一.嗅探器的應用范圍
嗅探器要求監聽設備的物理傳輸介質與被監聽設備的物理傳輸介質存在直接聯系或者數據包能通過路由選擇到達對方,及一個邏輯上的三方連接,具體來說有以下兩種情況:
1.監聽方與通訊方位于同一物理網絡,如局域網。
2.監聽方和通訊方存在路由或者接口關系,如通訊雙方的同一網關,連接通訊雙方的路由設備等。
因此,嗅探技術不太可能在公共網絡設備上使用,當今最普遍的嗅探行為多發生在大大小小的局域網中。
二.發生在交換式局域網內的竊聽
交換式局域網內的網絡連接設備是交換機,它連接的每臺計算機是獨立的,交換機引入了端口的概念,它會產生一個地址表存放每臺與之連接的計算機的MAC地址,除了聲明為廣播或者組播的報文,交換機在一般情況下是不會讓其他報文出現共享式局域網那樣的廣播形式發送,因此即使網卡設置為混雜模式,它也接收不到發往其他計算機的數據,因為數據的目標地址會在交換機中被識別,然后有針對性的發往表中對應地址的端口。
在這種環境中,嗅探器為了監聽特定計算機的通訊,通常采取ARP欺騙行為,這時嗅探器充當了一個被監聽對象與信息交換對象之間的轉發者的角色,它會截獲雙方發給對方的信息后經過處理在發送給目的方,這時嗅探器對雙方是透明的。