sniffer中文翻译过来就是嗅探器在当前网络技术中使用得非常得广泛。sniffer既可以做为网络故 障的诊断工具也可鉯作为黑客嗅探和监听的工具。最近两年网络监听(sniffer)技术出现了新的 重要特征。传统的sniffer技术是被动地监听网络通信、用户名和口令而新嘚sniffer技术出现了主 动地控制通信数据的特点，把sniffer技术扩展到了一个新的领域Sniffer 题。例如：QOS的实现可以在WINSOCK　LSP上 然而，这样做的话程序必须察看和操作每个包，而不能依靠WINSOCK　LSP他们要以一种接 近核心态的方法来实现。 2、win2000包过滤接口 　　WIN2000包过滤接口提供了一种机制这种机制允許用户态程序或者服务指定一系列的过滤 原则，这些过滤原则会被低层的TCPIP实现用来过滤包这种过滤工主要是对IP原地址、目标地址 　　不過这样的实现是比较费力的，其中有个困难就是微软的WINSOCK　DLL里面经常有一些未 公开的内部使用的函数一个WINSOCK代替DLL至少要处理其中的一些未公開函数。 　　随着WINDOWS系统结构的变化有些方面得到了加强，比如系统文件保护这使得这种技术 变得不太可行。总的说来使用WINSOCK　DLL替换不昰一个坏主意。（Xfilter就是用的这种技 术原代码可能在网上有流传，我以前看到过的） 二、kernel-mode网络包过滤 1、Transport Data Interface （TDI） 　　这主要是一个直接在核心TCPIP驅动上面的一层过滤驱动在WINXP上TDI驱动是一种传统的 NT风格的驱动，使用了基于IRP的API这里有两种方法来实现。 status; } //真正的过滤函数是这个在最早嘚IRPdispatch里面传递的这个函数。 //这个函数就是系统传递了一个包头和包内容和包长度之类的东西你可以在里面进行一些处理， //假如你想让这个包通过的话就返回PF_FORWARD，或者你不想让包通过的话就返回PF_D ROP就拦住了。是不是 //听起来很简单 winpcap也是用的NDIS，将自己注册为一个协议处理驱动(茬原代码的driverentry里面能看到) 又：上面这个drvipflt这个代码的过滤部分不知道大家是不是看起来很熟悉，是的是抄的那个nu mege的驱动开发包里面的一个包過滤程序里的，看来老外也是喜欢到处抄的 ruike: 读研的时候专门搞过nids，因此对winpcap可以说是情有独钟这个东东确实好用，但也确实很烦 人它囿一个致命的缺陷就是只适用于共享式以太网络，对于交换式网络下的数据则无能为力我 专门做过测试，在使用交换机连接的局域网下只能监听到本网段内的数据，而对于来自其他网段 的数据则无法监听除非你把probe接到交换机之前或者接到交换机的console口上，不过那样的 弊端是显而易见的 所以，winpcap的应用还是很有局限性的！ kingzai: 实现交换网络的嗅探也有不少方法的 1.将你的抓包程序放在网关或代理服务器上这样抓到整个局域网的包。 2.对交换机实行端口映射将该端口的数据包全部映射到某个监控机器上。 3.在交换机和路由器之间连接一个HUB,这样数据將以广播的方式发送 4.实行ARP欺骗，即在你的机器上实现整个包的转发不过会降低整个局域网的效率。 warton: 嗅探对策： 光说嗅探了我说说反嗅探吧：） 1.检查网内的主机上是否将网卡设置为混合模式（有很多工具可以做到，AntiSniff,Promiscan,S entinel等） 2.对EtterCap这样的交换网络嗅探器（进行ARP欺骗）可以采用防止ARP欺骗的方法来对待 3.SSH加密通道 4.SSL 5.VPN 6.PGP等 目前这用利用网卡混合模式来进行sniffer的软件看来作用不太大了，所以应该多考虑交换网络的可 行办法： MAC Flooding,MAC Duplicating,ARP欺騙等等 这些方法实现起来就不怎么容易了欢迎有兴趣的朋友提供相关的资料，呵呵！ netsys: 难道没人用过RAW SOCKET 吗 虽然WINPCP功能很大，但RAW SOCKET可以让你直接叻SOCKET的原生机制 实际上我提的那两个问题是很容易解决的。 netsys2: 对于一些混合模式的SNIFFER，大多采用发送特殊ARP包的方式正确的网卡不会响应，洏处于 混合模式的网卡则会响应 当然，ARP与IP处于同层因此你不能用RAW SOCKET完成，你需WinPcap支持工作 下面是部分代码 AnsiString msgStatus; 哦，交换机是以MAC地址进行交换嘚不是IP那一层的，要IP已经路由器了 现在交换机便宜了因此以后你想用sniffer抓密码概率不大了，不过还能多公司仍然是交换机和H UB一起用的這样小范围内是有效地，至于 ADSL CABLE FTTB,我的FTTB是用华为设计的设备 ,呵呵,不仅仅工网IP,只有我和交换机两个MAC(这次中国人干的不错),没希望找到第三者,很安全,泹 不都这样安全,很多人的网络还是很糟糕的. 很多加密协议可以用来提高安全性,但老的POP3,SMTP,HTTP,FTP这种协议应用广泛,不可能在短 时间内完全取代,而且加密也是有待价的,所以对于要求较高的场合,才会加密. 不过sniffer不是给大家偷密码用的,我当初用来学习网络,看看包的样子,后来就用来当作网管工具, 汾析网络的健康与否,其实这样的话,你知道,很有可能sniffer就是接在我需要探测的网络上,听诊器 吗,到处都听听,呵呵,因此即使用了交换机,sniffer仍然是有用處的,但不是抓密码!! Wincap很简单,大3的学生不要怕,去他的网站看看,有例子的,VC6编译,BCB也行的,把lib的格式转 换一下,不过写这种程序,你最好先熟悉协议,很多协議在linux里有现成的源代码,主要是一些struct 吧,移植时注意VC可不是gcc,有些c的高级语法,编译选项要注意,否则差一个byte你就得不到正确的 结果. 如果你搞不到sniffer,Win2000 Server也囿网络包查看器的,不比sniffer强大,但简单的东西入手 也快. 反嗅探和嗅探技术其实很old了,呵呵,不过CSDN经常old的. 注意不要干坏事,有矛必有盾