网络监控的基础是数据捕获，网络监控系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，我们称这种数据获取方式为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。

一、网络嗅探技术的概念

我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备，就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同，计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（窃听）。

一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是，计算机的会话包括的显然就是随机的二进制数据。因此网络偷听程序也因为它的“协议分析”特性而著名，“协议分析”就是对于计算机的通信进行解码并使它变得有意义。

和电话窃听相比，Sniffer有一个好处是：许多网络用的是“共享的介质”。以太网是现在应用最广泛的计算机联网方式，它就是一个共享的介质。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。由于在一个普通的网络环境中，账号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。计算机能够接收到发送给其他计算机的信息。这就意味着你不必打开配线盒来安装你的偷听设备，你几乎在连接到你的邻居的任何一条连接上对于你的邻居进行监听。这就被称为“混杂模式”的监听。但是这种的“共享”技术很快就被“交换”技术所取代，这样利用混杂模式进行监听已经不可能了，这就意味着你不得不进行实际的接线来实现监听。目前一些交换机的监视端口就提供了这种接听方式。

二、网络嗅探的用途

Sniffer程序长时间以来一直以两种方式存在着：商业的包监听被用于维护网络，秘密的包监听被用于侵入计算机。

（1）Sniffer被用于维护网络安全时，其典型应用为：

 将数据转换为人们可读的格式，因此人们能读出通信，这样可以进行基于内容的网络通信的检查。—
— 为了发现网络上的问题而进行错误的分析，例如为什么计算机A不能和计算机B进行通信。
 为了发现网络通信中的瓶颈进行的性能分析。—
— 为了发现黑客而进行的网络入侵侦测。
 为了生成很可不能侵入和破坏的日志而进行的网络通信的日志。—

（2）而对于黑客而言，使用Sniffer时所关心的内容可以分成这样几类：

口令

这是绝大多数非法使用Sniffer的理由，Sniffer可以记录到明文传送的userid和passwd。就算你在网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使入侵者轻松算出你的算法。

金融账号

Sniffer可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin。

偷窥机密或敏感的信息数据：

通过拦截数据包，入侵者可以很方便地记录别人之间敏感的信息传送，或者拦截整个的E-mail会话过程。

窥探低级的协议信息：

Sniffer可以用来窥探对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。这些信息由入侵者掌握后将对网络安全构成极大的危害。