防範網路嗅探

防範網路嗅探

作者：自由的豬

最普遍的安全威脅來自內部，同時這些威脅通常都是致命的，其破壞性也遠大於外部威脅。其中網路嗅探對於安全防護一般的網路來說，操作簡單同時威脅巨大，很多駭客也使用嗅探器進行網路入侵的滲透。

網路嗅探器對資訊安全的威脅來自其被動性和非幹擾性，使得網路嗅探具有很強的隱蔽性，往往讓網路資訊泄密變得不容易被發現。本文分析了網路嗅探的原理，分析了一些執行個體，提出解決方案和介紹實踐經驗。

一 嗅探器攻擊原理

嗅探器(sniffer) 是利用電腦的網路介面截獲目的地為其他電腦的資料報文的一種技術。它工作在網路的底層，把網路傳輸的全部資料記錄下來. 嗅探器可以協助網路系統管理員尋找網路漏洞和檢測網路效能。嗅探器可以分析網路的流量,以便找出所關心的網路中潛在的問題。

不同傳輸介質的網路的可監聽性是不同的。一般來說，乙太網路被監聽的可能性比較高，因為乙太網路是一個廣播型的網路；FDDI Token被監聽的可能性也比較高，儘管它並不是一個廣播型網路，但帶有令牌的那些資料包在傳輸過程中，平均要經過網路上一半的電腦；微波和無線網被監聽的可能性同樣比較高，因為無線電本身是一個廣播型的傳輸媒介，彌散在空中的無線電訊號可以被很輕易的截獲。一般情況下，大多數的嗅探器至少能夠分析下面的協議：

標準乙太網路

TCP/IP

IPX

DECNET

FDDI Token

微波和無線網。

實際應用中的嗅探器分軟、硬兩種。軟體嗅探器便宜便於使用，缺點是往往無法抓取網路上所有的傳輸資料(比如片段)，也就可能無法全面瞭解網路的故障和運行情況；硬體嗅探器的通常稱為協議分析儀，它的優點恰恰是軟體嗅探器所欠缺的，但是價格昂貴。目前主要使用的嗅探器是軟體的。

嗅探器捕獲真實的網路報文。嗅探器通過將其置身於網路介面來達到這個目的--例如將乙太網路卡設定成雜收模式。資料在網路上是以幀(Frame)的單位傳輸的。幀通過特定的稱為網路驅動程式的軟體進行成型，然後通過網卡發送到網線上。通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的乙太網路卡捕獲到這些幀，並告訴作業系統幀的到達，然後對其進行儲存。就是在這個傳輸和接收的過程中，每一個在LAN上的工作站都有其硬體地址。這些地址唯一地表示著網路上的機器。當使用者發送一個報文時，這些報文就會發送到LAN上所有可用的機器。在一般情況下，網路上所有的機器都可以"聽"到通過的流量，但對不屬於自己的報文則不予響應。如果某在工作站的網路介面處於雜收模式，那麼它就可以捕獲網路上所有的報文和幀，如果一個工作站被配置成這樣的方式，它（包括其軟體）就是一個嗅探器。這也是嗅探器會造成安全方面的問題的原因。通常使用嗅探器的入侵者，都必須擁有基點用來放置嗅探器。對於外部入侵者來說，能通過入侵外網伺服器、往內部工作站發送木馬等獲得需要，然後放置其嗅探器，而內部破壞者就能夠直接獲得嗅探器的放置點，比如使用附加的物理裝置作為嗅探器(例如，他們可以將嗅探器接在網路的某個點上，而這個點通常用肉眼不容易發現。除非人為地對網路中的每一段網線進行檢測，沒有其他容易方法能夠識別出這種串連(當然，網路拓撲映射工具能夠檢測到額外的IP地址)。

嗅探器可能造成的危害：

嗅探器能夠捕獲口令；

能夠捕獲專用的或者機密的資訊；

可以用來危害近端分享的安全，或者用來擷取更進階別的存取權限；

分析網路結構，進行網路滲透。

二 嗅探器攻擊執行個體

Linux、Unix環境下的嗅探器有：Tcpdump、Nmap、Linuxsniffer、hunt、sniffit 等。Linsniffer是一個簡單實用的嗅探器。它主要的功能特點是用來捕捉使用者名稱和密碼，它在也這方面非常出色。註：編譯該軟體需要所在的Linux系統上必須的網路包含檔案（tvp.h、ip.h、inet.hif_t、her.h）。 雖然這個工具便於使用，但是Linsniffer需要完整的IP標頭檔，包括常常儲存在/usr/include/net和 /usr/include/netinet的標頭檔，在編譯前確保PATH變數包含/usr/include。

獲得這個軟體後，進入src目錄，使用下面的命令來編譯Linsniffer： $ cc linsniffer.c -o linsniffer

要運行Linsniffer，使用下面的命令：$ linsniffer

啟動以後linsniffer將建立一個空檔案：tcp.log來儲存嗅探結果。

舉例說明，在一台測試的Linux伺服器中建立一個名為“goodcjh”的使用者，密碼為“fad”。然後在主機CJH上使用該使用者來登入這台Linux伺服器，並進行一些常見的使用者操作。下面是進行的一次ftp過程：

CJH$ ftp www.red.net
Connected to www.red.net.
220 www.red.net FTP server Wed Aug 19 02:55:52 MST 2002) ready.
Name (www.red.net:root): goodcjh
331 Password required for goodcjh.
Password:
230 User goodcjh logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls -al
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 .
drwxr-xr-x 6 root root 1024 May 20 19:28 ..
-rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
-rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
-rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
-rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
-rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
-rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc
-rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
-rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
-rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
-rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg
226 Transfer complete.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 .
drwxr-xr-x 6 root root 1024 May 20 19:28 ..
-rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
-rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
-rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
-rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
-rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
-rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc
-rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
-rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
-rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
-rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg
226 Transfer complete.
ftp> ls -F
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 14
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 ./
drwxr-xr-x 6 root root 1024 May 20 19:28 ../rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
-rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
-rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
-rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
-rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
-rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc*
-rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
-rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
-rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
-rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh*
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon/
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg/
226 Transfer complete.
ftp> cd lg
250 CWD command successful.
ftp> ls -F
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
total 8
drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 ./
drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 ../rw-r--r-- 1 goodcjh goodcjh 70 Aug 22 2002 lg3_colors
-rw-r--r-- 1 goodcjh goodcjh 629 Aug 22 2002 lg3_prefs
-rw-r--r-- 1 goodcjh goodcjh 728 Aug 22 2002 lg3_soundPref
-rw-r--r-- 1 goodcjh goodcjh 2024 Aug 22 2002 lg3_startup
drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:15 lg_layouts/
226 Transfer complete.
ftp> cd lg_layouts
250 CWD command successful.
 
上面是一個典型的使用者操作過程。現在我們看看Linsniffer產生的嗅探結果:

CJH => www.red.net [21]
USER goodcjh
PASS fad
SYST
PORT 172,16,0,1,4,192
LIST -al
PORT 172,16,0,1,4,193
LIST
PORT 172,16,0,1,4,194
LIST -F
CWD lg
PORT 172,16,0,1,4,195
LIST -F
 
輸出的內容是很直觀的。首先它記錄這是從主機 CJH 到 Linux 主機 www.red.net 的 FTP 串連：主機 CJH => linux.red.net [21]。然後，Linsniffer 捕獲了 goodcjh 的使用者名稱和密碼。最後，Linsniffer 記錄了使用者 goodcjh 使用的每一個命令：

SYST
PORT 172,16,0,1,4,192
LIST -al
PORT 172,16,0,1,4,193
LIST
PORT 172,16,0,1,4,194
LIST -F
CWD lg
PORT 172,16,0,1,4,195
LIST -F

可見，Linsniffer 的輸出結果非常簡潔，並且非常適於竊聽密碼及記錄常見的活動。但缺點是不適合於進行更加複雜的分析。

嗅探器可以協助網路系統管理員尋找網路漏洞和檢測網路效能。嗅探器是一把雙刃劍,它也有很大的危害性。嗅探器的攻擊非常普遍。一個位置好的嗅探器可以捕獲成千上萬個口令。1994年一個最大的嗅探器攻擊被發現. 這次攻擊被認為是危害最大的一次，許多可以FTP，Telnet或遠程登陸的主機系統都受到了危害。在這件事故(攻擊者處於Rahul.net)中，嗅探器只運行18小時。在這段時間裡，有幾百台主機被泄密。“受攻擊者包括268個網站，包括MIT、美國海軍和空軍、Sun、IBM、NASA、和加拿大、比利時大學一些主機……”

三 嗅探器的安全防範

1、檢測嗅探器。

檢測嗅探器可以採用檢測混雜模式網卡的工具。由於嗅探器需要將網路中入侵的網卡設定為混雜模式才能工作，能夠檢測混雜模式網卡的AntiSniff是一個工具。軟體可以在http://www.l0pht.com/antisniff/下載，另外還有詳細的使用說明。

證明你的網路有嗅探器有兩條經驗：

網路通訊丟包率非常高： 通過一些網管軟體，可以看到資訊包傳送情況，最簡單是ping命令。它會告訴你掉了百分之多少的包。如果你的網路結構正常，而又有20％－30％資料包丟失以致資料包無法順暢的流到目的地。就有可能有人在監聽，這是由於嗅探器攔截資料包導致的。

網路頻寬出現反常：通過某些頻寬控制器，可以即時看到目前網路頻寬的分布情況，如果某台機器長時間的佔用了較大的頻寬，這台機器就有可能在監聽。應該也可以察覺出網路通訊速度的變化。

對於SunOS、和其它BSD Unix系統可以使用lsof(該命令顯示開啟的檔案)來檢測嗅探器的存在。lsof的最初的設計目地並非為了防止嗅探器入侵，但因為在嗅探器入侵的系統中，嗅探器會開啟其輸出檔案，並不斷傳送資訊給該檔案，這樣該檔案的內容就會越來越大。如果利用lsof發現有檔案的內容不斷的增大，我們就懷疑係統被嗅探。因為大多數嗅探器都會把截獲的"TCP/IP"資料寫入自己的輸出檔案中。這裡可以用：ifconfig le0檢查連接埠.然後用：

＃/usr/sbin/lsof >test

＃vi test 或 grep [開啟的連接埠號碼]

檢測檔案大小的變化。

注意如果你確信有人接了嗅探器到自己的網路上，可以去找一些進行驗證的工具。這種工具稱為時域反射計量器(Time Domaio Reflectometer，TDR)。TDR對電磁波的傳播和變化進行測量。將一個TDR串連到網路上，能夠檢測到未授權的擷取網路資料的裝置。不過很多中小公司沒有這種價格昂貴的工具。

2、將資料隱藏，使嗅探器無法發現。

嗅探器非常難以被發現, 因為它們是被動的程式一個老練的攻擊者可以輕易通過破壞記錄檔來掩蓋資訊。它們並不會給別人留下進行核查的尾巴.。完全主動的解決方案很難找到，我們可以採用一些被動的防禦措施：

安全的拓撲結構；

會話加密；

用靜態ARP或者IP－MAC對應表代替動態。

安全的拓撲結構：

嗅探器只能在當前網路段上進行資料擷取。這就意味著，將網路分段工作進行得越細，嗅探器能夠收集的資訊就越少。但是，除非你的公司是一個ISP，或者資源相對不受限制，否則這樣的解決方案需要很大的代價。網路分段需要昂貴的硬體裝置。有三種網路裝置是嗅探器不可能跨過的：交換器、路由器、橋接器。我們可以通過靈活的運用這些裝置來進行網路分段。大多數早期建立的內部網路都使用HUB集線器來串連多台工作站，這就為網路中資料的泛播(資料向所有工作站流通)，讓嗅探器能順利地工作提供了便利。普通的嗅探器程式只是簡單地進行資料的捕獲，因此需要杜絕網路資料的泛播。 隨著交換器的價格下降，網路改造變得可行且很必要了。不使用HUB而用交換器來串連網路，就能有效地避免資料進行泛播，也就是避免讓一個工作站接收任何非與之相關的資料。 對網路進行分段，比如在交換器上設定VLAN，使得網路隔離不必要的資料傳送。一般可以採用20個工作站為一組，這是一個比較合理的數字。然後，每個月人為地對每段進行檢測(也可以每個月採用MD5隨機地對某個段進行檢測)。網路分段只適應於中小的網路。如果有一個500個工作站的網路，分布在50個以上的部門中，那麼完全的分段的成本上是很高的。

會話加密：

會話加密提供了另外一種解決方案。不用特別地擔心資料被嗅探，而是要想辦法使得嗅探器不認識嗅探到的資料。這種方法的優點是明顯的：即使攻擊者嗅探到了資料，這些資料對他也是沒有用的。S/key和其它一次性口令技術一樣，使竊聽帳號資訊失去意義。S/key的原理是遠程主機已得到一個口令（這個口令不會在不安全的網路中傳輸），當使用者串連時會獲得一個"挑戰"(challenge)資訊，使用者將這個資訊和口令經過某個演算法運算，產生正確的"響應"(response)資訊（如果通訊雙方口令正確的話）。這種驗證方式無需在網路中傳輸口令，而且相同的"挑戰/響應"也不會出現兩次。S/key可從以下網址得到：ftp://thumper.bellcore.com/pub/nmh/skey。它的缺點是所有帳號資訊都存放在一台主機中，如果該主機被入侵，則會危及整個網路安全。另外配置它也不是一件簡單的事情。Kerberos包括流加密rlogind和流加密telnetd等，它可以防止入侵者捕獲使用者在登入完成後所進行的操作。 在加密時有兩個主要的問題：一個是技術問題，一個是人為問題。

技術是指加密能力是否高。例如，64位的加密就可能不夠，而且並不是所有的應用程式都整合了加密支援。而且，跨平台的加密方案還比較少見，一般只在一些特殊的應用之中才有。人為問題是指，有些使用者可能不喜歡加密，他們覺得這太麻煩。使用者可能開始會使用加密，但他們很少能夠堅持下。總之我們必須尋找一種友好的媒介-使用支援強大這樣的應用程式，還要具有一定的方便使用性。使用secure shell、secure copy或者IPV6協議都可以使得資訊安全的傳輸。傳統的網路服務程式，SMTP、HTTP、FTP、POP3和Telnet等在本質上都是不安全的，因為它們在網路上用明文傳送口令和資料，嗅探器非常容易就可以截獲這些口令和資料.SSH的英文全稱是Secure Shell。通過使用SSH，你可以把所有傳輸的資料進行加密，這樣"中間伺服器"這種攻擊方式就不可能實現了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的資料是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的"通道"。SSH綁定在連接埠22上，其串連採用協商方式使用RSA加密。身份鑒別完成之後，後面的所有流量都使用IDEA進行加密。SSH（Secure　Shell）程式可以通過網路登入到遠程主機並執行命令。SSH的加密隧道保護的只是中間傳輸的安全性，使得任何通常的嗅探工具軟體無法擷取發送的內容。它提供了很強的安全驗證可以在不安全的網路中進行安全的通訊.所以它是防範嗅探器的一種方法。

用靜態ARP或者IP－MAC對應表代替動態ARP或者IP－MAC對應表。

該措施主要是進行滲透嗅探的防範，採用諸如ARP欺騙手段能夠讓入侵者在交換網路中順利完成嗅探。網路系統管理員需要對各種欺騙手段進行深入瞭解，比如嗅探中通常使用的ARP欺騙，主要是通過欺騙進行ARP動態緩衝表的修改。在重要的主機或者工作站上設定靜態ARP對應表，比如win2K系統使用arp命令設定，在交換器上設定靜態IP-MAC對應表等，防止利用欺騙手段進行嗅探的手法。

除了以上三點另外還要重視重點地區的安全防範 。這裡說的重點地區，主要是針對嗅探器的置放位置而言。入侵者要讓嗅探器發揮較大功效，通常會把嗅探器放置在資料交彙集中地區，比如網關、交換器、路由器等附近，以便能夠捕獲更多的資料。因此，對於這些地區就應該加強防範，防止在這些地區存在嗅探器。

四 防範嗅探器應用案例

1、Linux下SSH安裝

在www.ssh.com，下載最新版本軟體包SSH2，最好下載來源程式軟體包自己進行編譯。

# tar -zxvf ssh2-2.4.0.tar.gz
# cd ssh2-2.4.0
# ./configure ;# make ;#make install

這一過程實際上將伺服器軟體包及用戶端軟體一起安裝了，不必再次安裝用戶端軟體包。 安裝程式將SSH2軟體包安裝在/usr/local/bin及/usr/local/sbin下。

2、配置

SSH的設定檔在/etc/ssh2下，其中包括sshd2的主機公開金鑰和私密金鑰：hostkey和hostkey.pub。這兩個檔案通常是在安裝SSH時自動產生的。你可以通過下面的命令重新來產生它們：（而ssh2_config 檔案一般情形下無需修改）

# rm /etc/ssh2/hostkey*
# ssh-keygen2 -P /etc/ssh2/hostkey

3、啟動SSH伺服器

在UNIX/Linux環境下，伺服器程式放置在/usr/local/sbin目錄下，啟動方法如下：

# sshd

# ps x

如果不希望每次重啟動系統，都要手工運行啟動,在rc.local中加入一行/usr/local/sbin/sshd。

4、使用SSH

安裝好ssh之後，我們可以很方便地在遠程伺服器上利用ssh獲得一個shell。例如，假設我執行：

# ssh cjh@red.forge.net

首先看到系統提示輸入密碼，輸入後我就在遠程機器上獲得了一個shell。從這裡開始，ssh的會話過程和telnet會話相似。但SSH能夠確信所有在我和伺服器之間傳輸的資料都已經經過加密。如果你很熟悉rsh和它的選項，那麼你很快就可以開始使用ssh。ssh被設計成和rsh具有相同的運作方式。一般情況下，能夠用rsh作為傳輸連接埠的程式都允許用ssh來替代（例如rsync）。安全複製命令scp的用法也很簡單，它的文法和cp的文法很相似。例如，要把my.php檔案複製到cjh.org伺服器，則我們使用如下命令：

# scp my.php cjh@cjh.org:/usr/local/apache/htdocs/

此時，我們將看到密碼輸入提示（正如ssh）。接下來，本地機器目前的目錄下的my.php檔案被複製到cjh.org的/usr/local/apache/htdocs/，使用的登入名稱字是cjh。從使用上看，與Telnet沒有什麼不同之處。而且有了SSH用戶端軟體，如果你要上傳檔案，不必向以前一樣再開一個FTP視窗，再次認證，然後上傳檔案。使用SSH用戶端內建的scp工具，就可以直接將檔案上傳到遠端伺服器上。

scp命令是SSH中最方便有用的命令，如果告訴你在兩台伺服器之間直接傳送檔案，僅用scp-個命令就完全解決.你可以在一台伺服器上以root身份運行:

#scp servername：/home／ftp／pub／file1．／

這樣就把另一台伺服器上的檔案/home／ftp／pub／file1直接傳到本機器的目前的目錄下。

以上我們講的是技術方面，對於網路的安全，管理顯得格外重要。除網路系統管理員外其他人員禁止在網路中使用任何嗅探工具包括一些企業進階管理員，是完全有必要的。這能從制度上明確限制一些工作站主動使用嗅探器的情況。

對於網路系統管理員來說更重要的是要建立安全意識，瞭解你的使用者（系統管理員越熟悉自己的使用者和使用者的工作習慣，就越能快速發現不尋常的事件，而不尋常的事件往往意味著系統安全問題。）、定期檢查你網路中的重點裝置如伺服器,交換器,路由器。最好配備一些專業工具比如前邊介紹的TDR。網路系統管理員還要給使用者提供安全服務。對使用者要定期發送安全郵件,發送郵件是讓使用者具有安全意識。管理意識是提高安全性的另-個重要因素。如果使用者的管理部門對安全要求不強烈，只靠系統管理員也不行。最好讓管理部門建立一套每個人都必須遵守的安全標準，如果系統管理員在此基礎再建立自己的安全規則，就強化了安全。管理有助於加強使用者意識，讓使用者明確，資訊是有價值的資產。系統管理員應當使安全保護方法對使用者儘可能地簡單，提供一些提高安全的工具。網路系統管理員要建立合理的使用者痛苦量（痛苦量是指安全限制引起的抵制的函數），不能僅僅從技術上考慮問題，還要站在使用者的觀點上考慮。例如，我們能夠想每次Macintosh使用者登入時都使用S／Key嗎?使用者知道的關於安全的知識越多，網路安全就更有保障。

五 總結

嗅探器技術被廣泛應用於網路維護和管理方面，它工作的時候就像一部被動聲納，默默的接收看來自網路的各種資訊，通過對這些資料的分析，網路系統管理員可以深入瞭解網路當前的健全狀態，以便找出網路中的漏洞。在網路安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防範嗅探器的危害.嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發現。對於一個安全性要求很嚴格的企業，在使用技術防範的同時安全管理的制度建設也是非常重要的。

嗅探器技術並非尖端科技，只能說是安全領域的基礎課題。對嗅探器技術的研究並不要求太多底層的知識，它並不神秘。實際上我們的一些網管軟體，和一些網路測試儀都使用了嗅探器技術。只是許多電腦軟體供應商對其一直諱莫如深。迴避這個基本事實是不明智的。瞭解掌握它才是關鍵。這也筆者的寫作動機。