幾個Sniffer(嗅探器)工具
阿新 • • 發佈:2019-01-09
Sniffer(嗅探器)是一種常用的收集有用資料方法, 這些資料可以是使用者的帳號和密碼, 可以是一些商用機密資料等等. Sniffer可以作為能夠捕獲網路報文的裝置, ISS為Sniffer這樣定義:Sniffer是利用計算機的網路介面截獲目的地為其他計算機的資料報文的一種工具.
Sniffer根據網路的型別分為兩個類別: 1.交換環境下的Sniffer 2.共享環境下的Sniffer
交換環境下的Sniffer往往是通過對交換機進行ARP欺騙, 變成一箇中間人進行截獲資料.
共享環境下的Sniffer僅僅只需要把本機的網絡卡設定為混雜模式就可以監聽網路上所有的資料報, 而不需要進行任何欺騙行為.
Sniffer的原理:
交換環境的網路使用交換機(Switch)連線各個網路節點, 而共享環境的網路則採用集線器連線各個節點.
先說共享環境吧, 共享網路也成為集線器網路, 資料報到達集線器以後, 集線器會把資料報轉發到每個集線器的埠, 換句話說, 集線器連線的每個網路節點都有權利收到所有的資料報. 執行Sniffer以後, Sniffer會把網絡卡設定為混雜模式, 一旦設定為混雜模式, Sniffer就可以接受所有的資料報, 這樣也就達到了Sniffer的目的.
交換環境, 通過使用交換機代替共享環境下的集線器, 能夠解決集線器的幾個安全問題, 交換機通過自己的ARP快取列表來決定把資料報傳送到某個埠, 這樣就不是把一個數據報轉發到各個埠了, 這樣的做法一方面大大提高了網路的效能, 另一方面也提高了安全性, 在交換環境下, 即使網絡卡設定為混雜模式, 也只能監聽本機的資料包, 因為交換機不會把其他節點的資料報轉發給嗅探主機了. 所以, 在交換環境下必須想辦法讓被嗅探主機的資料報發到嗅探主機來, 能夠實現這種目的方法叫做ARP欺騙(ARP Spoofing), 這種方式通過偽造ARP資料包欺騙交換機使交換機更新ARP快取列表達到欺騙的目的, 這樣傳送到被嗅探的主機的資料報完全轉發到嗅探主機來, 而被嗅探主機收不到任何的資料包, 為了使得能夠正常的截獲資料報, 嗅探主機除了充當嗅探的身份之外, 還要充當中間人的身份. 具體的原理和方式可以去Google上搜索ARP欺騙.
交換環境下在不使用ARP欺騙的情況下, 如何能夠進行整網的資料分析呢 我提供2種方法進行參考:
1. 在根節點使用帶有映象功能的交換機, 這種功能的交換機可以設定為把所有的資料報都轉發到某一指定埠上, 在該埠上可以連線執行Sniffer的主機.
2. 如果您的根節點交換機沒有這種功能, 那麼可以在根節點上方新增一臺集線器, 集線器1個埠連線交換機, 另外一個埠就可以連線執行Sniffer的主機了.
下面的這些是我個人認為比較經典的Sniffer,值得收藏.
1. libpcap
版本: v0.8.3
更新日期: 2004-03-30
介紹: libpcap是Unix或Linux從核心捕獲網路資料包的必備工具, 它是獨立於系統的API介面, 為底層網路監控提供了一個可移植的框架, 可用於網路統計收集、安全監控、網路除錯等應用. 很多Unix或Linux下的網路程式都需要libpcap才能夠執行. Windows平臺下類似的程式為Winpcap.
下載路徑: Software/Network/libpcap/ (包括最新版、穩定版以及開發文件)
2. Winpcap
版本: v3.1 Beta3
更新日期: 2004-05-15
介紹: WinPcap類似於libpcap, 支援Win32平臺, Winpcap提供了3個模組:NPF(Netgroup Packet Filter,核心級的資料報過濾器),packet.dll(底層的動態連線庫),wpcap.dll(架構在packet.dll之上,提供了更方便、更直接的程式設計方法). 很多網路工具(Sniffer等)都是使用Winpcap進行開發的, 執行這些網路工具, 均需要安裝Winpcap. 我曾經使用過VBS呼叫Winpcap寫過console下的Sniffer. ~_*
下載路徑: Software/Network/Winpcap/ (包括最新版、穩定版以及開發文件)
3. Network Associates Sniffer Portable版本: v4.7.5 SP4
更新日期: 2004-05-20
介紹: NAI 公司出品的Sniffer, 作為NAI公司的主打產品, 價格也是不菲的. Sniffer Portable 是一系列網路故障和效能管理解決方案, 網路專業人士可以使用它對多拓樸結構和多協議網路進行維護、故障解決、優化調整和擴充套件. Sniffer Portable 軟體可以在桌面機、行動式計算機或者筆記本等硬體平臺上執行, 並且可以利用高階自定義硬體元件確保全線速的捕獲能力. Sniffer Portable非常出色, 其區別於其它Sniffer主要為以下幾個方面:
自定義硬體:
通過自定義硬體, 使Sniffer Portable可以實現線速捕捉、過濾以及觸發功能.
詳細的報告:
可以生成基於 RMON1/RMON2 的圖形報告, 以及由 Sniffer Portable 應用程式收集的類似資料. 從頻寬使用率到潛在的網路衰減, Sniffer Reporter 提供詳盡資料來幫助您規劃未來的網路需求. 有關乙太網和令牌環的可用報告包括: 主機表、矩陣、協議分發、全域性統計及其他報告.
Sniffer Voice 選項:
Sniffer Voice 是一個與 Sniffer Portable 整合的增值包,它提供語音和視訊聚合流量的必要資訊, 主要用於VoIP網路.
下載路徑: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/
4. WildPackets EtherPeek NX
版本: v2.1
更新日期: 2004-06-12
介紹: EtherPeek NX 是第一個提供資訊包捕獲過程中實時進行專業診斷和結構解碼的網路協議分析器. EtherPeek NX專門為IT人員設計, 幫助他們分析和診斷日益加速變化的網路資料群, 對現今網路面臨的眾多故障提供精確和最新的分析. 我收藏的這個版本中包括iNetTools和PacketGrabber兩款附帶產品, iNetTools提供了一些比較有用的網路工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款遠端資料報收集程式. 同時也提供了Peek SDK, 方便使用者自己開發外掛, SDK文件在安裝路徑下1033DocumentsPeek SDK的目錄裡.
適用於Windows的EtherPeek是一種屢受嘉獎的乙太網流量和協議分析器. EtherPeek確立了“輕鬆使用”的行業標準. EtherPeek 是"全球國際網路測試聯盟"從五種網路分析器中評選出的最優產品.
下載路徑: Software/Network/WildPackets.EtherPeek.NX.v2.1/
5. Iris Network Traffic Analyzer版本: v4.0.7
更新日期: 2003-12-29
介紹: 由業內知名公司Eeye出品的Sniffer, Iris的優點在於:便於使用、全面豐富的流量狀態和報告、高階資料重建功能、精密的資料包操作和偽造能力、擴充套件的過濾功能、資料分析能力.
個人認為Iris在資料重建功能、資料包偽造以及資料分析能力上比較突出. 資料重建功能可以把原始的資料包還原成完整的HTTP、FTP、SMTP和POP3會話.使用Iris的資料重建功能可以很輕鬆的檢視網路傳輸的Mail 信件、使用者瀏覽的網頁以及未加密的FTP傳輸. Iris的資料包編輯器可以讓使用者建立自定義的或者欺騙的資料包. 資料分析能力上在於Iris 可以分析其他知名的Sniffer儲存的資料包捕捉檔案.
另外值得一提的是, Eeye公司站點上免費提供一些定義好的過濾器檔案, 大部分主要是針對病毒和蠕蟲的.
下載路徑: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/
6. TamoSoft CommView版本: v4.1.344
更新日期: 2004-02-19
介紹: CommView系列是Windows下比較優秀的商業Sniffer產品, 支援NDIS3.0驅動標準, 功能大致上和其他一些Sniffer差不多, 另外, 結合CommView Remote Agent可以實現遠端嗅探.
TamoSoft CommView for WIFI
版本: v4.2.360
更新日期: 2004-04-09
介紹: CommView for WiFi 是CommView的特別版本, 設計用來捕獲和分析無線網路, 支援802.11a/b/g協議.
下載路徑: Software/Network/TamoSoft.CommView/
TamoSoft CommView Remote Agent
版本: v1.1.43
更新日期: 2004-03-04
介紹: CommView Remote Agent 是CommView的專用的、可選的元件, 設計用來進行遠端網路監視.
下載路徑: Software/Network/TamoSoft.CommView/
Sniffer根據網路的型別分為兩個類別: 1.交換環境下的Sniffer 2.共享環境下的Sniffer
交換環境下的Sniffer往往是通過對交換機進行ARP欺騙, 變成一箇中間人進行截獲資料.
共享環境下的Sniffer僅僅只需要把本機的網絡卡設定為混雜模式就可以監聽網路上所有的資料報, 而不需要進行任何欺騙行為.
Sniffer的原理:
交換環境的網路使用交換機(Switch)連線各個網路節點, 而共享環境的網路則採用集線器連線各個節點.
先說共享環境吧, 共享網路也成為集線器網路, 資料報到達集線器以後, 集線器會把資料報轉發到每個集線器的埠, 換句話說, 集線器連線的每個網路節點都有權利收到所有的資料報. 執行Sniffer以後, Sniffer會把網絡卡設定為混雜模式, 一旦設定為混雜模式, Sniffer就可以接受所有的資料報, 這樣也就達到了Sniffer的目的.
交換環境, 通過使用交換機代替共享環境下的集線器, 能夠解決集線器的幾個安全問題, 交換機通過自己的ARP快取列表來決定把資料報傳送到某個埠, 這樣就不是把一個數據報轉發到各個埠了, 這樣的做法一方面大大提高了網路的效能, 另一方面也提高了安全性, 在交換環境下, 即使網絡卡設定為混雜模式, 也只能監聽本機的資料包, 因為交換機不會把其他節點的資料報轉發給嗅探主機了. 所以, 在交換環境下必須想辦法讓被嗅探主機的資料報發到嗅探主機來, 能夠實現這種目的方法叫做ARP欺騙(ARP Spoofing), 這種方式通過偽造ARP資料包欺騙交換機使交換機更新ARP快取列表達到欺騙的目的, 這樣傳送到被嗅探的主機的資料報完全轉發到嗅探主機來, 而被嗅探主機收不到任何的資料包, 為了使得能夠正常的截獲資料報, 嗅探主機除了充當嗅探的身份之外, 還要充當中間人的身份. 具體的原理和方式可以去Google上搜索ARP欺騙.
交換環境下在不使用ARP欺騙的情況下, 如何能夠進行整網的資料分析呢 我提供2種方法進行參考:
1. 在根節點使用帶有映象功能的交換機, 這種功能的交換機可以設定為把所有的資料報都轉發到某一指定埠上, 在該埠上可以連線執行Sniffer的主機.
2. 如果您的根節點交換機沒有這種功能, 那麼可以在根節點上方新增一臺集線器, 集線器1個埠連線交換機, 另外一個埠就可以連線執行Sniffer的主機了.
下面的這些是我個人認為比較經典的Sniffer,值得收藏.
1. libpcap
版本: v0.8.3
更新日期: 2004-03-30
介紹: libpcap是Unix或Linux從核心捕獲網路資料包的必備工具, 它是獨立於系統的API介面, 為底層網路監控提供了一個可移植的框架, 可用於網路統計收集、安全監控、網路除錯等應用. 很多Unix或Linux下的網路程式都需要libpcap才能夠執行. Windows平臺下類似的程式為Winpcap.
下載路徑: Software/Network/libpcap/ (包括最新版、穩定版以及開發文件)
2. Winpcap
版本: v3.1 Beta3
更新日期: 2004-05-15
介紹: WinPcap類似於libpcap, 支援Win32平臺, Winpcap提供了3個模組:NPF(Netgroup Packet Filter,核心級的資料報過濾器),packet.dll(底層的動態連線庫),wpcap.dll(架構在packet.dll之上,提供了更方便、更直接的程式設計方法). 很多網路工具(Sniffer等)都是使用Winpcap進行開發的, 執行這些網路工具, 均需要安裝Winpcap. 我曾經使用過VBS呼叫Winpcap寫過console下的Sniffer. ~_*
下載路徑: Software/Network/Winpcap/ (包括最新版、穩定版以及開發文件)
3. Network Associates Sniffer Portable版本: v4.7.5 SP4
更新日期: 2004-05-20
介紹: NAI 公司出品的Sniffer, 作為NAI公司的主打產品, 價格也是不菲的. Sniffer Portable 是一系列網路故障和效能管理解決方案, 網路專業人士可以使用它對多拓樸結構和多協議網路進行維護、故障解決、優化調整和擴充套件. Sniffer Portable 軟體可以在桌面機、行動式計算機或者筆記本等硬體平臺上執行, 並且可以利用高階自定義硬體元件確保全線速的捕獲能力. Sniffer Portable非常出色, 其區別於其它Sniffer主要為以下幾個方面:
自定義硬體:
通過自定義硬體, 使Sniffer Portable可以實現線速捕捉、過濾以及觸發功能.
詳細的報告:
可以生成基於 RMON1/RMON2 的圖形報告, 以及由 Sniffer Portable 應用程式收集的類似資料. 從頻寬使用率到潛在的網路衰減, Sniffer Reporter 提供詳盡資料來幫助您規劃未來的網路需求. 有關乙太網和令牌環的可用報告包括: 主機表、矩陣、協議分發、全域性統計及其他報告.
Sniffer Voice 選項:
Sniffer Voice 是一個與 Sniffer Portable 整合的增值包,它提供語音和視訊聚合流量的必要資訊, 主要用於VoIP網路.
下載路徑: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/
4. WildPackets EtherPeek NX
版本: v2.1
更新日期: 2004-06-12
介紹: EtherPeek NX 是第一個提供資訊包捕獲過程中實時進行專業診斷和結構解碼的網路協議分析器. EtherPeek NX專門為IT人員設計, 幫助他們分析和診斷日益加速變化的網路資料群, 對現今網路面臨的眾多故障提供精確和最新的分析. 我收藏的這個版本中包括iNetTools和PacketGrabber兩款附帶產品, iNetTools提供了一些比較有用的網路工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款遠端資料報收集程式. 同時也提供了Peek SDK, 方便使用者自己開發外掛, SDK文件在安裝路徑下1033DocumentsPeek SDK的目錄裡.
適用於Windows的EtherPeek是一種屢受嘉獎的乙太網流量和協議分析器. EtherPeek確立了“輕鬆使用”的行業標準. EtherPeek 是"全球國際網路測試聯盟"從五種網路分析器中評選出的最優產品.
下載路徑: Software/Network/WildPackets.EtherPeek.NX.v2.1/
5. Iris Network Traffic Analyzer版本: v4.0.7
更新日期: 2003-12-29
介紹: 由業內知名公司Eeye出品的Sniffer, Iris的優點在於:便於使用、全面豐富的流量狀態和報告、高階資料重建功能、精密的資料包操作和偽造能力、擴充套件的過濾功能、資料分析能力.
個人認為Iris在資料重建功能、資料包偽造以及資料分析能力上比較突出. 資料重建功能可以把原始的資料包還原成完整的HTTP、FTP、SMTP和POP3會話.使用Iris的資料重建功能可以很輕鬆的檢視網路傳輸的Mail 信件、使用者瀏覽的網頁以及未加密的FTP傳輸. Iris的資料包編輯器可以讓使用者建立自定義的或者欺騙的資料包. 資料分析能力上在於Iris 可以分析其他知名的Sniffer儲存的資料包捕捉檔案.
另外值得一提的是, Eeye公司站點上免費提供一些定義好的過濾器檔案, 大部分主要是針對病毒和蠕蟲的.
下載路徑: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/
6. TamoSoft CommView版本: v4.1.344
更新日期: 2004-02-19
介紹: CommView系列是Windows下比較優秀的商業Sniffer產品, 支援NDIS3.0驅動標準, 功能大致上和其他一些Sniffer差不多, 另外, 結合CommView Remote Agent可以實現遠端嗅探.
TamoSoft CommView for WIFI
版本: v4.2.360
更新日期: 2004-04-09
介紹: CommView for WiFi 是CommView的特別版本, 設計用來捕獲和分析無線網路, 支援802.11a/b/g協議.
下載路徑: Software/Network/TamoSoft.CommView/
TamoSoft CommView Remote Agent
版本: v1.1.43
更新日期: 2004-03-04
介紹: CommView Remote Agent 是CommView的專用的、可選的元件, 設計用來進行遠端網路監視.
下載路徑: Software/Network/TamoSoft.CommView/