计算机使用网络进行通信。这些网络可以位于局域网LAN上，也可以暴露于Internet。网络嗅探器是捕获通过网络传输的低级程序包数据的程序。攻击者可以分析此信息，以发现有价值的信息，例如用户ID和密码。

在本文中，我们将向您介绍用于嗅探网络的常见网络嗅探技术和工具。我们还将研究可以采取的对策，以保护通过网络传输的敏感信息。

什么是网络嗅探？

计算机通过使用IP地址在网络上广播消息进行通信。在网络上发送消息之后，具有匹配IP地址的收件人计算机将以其MAC地址作为响应。

网络嗅探是拦截通过网络发送的数据包的过程。这可以通过专用软件程序或硬件设备来完成。嗅探可以用来；

• 捕获敏感数据，例如登录凭据

• 窃听聊天消息

• 捕获文件已通过网络传输

以下是容易被嗅探的协议

• 远程登录

• Rlogin

• HTTP

• SMTP

• NNTP

• 流行音乐

• 的FTP

• IMAP

如果登录信息以纯文本形式发送，则上述协议容易受到攻击

被动和主动嗅探

在讨论被动和主动嗅探之前，让我们看一下用于网络计算机的两种主要设备。集线器和交换机。

集线器通过将广播消息发送到除发送广播的端口之外的所有输出端口来工作。如果IP地址匹配，则收件人计算机将响应广播消息。这意味着使用集线器时，网络上的所有计算机都可以看到广播消息。它在OSI模型的物理层（第1层）上运行。

下图说明了集线器的工作方式。

开关的工作方式有所不同；它将IP / MAC地址映射到其上的物理端口。将广播消息发送到与收件人计算机的IP / MAC地址配置匹配的物理端口。这意味着广播消息仅由收件人计算机看到。交换机在数据链路层（第2层）和网络层（第3层）运行。

下图说明了开关的工作方式。

被动嗅探是拦截通过使用集线器的网络传输的程序包。由于它很难检测，因此称为被动嗅探。由于集线器向网络上的所有计算机发送广播消息，因此执行起来也很容易。

主动嗅探是拦截通过使用交换机的网络传输的数据包。嗅探交换链接的网络有两种主要方法，即ARP中毒和MAC泛洪。

黑客活动：嗅探网络流量

在这种实际情况下，我们将使用Wireshark嗅探通过HTTP协议传输的数据包。对于此示例，我们将使用Wireshark嗅探网络，然后登录到不使用安全通信的Web应用程序。

使用Wireshark嗅探网络

下图向您显示了完成本练习所要执行的步骤，而不会引起混淆

• 打开Wireshark

• 您将获得以下屏幕

• 选择您要嗅探的网络接口。请注意本演示，我们正在使用无线网络连接。如果您在局域网上，则应选择局域网接口。

• 单击开始按钮，如上图所示

• 打开网络浏览器，然后输入http://www.techpanda.org/

• 登录电子邮件为admin@google.com，密码为Password2010

• 点击提交按钮

• 成功的登录应该为您提供以下信息中心

• 返回Wireshark并停止实时捕获

• 仅使用过滤器文本框过滤HTTP协议结果

  

• 找到“信息”列，然后查找带有HTTP动词POST的条目，然后单击它

• 在日志条目下方，有一个面板，其中包含捕获数据的摘要。查找说基于行的文本数据的摘要：application / x-www-form-urlencoded

• 您应该能够查看通过HTTP协议提交给服务器的所有POST变量的纯文本值。

什么是MAC泛洪？

MAC泛洪是一种网络嗅探技术，它用伪造的MAC地址泛洪交换机MAC表。这导致交换存储器超负荷，并使其充当集线器。一旦交换机受到威胁，它将把广播消息发送到网络上的所有计算机。这样就可以嗅探网络上发送的数据包。

防止MAC泛滥的对策

• 一些交换机具有端口安全功能。此功能可用于限制端口上的MAC地址数量。除交换机提供的地址表外，它还可用于维护安全的MAC地址表。

• 身份验证，授权和计费服务器可用于过滤发现的MAC地址。

嗅探对策

• 对网络物理媒体的限制极大地降低了安装网络嗅探器的机会

• 由于消息难以解密，因此在通过网络传输时对消息进行加密会大大降低其价值。

• 将网络更改为安全外壳（SSH）网络还可以减少嗅探网络的机会。

摘要

• 网络嗅探正在拦截程序包，因为它们是通过网络传输的

• 被动嗅探是在使用集线器的网络上完成的。很难检测到。

• 主动嗅探在使用交换机的网络上完成。很容易检测到。

• MAC泛洪通过用伪造的MAC地址泛洪MAC表地址列表来工作。这使得开关像集线器一样工作

• 上面概述的安全措施可以帮助保护网络免受嗅探。