quote:

    首先要說明 用網(wǎng)絡(luò)特工之類的軟件網(wǎng)卡一定會(huì)開啟混雜模式 但是網(wǎng)卡處在混雜模式不一定是在用網(wǎng)絡(luò)特工 不過 處在混雜模式的網(wǎng)卡一定沒干好事

    好了廢話不說了

    方法很簡單

    首先確定你沒有跟你網(wǎng)段內(nèi)的電腦有通信

    然后 打開cmd

    先 arp -d 刪除掉你的arp列表

    然后 ping 你的網(wǎng)管 或者 ping 你自己

    再 arp -a 顯示 你的arp表

    這時(shí) 你的arp表 就會(huì)顯示 你ping的 ip地址和mac地址的對應(yīng)關(guān)系

    如果還有其他條 ip和mac 對應(yīng)的話 呵呵 就是他了 ：0

    這里再說明一下為什么可以這樣判斷

    當(dāng)網(wǎng)卡處在混雜模式的時(shí)候 會(huì)接收并響應(yīng) 網(wǎng)絡(luò)上任何的數(shù)據(jù)報(bào)

    所以 當(dāng)我向網(wǎng)關(guān)發(fā)送一個(gè)icmp包時(shí) 被那臺(tái).179的電腦截獲了數(shù)據(jù)報(bào) 并產(chǎn)生了回應(yīng)

    然而我ping的是.129的電腦 所以我的主機(jī)只會(huì)對129主機(jī)發(fā)送的echo產(chǎn)生回應(yīng) 而對179發(fā)過來的數(shù)據(jù)包我的主機(jī)進(jìn)行了丟棄

    然而 由于179的主機(jī)同我的主機(jī)產(chǎn)生了通信 所以就在我的主機(jī)arp表上產(chǎn)生了一條arp項(xiàng)

    sniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動(dòng)攻擊工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔�。�?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。黑客們常常用它來截獲用戶的口令。據(jù)說某個(gè)骨干網(wǎng)絡(luò)的路由器曾經(jīng)被黑客攻人，并嗅探到大量的用戶口令。本文將詳細(xì)介紹sniffer的原理和應(yīng)用。

    一、sniffer 原理

    1．網(wǎng)絡(luò)技術(shù)與設(shè)備簡介

    在講述sni計(jì)er的概念之前，首先需要講述局域網(wǎng)設(shè)備的一些基本概念。

    數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（frame）的單位傳輸?shù)�，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過程中，嗅探器會(huì)帶來安全方面的問題。

    每一個(gè)在局域網(wǎng)（lan）上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)與internet地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，這些數(shù)據(jù)包就會(huì)發(fā)送到lan上所有可用的機(jī)器。

    在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)（換句話說，工作站a不會(huì)捕獲屬于工作站b的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)）。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式（關(guān)于混雜模式的概念會(huì)在后面解釋），那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。

    2．網(wǎng)絡(luò)監(jiān)聽原理

    sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（nic，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包。

    普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持bpf，linux下需要支持socket一packet。但一般情況下，網(wǎng)絡(luò)硬件和tcp／ip堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無關(guān)的數(shù)據(jù)包，所以，為了繞過標(biāo)準(zhǔn)的tcp／ip堆棧，網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備bpfilter，而且需要root權(quán)限來運(yùn)行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)人了系統(tǒng)，那么不可能喚探到root的密碼，因?yàn)椴荒苓\(yùn)行sniffer。

    基于sniffer這樣的模式，可以分析各種信息包并描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機(jī)器，由于它接收任何一個(gè)在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴(kuò)大戰(zhàn)果的方法，用來奪取其他主機(jī)的控制權(quán)

    3 snifffer的分類

    sniffer分為軟件和硬件兩種，軟件