简单的网络嗅探器解析

合集下载

第3章网络嗅探详解

3.1 嗅探器概述

经过3个Hub串联形成的局域网，局域网介质访问控制方法当主机A需要与主机E通信时，A

共享式局域网

所发送的数据报通过Hub的时候就会向所有与之相连的端口转发。共享式局域网的典型设备是集线器（ HubE ）在一般情况下，不仅主机可以收到数据报，其余的主机也都能够该设备把一个端口接收的信号向所有其它端口收到该数据包
计算机直接传送的数据，事实上是大量的二进制数据。那么，嗅探器是怎样能够听到在网络线路上边传送的二进制数据信号呢？可不可以在一台普通的PC机上边就可以很好的运作起来完成嗅探任务呢？
3.1 嗅探器概述

嗅探器必须也使用特定的网络协议来分析嗅探到的数据，也就是说嗅探器必须能够识别出哪个协议对应于这个数据片断，只有这样才能够进行正确的解码。其次，嗅探器能够捕获的通信数据量与网络以及网络设备的工作方式是密切相关的。
3.1 嗅探器概述

嗅探器的定义

Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。一部电话上的窃听装置, 可以用来窃听双方通话的内容，而嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。后者的目的就是为了破环信息安全中的保密性，即越是不想让我知道的内容我就一定要知道。
分发出去。
Hub连接形成LAN
3.1 嗅探器概述

交换式局域网

典型设备是交换机（Switch）该设备引入了交换的概念，是对共享式的一个升级，能够通过检查数据包中的目标物理地址来选择目标端口，从而将数据只转发到与该目标端口相连的主机或设备中。上页描述的网络，如转发设备都采用Switch，那么只有主机E会正常收到主机A发送的数据，而其余的主机都不能接收到。

实验七网络嗅探

实验七网络嗅探【实验目的】1.了解FTP、HTTP等协议明文传输的特性；2.了解局域网内的监听手段；3.掌握Ethereal嗅探器软件的使用方法；4.掌握对嗅探到的数据包进行分析的基本方法，并能够对嗅探到的数据包进行网络状况的判断。

【实验环境】两台以上装有Windows 2000/XP/2003操作系统的计算机。

【实验原理】(1)嗅探原理网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。

管理员使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。

嗅探器（Sniffer）是利用计算机的网络接口截获发往其他计算机的数据报文的一种技术。

它工作在网络的底层，将网络传输的全部数据记录下来。

嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。

嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。

不同传输介质网络的可监听性是不同的。

一般来说，以太网(共享式网络)被监听的可能性比较高，因为以太网(共享式网络)是一个广播型的网络。

微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据。

因为以太网协议工作方式是将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

但是，当主机工作在监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然自己只能监听经过自己网络接口的那些包）。

在Internet上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发向目的主机。

但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。

网络嗅探器Sniffer技术分析

河南技２０７科０６
５５
冒
黄河勘测规划设计有限公司王大川陈昭友曹
一
维普资讯
伟
、
项目概况
－
置方式为行列式布置，纵横间距均为１０桩长１ｍ，．ｍ，１０
广州小虎岛防洪排涝综合整治工程位于广州市南沙地区的小虎岛上。虎岛东临沙仔沥、ｔｌ虎沥、小西￣ｌ，南部与狮子洋相接，小虎沥平均水面宽３２５ｍ，平水深４８ｍ，．３沙仔沥平均水面宽４平均水深４５ｍ。１ｍ，ｌ．７
提醒操作系统处理流经该物理媒体上的每一个报文包可见，ｎｆ作在网络环境中的底层．它会拦截Ｓｉｅｆｒ所有的正在网络上传送的数据，并且通过相应的软件处
理，可以实时分析这些数据的内容．而分析所处的网进络状态和整体布局：值得注意的是：ｎ￣是极其安静Ｓｌｅｆｒ的，它是一种消极的安生攻击一
网络服务的因素也增加了为了使网络可靠、稳定地运
行，必须对嗣络进行行之有效的管理
一
、
Ｓｉｒｎｅ的基本概念与原理ｆ
Ｓｉｅ是一种常用的收集有用数据方法．些数据ｎｒｆ这
可以是用户的账号和密码．也可是一些商用机密数据等等：太网协议是在同一回路向所有主机发送数据包信息数据包头包含有目标主机的正确地址。一般情况
理系统，这个系统在完成动态信息的捕获和分祈的同时，也能利用当前的厨络管理技术同时完成对静态数据的收集处理和分析，这是Ｓｌｅ技术和网络管理技术的ｎｆｒ｜高度融台，从而对网络进行全面实时有效的管理＝根据Ｓｉｅ技术的原理，ｎｆｒｎｆｒＳｉｅ技术在网络底层工ｆ作运行，（）监渗听同一物理子阿的数据报文信息＝网在络管理框架结构基础上．利用当前已经成为标准的网络管理协议，每个子网叶的Ｓｉｅ代理可以与中央Ｓｉｅ１ｎｆｒｆｎｒｆ管理站通信，来完成对大型复杂网络的管理：一般应放在网关、路由器、防火墙等重要和关键的节点上运行Ｓｉｒｎｆ服务器，ｅ以随时掌握网络的状态，及时发现人侵儒息和网络故障等Ｓｉｒ在网络管理中的主要功能：ｎｆｅ ①实时网络包捕

嗅探器的基础知识

_________
/.........\
二．
/..Internet.\
+-----+ +----+.............+-----+
UserA-----路由erB
+-----+ ^ +----+.............+-----+
1.3.1 MAC 地址的格式是什么？以太网卡的 MAC 地址是一组 48 比特的数字，这 48 比特分为两个部分组成，前面的 24 比特用于表示以太网卡的寄主，后面的 24 比特是一组序列号，是由寄主进行支派的。这样可以担保没有任何两块网卡的 MAC 地址是相同的（当然可以通过特殊的方法实现）。如果出现相同的地址，将发生问题，所有这一点是非常重要的。这 24 比特被称之为 OUI（Organizationally Unique Identifier）。可是，OUI的真实长度只有 22 比特，还有两个比特用于其他：一个比特用来校验是否是广播或者多播地址，另一个比特用来分配本地执行地址（一些网络允许管理员针对具体情况再分配MAC地址）。举个例子，你的MAC地址在网络中表示为 03 00 00 00 00 01 。第一个字节所包含的值二进制表示方法为 00000011。可以看到，最后两个比特都被置为真值。他指定了一个多播模式，向所有的计算机进行广播，使用了“NetBEUI”协议（一般的，在Windows计算机的网络中，文件共享传输等是不使用TCP/IP协议的）。. 1．3．2 我如何得到自己计算机的MAC地址？
TX packets:994976 errors:0 dropped:0 overruns:0 Interrupt:5 Base address:0x300 Solaris 用 “arp” 或者 “netstat –p” 命令 1．3．3 我如何才能知道有那些计算机和我的MAC地址直接关联？对于WinNT和Unix机器，可以直接使用“arp –a”查看。 1．3．4 我能够改变我的MAC地址吗？可以。简单的说一下：第一种方法，你要做地址欺骗，因为MAC地址是数据包结构的一部分，因此，当你向以太网发送一个数据包的时候，你可以覆盖源始的MAC信息。第二种方法,很多网卡允许在一定的时间内修改内部的MAC地址。第的三种方法，你可以通过重新烧录EEPROM来实现MAC地址的修改。但是这种方法要求你必须有特定的硬件设备和适用的芯片才能修改，而且这种方法将永远的修改你的MAC地址。

sniffer功能和使用详解

Sniffer功能和使用详解一Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。

一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。

当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。

网络嗅探、抓包工具、集线器、交换机和路由器介绍

网络嗅探定义：网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段。

嗅探的原理：要知道在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。

在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下，一个网络接口应该只响应这样的两种数据帧：1.与自己硬件地址相匹配的数据帧。

2.发向所有机器的广播数据帧。

在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。

CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。

而对于网卡来说一般有四种接收模式：①广播方式：该模式下的网卡能够接收网络中的广播信息。

②组播方式：设置在该模式下的网卡能够接收组播数据。

③直接方式：在这种模式下，只有目的网卡才能接收该数据。

④混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。

好了，现在我们总结一下，首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。

网络分析SNIFFER软件的使用介绍

网络分析SNIFFER软件的使用介绍Sniffer（嗅探器）就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”（又称：包）的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网的前12个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议，由网络驱动程序按照一定规则生成，然后通过网络接口卡（网络接口卡，在局域网中一般指网卡）发送到网络中，通过网线传送到它们的目的主机，在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧，并告诉操作系统有新的帧到达，然后对其进行存储。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址（这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志）和自己的物理地址一致或者是广播地址（就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧），网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况：如果网络中某个网络接口卡的物理地址不确定呢（这可以通过本地网络接口卡设置成“混杂”状态来实现）？网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

网络嗅探器的制作课件

数据过滤与解码
数据过滤
根据需要对捕获的数据包进行过滤，只保留感兴趣的数据包，减少分析的工作量。
数据解码
对捕获的数据包进行解码，将其转换为可读的格式，方便分析和理解。
数据统计与报告
数据统计
对捕获和分析的数据包进行统计，生成各种统计报表，如流量统计、协议分布等。
报告生成
根据统计结果生成报告，对网络通信情况进行总结和描述，为网络管理员提供决策依据。
应用场景
• 应用场景：网络嗅探器广泛应用于网络故障排查、网络安全监控、网络性能优化等方面。在网络故障排查中，可以使用网络嗅探器来捕获和分析数据包，帮助定位和解决问题。在网络安全监控中，可以使用网络嗅探器来检测和防范网络攻击、恶意软件等安全威胁。在网络性能优化中，可以使用网络嗅探器来分析网络流量和数据包，优化网络性能和响应时间。
合规性审查
在使用网络嗅探器之前，应对其进行合规性审查，确保其符合相关法律法规和行业标准的要求。
安全防护措施
加密通信
使用网络嗅探器时应采取加密通信措施，如使用SSL/TLS等加密协议，以保护数据的机密性和完整性。
VS
防范恶意软件
网络嗅探器可能会被用于传播恶意软件，因此在使用时应采取防范措施，如安装杀毒软件、定期更新操作系统等。
04
网络嗅探器的安全问题
隐私保护
保护个人隐私
在使用网络嗅探器时，必须严格遵守隐私保护原则，不得非法获取或传播他人的个人信息。
避免侵犯他人权益
网络嗅探器可能会截获他人的通信数据，因此在使用时应确保不侵犯他人的合法权益，如隐私权、通信自由等。
法律与合规性
遵守法律法规
在使用网络嗅探器时，必须遵守相关法律法规，不得从事非法活动，如黑客攻击、窃取商业机密等。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

计算机科学与技术学院课程设计报告2012— 2013学年第二学期课程名称计算机网络设计题目简单的网络嗅探器姓名学号专业班级指导教师2013年 6 月17日目录摘要 (2)关键词 (2)1 网络嗅探概述 (3)1.1 网络嗅探的简介 (3)1.2 相关的网络知识 (3)1.2.1 交换基础 (3)1.2.2 路由基础 (4)1.2.3网卡的工作原理 (5)1.3 基于网卡混杂模式的嗅探原理 (6)1.4 基于arp欺骗的嗅探原理 (6)1.5 网络嗅探的安全威胁 (7)1.6 网络嗅探的防范 (8)1.6.1 检测嗅探器 (8)1.6.2 将数据隐藏，使嗅探器无法发现 (8)2 基于原始套接字的嗅探程序 (9)2.1 嗅探实现 (9)2.2 嗅探运行结果 (26)2.2.1 嗅探普通数据包 (26)2.2.2 嗅探HTTP敏感信息 (26)2.2.3 嗅探FTP敏感信息 (27)小结 (29)参考资料 (29)网络嗅探器的设计与实现Design and implementation of network sniffer摘要近年来，伴随着网络技术的发展和网络应用的普及，互联网已经成为信息资源的重要载体和主要传布途径，从而使得网络的安全性和可靠性越来越受到关注和重视。

因此，对于能够很好的分析与诊断网络，测试网络性能与安全性的工具软件的需求越发迫切。

网络嗅探器作为分析与诊断网络，测试网络性能与安全性的工具软件之一，具有两面性。

攻击者可以通过使用它来监听网络中数据，达到非法截取信息的目的，网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析，分析结果可供网络安全分析之用。

本文对网络嗅探技术进行了简要分析，研究了网络数据包的捕获机制，如winpcap、原始套接字。

文中首先分析了嗅探的原理和危害,并介绍了几种常见的嗅探器，然后研究了入侵检测系统中使用的包捕获技术。

本文利用原始套接字在windows平台下实现了一个网络嗅探器程序，完成了对数据包进行解包、分析数据包的功能。

关键词：网络嗅探器数据包捕获数据包分析原始套接字网络安全C语言VC++6.01 网络嗅探概述1.1 网络嗅探的简介网络嗅探器又称为网络监听器，简称为Sniffer子系统，放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，这些数据可以是网络流量的去向和用到的端口号，也可以是用户的账号和密码，可以是一些商用机密数据等等。

Sniffer是利用计算机的网络接口截获目的地为其他计算机交换的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量，以便找出所关心的网络中潜在的问题。

例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题的所在。

而嗅探器也可作为攻击工具被黑客所利用为其发动进一步的攻击提供有价值的信息。

1.2 相关的网络知识1.2.1 交换基础交换发生网络的第二层，即数据链路层。

谈到交换的问题，从广义上讲，任何数据的转发都可以称作交换。

当然，现在我们指的是狭义上的交换，仅包括数据链路层的转发。

1.2.1.1 交换原理所谓交换，就是将分组(或帧)从一个端口移到另一个端口的简单动作。

交换机在操作过程当中会不断的收集资料去建立它本身的一个地址表，MAC地址表显示了主机的MAC地址与以太网交换机端口映射关系，指出数据帧去往目的主机的方向。

当以太网交换机收到一个数据帧时，将收到数据帧的目的MAC地址与MAC地址表进行查找匹配。

如果在MAC地址表中没有相应的匹配项，则向除接收端口外的所有端口广播该数据帧，有人将这种操作翻译为泛洪。

在我们测试过的交换机中，有的除了能够对广播帧的转发进行限制之外，也能对泛洪这种操作进行限制。

而当MAC地址表中有匹配项时，该匹配项指定的交换机端口与接收端口相同则表明该数据帧的目的主机和源主机在同一广播域中，不通过交换机可以完成通信，交换机将丢弃该数据帧。

否则，交换机将把该数据帧转发到相应的端口。

1.2.1.2 交换技术局域网交换技术是作为对共享式局域网提供有效的网段划分的解决方案而出现的，它可以使每个用户尽可能地分享到最大带宽。

交换技术是在OSI七层网络模型中的第二层，即数据链路层进行操作的，因此交换机对数据包的转发是建立在MAC地址基础上的，对于IP网络协议来说，它是透明的，即交换机在转发数据包时，不知道也无须知道信源机和目标机的IP地址，只需知其物理地址。

从网络交换产品的形态来看，交换产品大致有三种：端口交换、帧交换和信元交换。

1.2.2 路由基础所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的过程。

1.2.2.1 路由原理当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。

而要送给不同IP子网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。

如果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关”的路由器上。

“缺省网关”是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的IP地址。

路由器转发IP分组时，只根据IP分组目的IP地址的网络号部分，选择合适的端口，把IP分组送出去。

同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送分组。

路由器也有它的缺省网关，用来传送不知道往哪儿送的IP分组。

这样，通过路由器把知道如何传送的IP分组正确转发出去，不知道的IP分组送给“缺省网关”路由器，这样一级一级的传送，IP分组最终将送到目的地，送不到目的地的IP分组则被网络丢弃了。

1.2.2.2 路由技术路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选择和维护路由表。

路由包含两个基本的动作：选择最佳路径和通过网络传输信息。

在路由的过程中，后者也称为（数据）交换。

交换相对来说比较简单，而选择路径很复杂。

1.2.2.3 路径选择路径选择是判定到达目的地的最佳路径，由路由选择算法来实现。

由于涉及到不同的路由选择协议和路由选择算法，要相对复杂一些。

为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。

metric是路由算法用以确定到达目的地的最佳路径的计量标准，如路径长度。

为了帮助选路，路由算法初始化并维护包含路径信息的路由表，路径信息根据使用的路由算法不同而不同。

1.2.3网卡的工作原理发送数据时，网卡首先侦听介质上是否有载波，如果有，则认为其他站点正在传送信息，继续侦听介质。

一旦通信介质在一定时间段内是安静的，即没有被其他站点占用，则开始进行帧数据发送，同时继续侦听通信介质，以检测冲突。

在发送数据期间。

如果检测到冲突，则立即停止该次发送，并向介质发送一个“阻塞”信号，告知其他站点已经发生冲突，从而丢弃那些可能一直在接收的受到损坏的帧数据，并等待一段随机时间。

在等待一段随机时间后，再进行新的发送。

如果重传多次后（大于16次）仍发生冲突，就放弃发送。

接收时，网卡浏览介质上传输的每个帧，如果其长度小于64字节，则认为是冲突碎片。

如果接收到的帧不是冲突碎片且目的地址是本地地址，则对帧进行完整性校验，如果帧长度大于1518字节或未能通过CRC校验，则认为该帧发生了畸变。

通过校验的帧被认为是有效的，网卡将它接收下来进行本地处理。

接受到报文的计算机的网卡处理报文的过程如下图所示：报文处理过程1.3 基于网卡混杂模式的嗅探原理在网络中，嗅探器接收所有的分组，而不发送任何非法分组。

它不会妨碍网络数据的流动，因此很难对其进行检测。

不过，处于混杂模式网卡的状态很显然和处于普通模式下不同。

在混杂模式下，应该被硬件过滤掉的分组文会进入到系统的内核。

是否回应这种分组完全依赖与内核。

下面我举一个现实世界中的例子，说明我们检测处于混杂模式网络节点的方法。

设想一下，在一个会议室中正在举行一个会议。

某个人把耳朵放在会议室就可以进行窃听。

当她进行窃听时，会屏住呼吸，安静地聆听会议室内所有的发言。

然而，如果此时会议室内有人忽然叫窃听者的名字：“太太”，她就可能答应“唉”。

这听起来有点好笑，但是完全可以用于网络嗅探行为的检测。

网络进行网络嗅探的节点会接收网络的所有报文，因此其内核可能对某些本该被硬件过滤的分组作出错误回应。

根据这个原理，我们可以通过检查节点对ARP报文的响应来检测网络的嗅探行为。

1.4 基于arp欺骗的嗅探原理所谓ARP欺骗，就是利用广播地址上主机保持周边计算机信息方式的固有安全弱点，使用伪造的MAC地址和IP地址伪装成ARP高速缓存中的另一台主机的技术。

根据交换机的工作原理，有以下两种基于ARP欺骗的网络嗅探方法。

(1)基于交换机的MAC-端口映射表修改的嗅探。

(2)基于中间人攻击的嗅探。

1.5 网络嗅探的安全威胁实际应用中的嗅探器分软、硬两种。

软件嗅探器便宜易于使用，缺点是往往无法抓取网络上所有的传输数据，也就可能无法全面了解网络的故障和运行情况；硬件嗅探器的通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。

目前主要使用的嗅探器是软件的。

嗅探器捕获真实的网络报文。

嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。

数据在网络上是以帧的单位传输的。

帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。

通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。

就是在这个传输和接收的过程中，每一个在LAN上的工作站都有其硬件地址。

这些地址唯一地表示着网络上的机器。

当用户发送一个报文时，这些报文就会发送到LAN 上所有可用的机器。

在一般情况下，网络上所有的机器都可以"听"到通过的流量，但对不属于自己的报文则不予响应。

如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它就是一个嗅探器。

这也是嗅探器会造成安全方面的问题的原因。

通常使用嗅探器的入侵者，都必须拥有基点用来放置嗅探器。

对于外部入侵者来说，能通过入侵外网服务器、往内部工作站发送木马等获得需要，然后放置其嗅探器，而内部破坏者就能够直接获得嗅探器的放置点，比如使用附加的物理设备作为嗅探器(例如，他们可以将嗅探器接在网络的某个点上，而这个点通常用肉眼不容易发现。

除非人为地对网络中的每一段网线进行检测，没有其他容易方法能够识别出这种连接。