一.嗅探器的应用范围
嗅探器要求监听设备的物理传输介质与被监听设备的物理传输介质存在直接联系或者数据包能通过路由选择到达对方,及一个逻辑上的三方连接,具体来说有以下两种情况:
1.监听方与通讯方位于同一物理网络,如局域网。
2.监听方和通讯方存在路由或者接口关系,如通讯双方的同一网关,连接通讯双方的路由设备等。
因此,嗅探技术不太可能在公共网络设备上使用,当今最普遍的嗅探行为多发生在大大小小的局域网中。
二.发生在交换式局域网内的窃听
交换式局域网内的网络连接设备是交换机,它连接的每台计算机是独立的,交换机引入了端口的概念,它会产生一个地址表存放每台与之连接的计算机的MAC地址,除了声明为广播或者组播的报文,交换机在一般情况下是不会让其他报文出现共享式局域网那样的广播形式发送,因此即使网卡设置为混杂模式,它也接收不到发往其他计算机的数据,因为数据的目标地址会在交换机中被识别,然后有针对性的发往表中对应地址的端口。
在这种环境中,嗅探器为了监听特定计算机的通讯,通常采取ARP欺骗行为,这时嗅探器充当了一个被监听对象与信息交换对象之间的转发者的角色,它会截获双方发给对方的信息后经过处理在发送给目的方,这时嗅探器对双方是透明的。