Sniffer類經典軟體介紹

來源:互聯網
上載者:User



不知道發過沒,我再轉寄一次。

Sniffer(嗅探器)是一種常用的收集有用資料方法, 這些資料可以是使用者的帳號和密碼, 可以是一些商用機密資料等等. Sniffer可以作為能夠捕獲網路報文的裝置, ISS為Sniffer這樣定義:Sniffer是利用電腦的網路介面截獲目的地為其他電腦的資料報文的一種工具.
Sniffer根據網路的類型分為兩個類別: 1.交換環境下的Sniffer 2.共用環境下的Sniffer
交換環境下的Sniffer往往是通過對交換器進行ARP欺騙, 變成一個中間人進行截獲資料.
共用環境下的Sniffer僅僅只需要把原生網卡設定為混雜模式就可以監聽網路上所有的資料報, 而不需要進行任何欺騙行為.

  Sniffer的原理:
  交換環境的網路使用交換器(Switch)串連各個網路節點, 而共用環境的網路則採用集線器串連各個節點.
  先說共用環境吧, 共用網路也成為集線器網路, 資料報到達集線器以後, 集線器會把資料報轉寄到每個集線器的連接埠, 換句話說, 集線器串連的每個網路節點都有權利收到所有的資料報. 運行Sniffer以後, Sniffer會把網卡設定為混雜模式, 一旦設定為混雜模式, Sniffer就可以接受所有的資料報, 這樣也就達到了Sniffer的目的.
  交換環境, 通過使用交換器代替共用環境下的集線器, 能夠解決集線器的幾個安全問題, 交換器通過自己的ARP緩衝列表來決定把資料報發送到某個連接埠, 這樣就不是把一個資料報轉寄到各個連接埠了, 這樣的做法一方面大大提高了網路的效能, 另一方面也提高了安全性, 在交換環境下, 即使網卡設定為混雜模式, 也只能監聽原生資料包, 因為交換器不會把其他節點的資料報轉寄給嗅探主機了. 所以, 在交換環境下必須想辦法讓被嗅探主機的資料報發到嗅探主機來, 能夠實現這種目的方法叫做ARP欺騙(ARP Spoofing), 這種方式通過偽造ARP資料包欺騙交換器使交換器更新ARP緩衝列表達到欺騙的目的, 這樣發送到被嗅探的主機的資料報完全轉寄到嗅探主機來, 而被嗅探主機收不到任何的資料包, 為了使得能夠正常的截獲資料報, 嗅探主機除了充當嗅探的身份之外, 還要充當中間人的身份. 具體的原理和方式可以去Google上搜尋ARP欺騙.
  交換環境下在不使用ARP欺騙的情況下, 如何能夠進行整網的資料分析呢 我提供2種方法進行參考:
  1. 在根節點使用帶有鏡像功能的交換器, 這種功能的交換器可以設定為把所有的資料報都轉寄到某一指定連接埠上, 在該連接埠上可以串連運行Sniffer的主機.
  2. 如果您的根節點交換器沒有這種功能, 那麼可以在根節點上方添加一台集線器, 集線器1個連接埠串連交換器, 另外一個連接埠就可以串連運行Sniffer的主機了.
  下面的這些是我個人認為比較經典的Sniffer,值得收藏.

1. libpcap
版本: v0.8.3
更新日期: 2004-03-30
介紹: libpcap是Unix或Linux從核心捕獲網路資料包的必備工具, 它是獨立於系統的API介面, 為底層網路監控提供了一個可移植的架構, 可用於網路統計收集、安全監控、網路調試等應用. 很多Unix或Linux下的網路程式都需要libpcap才能夠運行. Windows平台下類似的程式為Winpcap.
下載路徑: Software/Network/libpcap/ (包括最新版、穩定版以及開發文檔)

2. Winpcap
版本: v3.1 Beta3
更新日期: 2004-05-15
介紹: WinPcap類似於libpcap, 支援Win32平台, Winpcap提供了3個模組:NPF(Netgroup Packet Filter,核心級的資料報過濾器),packet.dll(底層的動態串連庫),wpcap.dll(架構在packet.dll之上,提供了更方便、更直接的編程方法). 很多網路工具(Sniffer等)都是使用Winpcap進行開發的, 運行這些網路工具, 均需要安裝Winpcap. 我曾經使用過VBS調用Winpcap寫過console下的Sniffer. ~_*
下載路徑: Software/Network/Winpcap/ (包括最新版、穩定版以及開發文檔)

3. Network Associates Sniffer Portable
版本: v4.7.5 SP4
更新日期: 2004-05-20
介紹: NAI 公司出品的Sniffer, 作為NAI公司的主打產品, 價格也是不菲的. Sniffer Portable 是一系列網路故障和效能管理解決方案, 網路專業人士可以使用它對多拓樸結構和多協議網路進行維護、故障解決、最佳化調整和擴充. Sniffer Portable 軟體可以在案頭機、攜帶型電腦或者筆記本等硬體平台上運行, 並且可以利用進階自訂硬體組件確保全線速的捕獲能力. Sniffer Portable非常出色, 其區別於其它Sniffer主要為以下幾個方面:

自訂硬體:
通過自訂硬體, 使Sniffer Portable可以實現線速捕捉、過濾以及觸發功能.
詳細的報告:
可以產生基於 RMON1/RMON2 的圖形報告, 以及由 Sniffer Portable 應用程式收集的類似資料. 從頻寬使用率到潛在的網路衰減, Sniffer Reporter 提供詳盡資料來協助您規劃未來的網路需求. 有關乙太網路和令牌環的可用報告包括: 主機表、矩陣、協議分發、全域統計及其他報告.
Sniffer Voice 選項:
Sniffer Voice 是一個與 Sniffer Portable 整合的增值包,它提供語音和視頻彙總流量的必要資訊, 主要用於VoIP網路.
下載路徑: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/

4. WildPackets EtherPeek NX
版本: v2.1
更新日期: 2004-06-12
介紹: EtherPeek NX 是第一個提供資訊包捕獲過程中即時進行專業診斷和結構解碼的網路通訊協定分析器. EtherPeek NX專門為IT人員設計, 協助他們分析和診斷日益加速變化的網路資料群, 對現今網路面臨的眾多故障提供精確和最新的分析. 我收藏的這個版本中包括iNetTools和PacketGrabber兩款附帶產品, iNetTools提供了一些比較有用的網路工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款遠端資料報收集程式. 同時也提供了Peek SDK, 方便使用者自己開發外掛程式, SDK文檔在安裝路徑下1033/Documents/Peek SDK/的目錄裡.
適用於Windows的EtherPeek是一種屢受嘉獎的乙太網路流量和協議分析器. EtherPeek確立了“便於使用”的行業標準. EtherPeek 是"全球國際網路測試聯盟"從五種網路分析器中評選出的最優產品.
下載路徑: Software/Network/WildPackets.EtherPeek.NX.v2.1/

5. Iris Network Traffic Analyzer
版本: v4.0.7
更新日期: 2003-12-29
介紹: 由業內知名公司Eeye出品的Sniffer, Iris的優點在於:便於使用、全面豐富的流量狀態和報告、進階資料重建功能、精密的資料包操作和偽造能力、擴充的過濾功能、資料分析能力.
個人認為Iris在資料重建功能、資料包偽造以及資料分析能力上比較突出. 資料重建功能可以把原始的資料包還原成完整的HTTP、FTP、SMTP和POP3會話.使用Iris的資料重建功能可以很輕鬆的查看網路傳輸的Mail信件、使用者瀏覽的網頁以及未加密的FTP傳輸. Iris的資料包編輯器可以讓使用者建立自訂的或者欺騙的資料包. 資料分析能力上在於Iris 可以分析其他知名的Sniffer儲存的資料包捕捉檔案.
另外值得一提的是, Eeye公司網站上免費提供一些定義好的過濾器檔案, 大部分主要是針對病毒和蠕蟲的.
下載路徑: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/

6. TamoSoft CommView
版本: v4.1.344
更新日期: 2004-02-19
介紹: CommView系列是Windows下比較優秀的商業Sniffer產品, 支援NDIS3.0驅動標準, 功能大致上和其他一些Sniffer差不多, 另外, 結合CommView Remote Agent可以實現遠程嗅探.
TamoSoft CommView for WIFI
版本: v4.2.360
更新日期: 2004-04-09
介紹: CommView for WiFi 是CommView的特別版本, 設計用來捕獲和分析無線網路, 支援802.11a/b/g協議.
下載路徑: Software/Network/TamoSoft.CommView/
TamoSoft CommView Remote Agent
版本: v1.1.43
更新日期: 2004-03-04
介紹: CommView Remote Agent 是CommView的專用的、可選的組件, 設計用來進行遠程網路監視.
下載路徑: Software/Network/TamoSoft.CommView/

7. Ettercap
版本: NG 0.7.0 RC1
更新日期: 2004-06-14
介紹: Ettercap 是一套LAN下中間人攻擊的工具, 屬於開源項目, 支援多種平台(Linux, BSD, Windows, Solaris,Mac OS), 其功能包括嗅探活動串連、On the Fly模式的內容過濾以及其它一些有趣的欺騙功能. Ettercap 支援主動和被動多種協議的分析, 並包括其他網路和主機分析的功能. 另外, Ettercap具有外掛程式功能, 內建不少功能不錯的外掛程式, 也允許第三方編寫外掛程式. 在安裝了OpenSSL以後可以支援SSH1以及HTTPS.
下載路徑: Software/Network/Ettercap/

8. Ethereal
版本: v0.10.4
更新日期: 2004-05-13
介紹: Ethereal 是全球最流行的網路通訊協定分析器, 功能強大而且支援平台最多的一款Sniffer(支援以下平台:Windows, Linux, Solaris, Mac OS, BSD, BeOS, Tru64 Unix, HP-UX, AIX, Irix等), 屬於開源項目. 支援分析的協議有512種之多, 支援即時和非即時兩種模式.Windows下運行需要Winpcap庫.
下載路徑: Software/Network/Ethereal/ (包括原始碼和Windows下的安裝檔案)

9. Packetyzer
版本: v2.0.0
更新日期: 2004-04-22
介紹: Packetyzer 是為數不多的開源的Windows平台下的優秀Sniffer, 支援483種協議, 與Neutrino Sensor結合在一起可以截獲和分析802.11資料包, 我個人比較喜歡Packetyzer的資料報標記色彩功能. 需要安裝Winpcap.
下載路徑: Software/Network/Packetyzer/ (包括原始碼和安裝檔案)

10. Cain & Abel
版本: v2.5 Beta56
更新日期: 2004-06-14
介紹: Cain & Abel 是一套Windows平台下強大的密碼截獲與破解工具, 只所以我把它歸納為Sniffer裡面來, 主要是因為Cain & Abel主要的功能在於Sniffer方面, 它支援共用環境和交換環境下進行截獲, Cain 和 Abel是分開的的兩個工具(Cain作為用戶端,Abel作為服務端). 功能非常之強大, 詳細功能請訪問: http://www.oxid.it/cain.html . 在新的版本中增加了無線網路的支援. 運行需要Winpcap.
下載路徑: Software/Network/Cain&Abel/

11. TCPDump / WinDump
版本: v3.8.3
更新日期: 2004-03-30
介紹: Tcpdump是一款眾人皆知和受人喜歡的基於命令列的網路資料包分析和嗅探工具. 它能把匹配規則的資料包的包頭給顯示出來, 使用TCPDump去尋找網路問題或者去監視網路上的狀況. WinDump是Tcpdump在Windows平台上的移植版.
下載路徑: Software/Network/TCPDump/ (包括TCPDump和WinDump)

12. dsniff
版本: v2.4 Beta2
更新日期: 2004-06-14
介紹: dsniff 是一個 UNIX 可執行工具的集合, 它是為執行網路審核和網路滲透而設計的. 擁有ARP欺騙功能, 應該也能算是最早具有交換環境下嗅探功能的Sniffer了. 作者已經在 OpenBSD、Red Hat Linux 和 Solaris 下對它進行了測試. 一個早期版本(1.8)已經被移植到 Windows 下. dsniff 最早由 Dug 於 1999 年 12 月發布. dsniff 依賴於一些第三方軟體包, 包括 Berkeley DB、OpenSSL、libnet、和 libnids.
下載路徑: Software/Network/dsniff/ (包括2.3,2.4b1,2.4b2以及1.8 for Windows版本)

13. sniffit
版本: v0.37 Beta
更新日期: 1998-07-17
介紹: Sniffit是由Lawrence Berkeley Laboratory開發的,可以在Linux、Solaris、SGI、Windows等各種平台啟動並執行Sniffer,提供了不少商業版Sniffer所沒有的功能,支援指令碼和外掛程式功能. 另外可以使用tod(Touch of Death)外掛程式, tod通過向目標機器發送RST包來切斷目標機器的TCP串連. Windows版本由Symbolic遷移, 運行需要Winpcap.
下載路徑: Software/Network/sniffit/

14. Snarp
版本: v0.9h
更新日期: 2001-03-21
介紹: Windows 平台下交換網路的嗅探器. 具體的說明請參照Readme.txt.
下載路徑: Software/Network/Snarp/

15. ARPSniffer
版本: v0.5
更新日期: 2002-08-12
介紹: 小榕寫的Windows 平台下交換網路的嗅探器. 另外在流光5中, 增加了Remote ANS(Remote ARP Network Sniffer)功能,這個工具採用了Sensor/GUI的結構. 運行需要Winpcap.
下載路徑: Software/Network/ARPSniffer/

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.