網(wǎng)絡中的數(shù)據(jù)傳送往往是以明文方式進行的��,所以sniffer也常常被某些人用于“特殊”的用途。
sniffer的應用
sniffer工具在功能和設計上有很多不同�����。有些只能分析一種協(xié)議�,而另一些可能能夠分析幾百種協(xié)議。一般情況下�,大多數(shù)的嗅探器至少能夠分析如下的協(xié)議:標準的以太網(wǎng)���、TCP/IP�、IPX�、DECNet等。
實際應用中的sniffer還分軟��、硬兩種����。軟件sniffer的優(yōu)點在于比較便宜,易于學習使用�����,同時也易于交流�,缺點是往往無法抓取網(wǎng)絡上所有的傳輸(比如碎片),某些情況下也就可能無法真正了解網(wǎng)絡的故障和運行情況;硬件的sniffer通常稱為協(xié)議分析儀�,一般都比較昂貴����,它的優(yōu)點恰恰是軟件sniffer所欠缺的�,但是昂貴是它致命的缺點。因此目前流行的sniffer工具都是軟件的�����。網(wǎng)上有不少免費的sniffer工具可下載使用(有些甚至提供源碼),但是這些免費的軟件往往功能單一��,穩(wěn)定性和技術支持方面也無法和商業(yè)軟件相比;目前在商業(yè)網(wǎng)管軟件中���,NAI的sniffer TNV套件是非常典型的協(xié)議分析儀���。
sniffer TNV主要包括兩部分:便攜式套件和分布式套件�。便攜式套件主要包括sniffer Basic�����、sniffer Pro LAN��、sniffer Pro WAN、sniffer Pro High Speed等組件��,它是一種便攜式的網(wǎng)絡故障與性能分析的解決方案����,是能夠為全部七層OSI網(wǎng)絡模型提供全面性能管理的工具包,它使得網(wǎng)絡專職人員能夠主動維護多拓撲結構和多協(xié)議的網(wǎng)絡�����,并顯著降低其網(wǎng)絡操作成本��。同時�����,它還具備出色的監(jiān)測和分辨能力,智能的專家技術掃描從網(wǎng)絡上捕獲的信息以檢測網(wǎng)絡異�����,F(xiàn)象���,并應用用戶定義的試探式程序自動對每種異�,F(xiàn)象進行歸類�,并給出一份警告、解釋問題和提出建議的解決方案;同時sniffer 的網(wǎng)絡分析器還可以監(jiān)視所有類型的網(wǎng)絡硬件和拓撲結構,包括交換網(wǎng)絡和運行ATM OC-12和千兆以太網(wǎng)的高速骨干網(wǎng)在內(nèi);它能夠支持400多種協(xié)議解釋和強大的專家分析功能����,可以對網(wǎng)絡傳輸進行分析���,找出故障和響應緩慢的原因�,從而能夠確保整個LAN和WAN拓撲網(wǎng)絡的最高性能���。
分布式套件主要包括Distributed sniffer System/RMON Basic和Distributed sniffer System/RMON Pro組件���。通過結合中央控制臺與分布全網(wǎng)的網(wǎng)絡分析器����,網(wǎng)絡管理員可以全天候地監(jiān)控整個網(wǎng)絡運行情況,這是符合RMON 1/ RMON 2 的基于專家系統(tǒng)的網(wǎng)絡和應用程序管理系統(tǒng),能夠適應各種拓撲結構、速度和不同介質(zhì)類型的網(wǎng)絡,將有助于排除故障和生成報告。同時該軟件包中還集成了SiteMinder Security Manager���,這是一個基于NT的服務器,支持多個身份驗證和授權選項,允許您檢查用戶訪問�����,并選擇對網(wǎng)絡設備進行訪問的相應級別���,如此可以保護通過Distributed sniffer System顯示的敏感信息����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.artduck.net】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
