7.2.3 *** 嗅探的原理 在介绍Sniffer是怎样工作之前，首先需要明确的一点就是，我们无法在 *** 上找到一点，对计算机 *** 上的所有的通信进行监听。这是因为Internet的连接看起来就像渔民的渔网，通信只是流经一个网眼，没有一个点能看到所有的网眼。Internet被建设成为是“抗中心打击”的——它可以经受任何的“单点失败”。因此，这就阻止了单点的监听。 通常在同一个网段的所有 *** 接口都有访问在物理媒体上传输的所有数据的能力，而每个 *** 接口都还应该有一个硬件地址，该硬件地址不同于 *** 中存在的其他 *** 接口的硬件地址，同时，每个 *** 至少还要一个广播地址。在正常情况下，一个合法的 *** 接口应该只响应这样的两种数据帧：帧的目标区域具有和本地 *** 接口相匹配的硬件地址，或者是帧的目标区域具有“广播地址”。 在接受到上面两种情况的数据包时，网卡通过CPU产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而Sniffer就是一种能将本地网卡状态设成promiscuous（混杂）状态的软件，当网卡处于这种“混杂”方式时，该网卡具备“广播地址”，它对所有遭遇到的每一个帧都产生一个硬件中断，以便提醒操作系统处理流经该物理媒体上的每一个报文包（绝大多数的网卡具备置成promiscuous方式的能力）。 可见，Sniffer工作在 *** 环境中的底层，它会拦截所有正在 *** 上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的 *** 状态和整体布局。值得注意的是，Sniffer是不易发现的、被动的安全攻击。 我们通过以下的例子来讨论Sniffer的工作原理： 这个问题可以在以下的情境中来问： A和B在上海并且正在用 *** 聊天，你位于北京，想听到他们之间的谈话。在这种情况下，你当然听不到A和B之间的谈话，甚至可以说是根本就没有这个可能。为了听到他们之间的聊天，你必须能访问这个通信所在的线路。因此你想监听一段通信，而你又不在该通信的线路上，你可以利用以下方式： （1）远程访问线路 典型的例子有： 闯入A或B的计算机，并安装你能在远程控制的Sniffer软件。闯入中间的ISP中，并安装Sniffer软件。在ISP处发现支持Sniffer的盒子，就像RMON探针或DSS（Distributed Sniffer System）。 （2）接近线路 在一些情况下，就像cable-modems, DSL, Ethernet VLANs等，你需要重定向在两个人之间的通信，因为你不能直接访问这条路径上的通信。 （3）Rootkits和远程管理的Trojans 另一个可能是侵入该人的计算机，并安装一个Sniffer程序。在Unix上，Sniffer程序是大多数的“rootkits”的一部分。在Windows上，Sniffer是RATs的一部分（Remote Admin Trojans例如BackOrifice）。 在理论上，这些程序能被用于监听通信，但是通常它们被配置为简单的监听口令，并将这些口令E-mail回黑客。