什么是包嗅探器，它们是如何工作的?

包嗅探器或协议分析器是网络技术人员用来诊断网络相关问题的工具。黑客使用包嗅探器的目的不那么高尚，比如监视网络用户流量和收集密码。

包嗅探器有几种形式。网络技术人员使用的一些包嗅探器是单一用途的硬件解决方案。相比之下，其他包嗅探器是运行在标准消费级计算机上的软件应用程序，使用主机设备上提供的网络硬件执行包捕获和注入任务。

数据包嗅探器是如何工作的

包嗅探器的工作原理是通过其主机上的有线或无线网络接口拦截和记录网络流量。

在有线网络上，可以捕获的信息取决于网络结构．包嗅探器可能能够看到整个网络或某一段网络流量;这取决于网络交换机配置。在无线网络上，包嗅探器通常一次捕获一个通道，除非主机有多个允许多通道捕获的无线接口。

一旦捕获到原始数据包数据，数据包嗅探软件就会对其进行分析，并将其以可读的形式呈现出来，以便使用该软件的人能够理解它。分析数据的人员可以查看两个或多个交互的详细信息网络中的节点．

网络技术人员使用这些信息来确定故障的位置，例如确定哪个设备未能响应网络请求。

黑客使用嗅探器来窃听数据包中的未加密数据，以查看双方正在交换什么信息。它们还可以捕获密码和身份验证令牌等信息，如果它们是明文发送的话。黑客还会捕获数据包，以便稍后在重播、中间人和包注入攻击中回放，而一些系统很容易受到这些攻击。

包嗅探常用的软件工具

像大多数人一样，网络工程师和黑客喜欢免费的东西，这就是为什么开源和免费的嗅探应用程序通常是他们选择的工具。一个流行的开源产品是Wireshark，之前被称为Ethereal。用它来嗅探你的信息包，保存到限制文件，然后进行分析。

使用嗅探器保护网络及其数据免受黑客攻击

如果您是网络技术人员或管理员，并且希望查看网络上是否有人在使用嗅探器工具，请查看名为Antisniff．它检测网络上的网络接口是否已被放入混合模式．别笑;这是它的实际名称，它是包捕获任务所需的模式。

另一种保护网络流量不被监听的方法是使用加密，例如SSL (Secure Sockets Layer)或传输层安全(TLS)．加密不会阻止包嗅探器看到源和目的地信息，但它可以加密数据包的让嗅探器看到的都是胡言乱语。

任何修改或向数据包中注入数据的尝试都会失败，因为篡改加密数据会导致错误，当加密信息在另一端解密时，这些错误就很明显了。

嗅探器是诊断原始网络问题的好工具。不过，它们在黑客攻击方面也很有用。对于安全专业人员来说，熟悉这些工具非常重要，这样他们才能了解黑客如何在他们的网络上使用它们。

信息包嗅探器收集的信息类型

虽然包嗅探器是网络工程师的贸易工具，但它们也普遍存在于一些信誉良好的公司杀毒软件以及恶意邮件附件中的恶意软件。

包嗅探器几乎可以收集任何类型的数据。它们可以记录密码和登录信息，以及计算机用户访问过的网站和用户在网站上浏览的内容。它们可以被公司用来跟踪员工的网络使用情况，并扫描进入的流量以查找恶意代码。在某些情况下，包嗅探器可以记录网络上的所有流量。