Sniffer(嗅探器)是一种常用的收集有用数据方法, 这些数据可以是用户的帐号和密码, 可以是一些商用机密数据等等. Sniffer可以作为能够捕获网络报文的设备, ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具.
Sniffer根据网络的类型分为两个类别: 1.交换环境下的Sniffer 2.共享环境下的Sniffer
交换环境下的Sniffer往往是通过对交换机进行ARP欺骗, 变成一个中间人进行截获数据.
共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报, 而不需要进行任何欺骗行为.

Sniffer的原理:
交换环境的网络使用交换机(Switch)连接各个网络节点, 而共享环境的网络则采用集线器连接各个节点.
先说共享环境吧, 共享网络也成为集线器网络, 数据报到达集线器以后, 集线器会把数据报转发到每个集线器的端口, 换句话说, 集线器连接的每个网络节点都有权利收到所有的数据报. 运行Sniffer以后, Sniffer会把网卡设置为混杂模式, 一旦设置为混杂模式, Sniffer就可以接受所有的数据报, 这样也就达到了Sniffer的目的.
交换环境, 通过使用交换机代替共享环境下的集线器, 能够解决集线器的几个安全问题, 交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口, 这样就不是把一个数据报转发到各个端口了, 这样的做法一方面大大提高了网络的性能, 另一方面也提高了安全性, 在交换环境下, 即使网卡设置为混杂模式, 也只能监听本机的数据包, 因为交换机不会把其他节点的数据报转发给嗅探主机了. 所以, 在交换环境下必须想办法让被嗅探主机的数据报发到嗅探主机来, 能够实现这种目的方法叫做ARP欺骗(ARP Spoofing), 这种方式通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的, 这样发送到被嗅探的主机的数据报完全转发到嗅探主机来, 而被嗅探主机收不到任何的数据包, 为了使得能够正常的截获数据报, 嗅探主机除了充当嗅探的身份之外, 还要充当中间人的身份. 具体的原理和方式可以去Google上搜索ARP欺骗.
交换环境下在不使用ARP欺骗的情况下, 如何能够进行整网的数据分析呢 我提供2种方法进行参考:
1. 在根节点使用带有镜像功能的交换机, 这种功能的交换机可以设置为把所有的数据报都转发到某一指定端口上, 在该端口上可以连接运行Sniffer的主机.
2. 如果您的根节点交换机没有这种功能, 那么可以在根节点上方添加一台集线器, 集线器1个端口连接交换机, 另外一个端口就可以连接运行Sniffer的主机了.
下面的这些是我个人认为比较经典的Sniffer,值得收藏.





1. libpcap
版本: v0.8.3
更新日期: 2004-03-30
介绍: libpcap是Unix或Linux从内核捕获网络数据包的必备工具, 它是独立于系统的API接口, 为底层网络监控提供了一个可移植的框架, 可用于网络统计收集、安全监控、网络调试等应用. 很多Unix或Linux下的网络程序都需要libpcap才能够运行. Windows平台下类似的程序为Winpcap.
下载路径: Software/Network/libpcap/ (包括最新版、稳定版以及开发文档)



2. Winpcap
版本: v3.1 Beta3
更新日期: 2004-05-15
介绍: WinPcap类似于libpcap, 支持Win32平台, Winpcap提供了3个模块:NPF(Netgroup Packet Filter,内核级的数据报过滤器),packet.dll(底层的动态连接库),wpcap.dll(架构在packet.dll之上,提供了更方便、更直接的编程方法). 很多网络工具(Sniffer等)都是使用Winpcap进行开发的, 运行这些网络工具, 均需要安装Winpcap. 我曾经使用过VBS调用Winpcap写过console下的Sniffer. ~_*
下载路径: Software/Network/Winpcap/ (包括最新版、稳定版以及开发文档)



3. Network Associates Sniffer Portable
版本: v4.7.5 SP4
更新日期: 2004-05-20
介绍: NAI 公司出品的Sniffer, 作为NAI公司的主打产品, 价格也是不菲的. Sniffer Portable 是一系列网络故障和性能管理解决方案, 网络专业人士可以使用它对多拓朴结构和多协议网络进行维护、故障解决、优化调整和扩展. Sniffer Portable 软件可以在桌面机、便携式计算机或者笔记本等硬件平台上运行, 并且可以利用高级自定义硬件组件确保全线速的捕获能力. Sniffer Portable非常出色, 其区别于其它Sniffer主要为以下几个方面:

自定义硬件:
通过自定义硬件, 使Sniffer Portable可以实现线速捕捉、过滤以及触发功能.
详细的报告:
可以生成基于 RMON1/RMON2 的图形报告, 以及由 Sniffer Portable 应用程序收集的类似数据. 从带宽使用率到潜在的网络衰减, Sniffer Reporter 提供详尽数据来帮助您规划未来的网络需求. 有关以太网和令牌环的可用报告包括: 主机表、矩阵、协议分发、全局统计及其他报告.
Sniffer Voice 选项:
Sniffer Voice 是一个与 Sniffer Portable 集成的增值包,它提供语音和视频聚合流量的必要信息, 主要用于VoIP网络.
下载路径: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/



4. WildPackets EtherPeek NX
版本: v2.1
更新日期: 2004-06-12
介绍: EtherPeek NX 是第一个提供信息包捕获过程中实时进行专业诊断和结构解码的网络协议分析器. EtherPeek NX专门为IT人员设计, 帮助他们分析和诊断日益加速变化的网络数据群, 对现今网络面临的众多故障提供精确和最新的分析. 我收藏的这个版本中包括iNetTools和PacketGrabber两款附带产品, iNetTools提供了一些比较有用的网络工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款远程数据报收集程序. 同时也提供了Peek SDK, 方便用户自己开发插件, SDK文档在安装路径下1033\Documents\Peek SDK\的目录里.
适用于Windows的EtherPeek是一种屡受嘉奖的以太网流量和协议分析器. EtherPeek确立了“轻松使用”的行业标准. EtherPeek 是”全球国际网络测试联盟”从五种网络分析器中评选出的最优产品.
下载路径: Software/Network/WildPackets.EtherPeek.NX.v2.1/



5. Iris Network Traffic Analyzer
版本: v4.0.7
更新日期: 2003-12-29
介绍: 由业内知名公司Eeye出品的Sniffer, Iris的优点在于:便于使用、全面丰富的流量状态和报告、高级数据重建功能、精密的数据包操作和伪造能力、扩展的过滤功能、数据分析能力.
个人认为Iris在数据重建功能、数据包伪造以及数据分析能力上比较突出. 数据重建功能可以把原始的数据包还原成完整的HTTP、FTP、SMTP和POP3会话.使用Iris的数据重建功能可以很轻松的查看网络传输的Mail信件、用户浏览的网页以及未加密的FTP传输. Iris的数据包编辑器可以让用户创建自定义的或者欺骗的数据包. 数据分析能力上在于Iris 可以分析其他知名的Sniffer保存的数据包捕捉文件.
另外值得一提的是, Eeye公司站点上免费提供一些定义好的过滤器文件, 大部分主要是针对病毒和蠕虫的.
下载路径: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/



6. TamoSoft CommView
版本: v4.1.344
更新日期: 2004-02-19
介绍: CommView系列是Windows下比较优秀的商业Sniffer产品, 支持NDIS3.0驱动标准, 功能大致上和其他一些Sniffer差不多, 另外, 结合CommView Remote Agent可以实现远程嗅探.
TamoSoft CommView for WIFI
版本: v4.2.360
更新日期: 2004-04-09
介绍: CommView
for WiFi 是CommView的特别版本, 设计用来捕获和分析无线网络, 支持802.11a/b/g协议.
下载路径: Software/Network/TamoSoft.CommView/
TamoSoft CommView Remote Agent
版本: v1.1.43
更新日期: 2004-03-04
介绍: CommView Remote Agent 是CommView的专用的、可选的组件, 设计用来进行远程网络监视.
下载路径: Software/Network/TamoSoft.CommView/

7. Ettercap
版本: NG 0.7.0 RC1
更新日期: 2004-06-14
介绍: Ettercap 是一套LAN下中间人攻击的工具, 属于开源项目, 支持多种平台(Linux, BSD, Windows, Solaris,Mac OS), 其功能包括嗅探活动连接、On the Fly模式的内容过滤以及其它一些有趣的欺骗功能. Ettercap 支持主动和被动多种协议的分析, 并包括其他网络和主机分析的功能. 另外, Ettercap具有插件功能, 自带不少功能不错的插件, 也允许第三方编写插件. 在安装了OpenSSL以后可以支持SSH1以及HTTPS.
下载路径: Software/Network/Ettercap/

8. Ethereal
版本: v0.10.4
更新日期: 2004-05-13
介绍: Ethereal 是全球最流行的网络协议分析器, 功能强大而且支持平台最多的一款Sniffer(支持以下平台:Windows, Linux, Solaris, Mac OS, BSD, BeOS, Tru64 Unix, HP-UX, AIX, Irix等), 属于开源项目. 支持分析的协议有512种之多, 支持实时和非实时两种模式.Windows下运行需要Winpcap库.
下载路径: Software/Network/Ethereal/ (包括源代码和Windows下的安装文件)

9. Packetyzer
版本: v2.0.0
更新日期: 2004-04-22
介绍: Packetyzer 是为数不多的开源的Windows平台下的优秀Sniffer, 支持483种协议, 与Neutrino Sensor结合在一起可以截获和分析802.11数据包, 我个人比较喜欢Packetyzer的数据报标记色彩功能. 需要安装Winpcap.
下载路径: Software/Network/Packetyzer/ (包括源代码和安装文件)

10. Cain & Abel
版本: v2.5 Beta56
更新日期: 2004-06-14
介绍: Cain & Abel 是一套Windows平台下强大的密码截获与破解工具, 只所以我把它归纳为Sniffer里面来, 主要是因为Cain & Abel主要的功能在于Sniffer方面, 它支持共享环境和交换环境下进行截获, Cain 和 Abel是分开的的两个工具(Cain作为客户端,Abel作为服务端). 功能非常之强大, 详细功能请访问: http://www.oxid.it/cain.html . 在新的版本中增加了无线网络的支持. 运行需要Winpcap.
下载路径: Software/Network/Cain&Abel/

11. TCPDump / WinDump
版本: v3.8.3
更新日期: 2004-03-30
介绍: Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具. 它能把匹配规则的数据包的包头给显示出来, 使用TCPDump去查找网络问题或者去监视网络上的状况. WinDump是Tcpdump在Windows平台上的移植版.
下载路径: Software/Network/TCPDump/ (包括TCPDump和WinDump)

12. dsniff
版本: v2.4 Beta2
更新日期: 2004-06-14
介绍: dsniff 是一个 UNIX 可执行工具的集合, 它是为执行网络审核和网络渗透而设计的. 拥有ARP欺骗功能, 应该也能算是最早具有交换环境下嗅探功能的Sniffer了. 作者已经在 OpenBSD、Red Hat Linux 和 Solaris 下对它进行了测试. 一个早期版本(1.8)已经被移植到 Windows 下. dsniff 最早由 Dug 于 1999 年 12 月发布. dsniff 依赖于一些第三方软件包, 包括 Berkeley DB、OpenSSL、libnet、和 libnids.
下载路径: Software/Network/dsniff/ (包括2.3,2.4b1,2.4b2以及1.8 for Windows版本)

13. sniffit
版本: v0.37 Beta
更新日期: 1998-07-17
介绍: Sniffit是由Lawrence Berkeley Laboratory开发的,可以在Linux、Solaris、SGI、Windows等各种平台运行的Sniffer,提供了不少商业版Sniffer所没有的功能,支持脚本和插件功能. 另外可以使用tod(Touch of Death)插件, tod通过向目标机器发送RST包来切断目标机器的TCP连接. Windows版本由Symbolic迁移, 运行需要Winpcap.
下载路径: Software/Network/sniffit/

14. Snarp
版本: v0.9h
更新日期: 2001-03-21
介绍: Windows 平台下交换网络的嗅探器. 具体的说明请参照Readme.txt.
下载路径: Software/Network/Snarp/

15. ARPSniffer
版本: v0.5
更新日期: 2002-08-12
介绍: 小榕写的Windows 平台下交换网络的嗅探器. 另外在流光5中, 增加了Remote ANS(Remote ARP Network Sniffer)功能,这个工具采用了Sensor/GUI的结构. 运行需要Winpcap.