一．嗅探器的基础知识 

1．1 什么是嗅探器？ 

嗅探器的英文写法是Sniff，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。可是，计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据， 嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。  计算机的嗅探器比起电话窃听器，有他独特的优势： 很多的计算机网络采用的是“共享媒体"。也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode） 。 尽管如此，这种“共享” 的技术发展的很快，慢慢转向“交换” 技术，这种技术会长期内会继续使用下去， 它可以实现有目的选择的收发数据。 

1．2嗅探器是如何工作的 

1．2．1如何窃听网络上的信息 

刚才说了，以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。  正是因为这样的原因，以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。  嗅探程序正是利用了这个特点，它主动的关闭了这个嗅探器，也就是前面提到的设置网卡“混杂模式”。因此，嗅探程序就能够接收到整个以太网内的网络数据了信息了。 

1．2．2什么是以太网的MAC地址 

MAC：Media Access Control. 

由于大量的计算机在以太网内“共享“数据流，所以必须有一个统一的办法用来区分传递给不同计算机的数据流的。这种问题不会发生在拨号用户身上，因为计算机会假定一切数据都由你发动给modem然后通过电话线传送出去。可是，当你发送数据到以太网上的时候，你必须弄清楚，哪台计算机是你发送数据的对象。的确，现在有大量的双向通讯程序出现了，看上去，他们好像只会在两台机器内交换信息，可是你要明白，以太网的信息是共享的，其他用户，其实一样接收到了你发送的数据，只不过是被过滤器给忽略掉了。MAC地址是由一组6个16进制数组成的，它存在于每一块以太网卡中。后面的章节将告诉你如何查看自己计算机的MAC地址。 

如果你对网络结构不太熟悉，建议参考一下OSI 7-Layer Model，这将有助于你理解后面的东西以太网所使用的协议主要是TCP/IP，并且TCP/IP也用于其他的网络模型(比如拨号用户,他们并不是处于一个以太网环境中)。举例一下，很多的小团体计算机用户都为实现文件和打印共享，安装了“NetBEUI” 因为它不是基于TCP/IP协议的，所以来自于网络的黑客一样无法得知他们的设备情况。基于Raw协议，传输和接收都在以太网里起着支配作用。你不能直接发送一个Raw数据给以太网，你必须先做一些事情，让以太网能够理解你的意思。这有点类似于邮寄信件的方法，你不可能直接把一封信投递出去，你必须先装信封，写地址，贴邮票，网络上的传输也是这样的。 下面给出一个简单的图示，有助于你理解数据传送的原理： 

_________ 

/.........\ 

/..Internet.\ 

+-----+ +----+.............+-----+ 

|UserA|-----|路由|.............|UserB| 

+-----+ ^ +----+.............+-----+ 

| \.........../ 

| \---------/ 

+------+ 

|嗅探器| 

+------+ 

UserA IP 地址: 10.0.0.23 
UserB IP 地址: 192.168.100.54 

现在知道UserA要于UserB进行计算机通讯，UserA需要为10.0.0.23到192.168.100.54的通讯建立一个IP包 

--------------------------------------------------------------------------------

2 嗅探原理与反嗅探技术 
 
这个IP包在网络上传输，它必须能够穿透路由器。因此， UserA必须首先提交这个包给路由器。由每个路由器考查目地IP地址然后决定传送路径。  UserA 所知道的只是本地与路由的连接，和UserB的IP地址。UserA并不清楚网络的结构情况和路由走向。  UserA必须告诉路由预备发送的数据包的情况，以太网数据传输结构大概是这样的： 

+--+--+--+--+--+--+ 

| 目标 MAC | 

+--+--+--+--+--+--+ 

| 源 MAC | 

+--+--+--+--+--+--+ 

|08 00| 

+--+--+-----------+ 

| | 

. . 

. IP 包 . 

. . 

| | 

+--+--+--+--+-----+ 

| CRC校验 | 

+--+--+--+--+ 

理解一下这个结构，UserA的计算机建立了一个包假设它由100个字节的长度（我们假设一下，20 个字节是IP信息，20个字节是TCP信息，还有60个字节为传送的数据）。现在把这个包发给以太网,放14个字节在目地MAC地址之前，源MAC地址，还要置一个0x0800的标记，他指示出了TCP/IP栈后的数据结构。同时，也附加了4个字节用于做CRC校验（CRC校验用来检查传输数据的正确性）。  现在发送数据到网络。  所有在网内的计算机通过适配器都能够发现这个数据片，其中也包括路由适配器，嗅探器和其他一些机器。通常，适配器都具有一块芯片用来做结构比较的，检查结构中的目地MAC地址和自己的MAC地址，如果不相同，则适配器会丢弃这个结构。这个操作会由硬件来完成，所以，对于计算机内的程序来说，整个过程时毫无察觉的。 

当路由器的以太网适配器发现这个结构后，它会读取网络信息，并且去掉前14个字节，跟踪4个字节。查找0x8000标记，然后对这个结构进行处理（它将根据网络状况推测出下一个最快路由节点，从而最快传送数据到预定的目标地址）。  设想，只有路由机器能够检查这个结构，并且所有其他的机器都忽略这个 结构，则嗅探器无论如何也无法检测到这个结构的。 

1.3.1 MAC地址的格式是什么？ 

以太网卡的MAC地址是一组48比特的数字，这48比特分为两个部分组成，前面的24比特用于表示以太网卡的寄主，后面的24比特是一组序列号，是由寄主进行支派的。这样可以担保没有任何两块网卡的MAC地址是相同的（当然可以通过特殊的方法实现）。如果出现相同的地址，将发生问题，所有这一点是非常重要的。这24比特被称之为OUI（Organizationally Unique Identifier）。  可是，OUI的真实长度只有22比特，还有两个比特用于其他：一个比特用来校验是否是广播或者多播地址，另一个比特用来分配本地执行地址（一些网络允许管理员针对具体情况再分配MAC地址）。 

举个例子，你的MAC地址在网络中表示为 03 00 00 00 00 01 。第一个字节所包含的值二进制表示方法为00000011。可以看到，最后两个比特都被置为真值。他指定了一个多播模式，向所有的计算机进行广播，使用了 “NetBEUI”协议（一般的，在Windows计算机的网络中，文件共享传输等是不使用TCP/IP协议的）。. 

1．3．2 我如何得到自己计算机的MAC地址？ 

Win9x  :Win9x自带的这个程序将告诉你答案：“winipcfg.exe” 

WinNT  :在命令行的状态下运行这个命令："ipconfig /all" 

它会显示出你的MAC网卡地址，下面是一个例子： 

Windows 2000 IP Configuration 

Host Name . . . . . . . . . . . . : bigball 

Primary DNS Suffix . . . . . . . : 

Node Type . . . . . . . . . . . . : Hybrid 

IP Routing Enabled. . . . . . . . : No 

WINS Proxy Enabled. . . . . . . . : No 

Ethernet adapter 本地连接: 

Connection-specific DNS Suffix . : 

Description . . . . . . . . . . . : Legend/D-Link DFE-530TX PCI Fast Eth 

ernet Adapter (Rev B) 

Physical Address. . . . . . . . . : 00-50-BA-25-5D-E8  

--------------------------------------------------------------------------------
 
3 嗅探原理与反嗅探技术 
 
DHCP Enabled. . . . . . . . . . . : No 

IP Address. . . . . . . . . . . . : 192.168.10.254 

Subnet Mask . . . . . . . . . . . : 255.255.128.0 

Default Gateway . . . . . . . . . : 192.168.10.3 

Ethernet adapter SC12001: 

Description . . . . . . . . : DEC DC21140 PCI Fast Ethernet 

Linux 

运行“ifconfig”。结果如下： 

eth0 Link encap:Ethernet HWaddr 08:00:17:0A:36:3E 

inet addr:192.0.2.161 Bcast:192.0.2.255 Mask:255.255.255.0 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:1137249 errors:0 dropped:0 overruns:0 

TX packets:994976 errors:0 dropped:0 overruns:0 

Interrupt:5 Base address:0x300 

Solaris 

用 “arp” 或者 “netstat -p” 命令 

1．3．3我如何才能知道有那些计算机和我的MAC地址直接关联？  对于WinNT和Unix机器，可以直接使用“arp -a”查看。 

1．3．4我能够改变我的MAC地址吗？ 

可以。简单的说一下： 

第一种方法，你要做地址欺骗，因为MAC地址是数据包结构的一部分， 因此，当你向以太网发送一个数据包的时候，你可以覆盖源始的MAC信息。 

第二种方法,很多网卡允许在一定的时间内修改内部的MAC地址。 

第的三种方法， 你可以通过重新烧录EEPROM来实现MAC地址的修改。但是这种方法要求你必须有特定的硬件设备和适用的芯片才能修改，而且这种方法将永远的修改你的MAC地址。 

二．反嗅探技术 
2．1我如何才能检测网内是否存在有嗅探程序？ 

理论上，嗅探程序是不可能被检测出来的，因为嗅探程序是一种被动的接收程序，属于被动触发的，它只会收集数据包，而不发送出任何数据，尽管如此，嗅探程序有时候还是能够被检测出来的。  一个嗅探程序，不会发送任何数据，但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流。举个例子，它能发出一个请求，始DNS根据IP地址进行反相序列查找。  下面一种简单的检测方法： 

ping 方法 :很多的嗅探器程序，如果你发送一个请求给哪台有嗅探程序的机器，它将作出应答 

说明： 

1. 怀疑IP地址为10.0.0.1的机器装有嗅探程序，它的MAC地址确定为00-40-05-A4-79-32. 

2. 确保机器是在这个局域网中间。 

3. 现在修改MAC地址为00-40-05-A4-79-33. 

4. 现在用ping命令ping这个IP地址。 

5. 没有任何人能够看到发送的数据包，因为每台计算机的MAC地址无法与这个数据包中的目地MAC不符，所以，这个包应该会被丢弃。 

6. 如果你看到了应答，说明这个MAC包没有被丢弃，也就是说，很有可能有嗅探器存在。 

现在，这种方法已经得到了广泛的推崇和宣扬，新一代的黑客们也学会了在他们的代码中加入虚拟的MAC地址过滤器很多的计算机操作系统（比如Windows）都支持MAC过滤器(很多过虑器只检查MAC的第一个字节，这样一来，MAC地址FF-00-00-00-00-00和FF-FF-FF-FF-FF- FF就没有区别了。（广播地址消息会被所有的计算机所接收）。这种技术通常会用在交换模型的以太网中。当交换机发现一个未知的MAC地址的时候，它会执行类似“flood”的操作，把这个包发送给每个节点。 

2．2本机嗅探程序的检测 

本机嗅探的程序检测方法比较简单，只要检查一下网卡是否处于混杂模式就可以了，在Linux下，这个比较容易实现，而在Windows平台上，并没有现成的函数可供我们实现这个功能，我们来用一点小技巧： 

#include 

#define MAX_PACK_LEN 65535 

#define MAX_HOSTNAME_LAN 255 

#pragma comment (lib , "ws2_32.lib") 

int main() 

{ 

SOCKET SockRaw,Sock; 

WSADATA wsaData; 

int ret=0; 

struct sockaddr_in sAddr,addr; 

char RecvBuf[MAX_PACK_LEN]; 

char FAR name[MAX_HOSTNAME_LAN]; 

struct hostent FAR * pHostent; 

char *Buf=(char *)malloc(128); 

int settimeout=1000;//这里我们设置了一秒钟超时 

printf("UNSniffer for Win2k v1.0\nPower by BigBall\nHomePage:http:\/\/www.patching.net\/liumy\nEmail:liumy@patching.net\nOicq:9388920\n\nChecking your system ,wait a moment please...\n"); 

WSAStartup(MAKEWORD(2,2),&wsaData); 

//建立一条RawSocket 

SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP); 

再建立一条UDP 

Sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP); 

memset(&sAddr,0,sizeof(sAddr)); 

memset(&addr,0,sizeof(addr)); 

sAddr.sin_family=AF_INET; 

sAddr.sin_port=htons(5257); 

addr.sin_family=AF_INET; 

addr.sin_port=htons(5258); 

//把IP地址指向本机 

addr.sin_addr.S_un.S_addr=inet_addr("127.0.0.1"); 

memset(RecvBuf,0, sizeof(RecvBuf)); 

pHostent=malloc(sizeof(struct hostent)); 

gethostname(name, MAX_HOSTNAME_LAN); 

pHostent=gethostbyname(name); 

//取得自己的IP地址 

memcpy(&sAddr.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length); 

free(pHostent); 

//绑定一个本机的接收端口 

bind(SockRaw, (struct sockaddr *)&sAddr, sizeof(sAddr)); 

//虚连接到本机的一个未打开的端口 

connect(Sock,(struct sockaddr *)&addr,sizeof(addr)); 

Buf="1234567890!@#$%^&*"; 

//设置超时 

setsockopt(SockRaw,SOL_SOCKET,SO_RCVTIMEO,(char *)&settimeout,sizeof(int)); 

//向虚连接端口发送一个数据包 

send(Sock,Buf,strlen(Buf),0); 

//使用SockRaw尝试接收这个数据包 

ret=recv(SockRaw,RecvBuf,sizeof(RecvBuf),0); 

if(ret==SOCKET_ERROR || ret==0) 

printf("No found any sniffer in your system!\n"); 

else 

{ 

//进行ChkSum 

if(Buf=="1234567890!@#$%^&*") 

printf("Warning!!! Found sniffer!!!\n"); 

} 

closesocket(Sock); 

closesocket(SockRaw); 

free(pHostent); 

free(Buf); 

WSACleanup(); 

return 0; 

}