学习网络知识的最好方法是在实践中观察网络,对照理论知识观察实际的网络现象,这对理解理论知识能起到非常好的积极作用。要想观察网络现象,必须借助一些网络观测工具,如嗅探器(俗称“抓包工具”)。由于本书并非仅介绍网络的理论知识,而是要借助网络嗅探器来解剖网络,通过网络嗅探器捕捉并分析这些网络数据,了解各种协议的结构和工作过程,从而了解网络,因此本小节介绍嗅探器的相关知识。
1.嗅探器的作用
嗅探器几乎和Internet 有一样久的历史。嗅探器是一种常用的收集有用数据的方法,这些数据既可以是用户的账号和密码,也可以是一些商用机密数据。随着Internet 及电子商务的日益普及,Internet 的安全也越来越受到重视。在Internet 安全隐患中扮演重要角色之一的嗅探器已受到越来越多的关注。
嗅探器就是能够捕获网络数据包的设备,因此嗅探器目前的正当用途在于分析网络的流量,以便找出所关心的网络中的潜在问题。假设网络的某一段运行得不太好,数据包发送得比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来做出精确的判断。
嗅探器的另一个重要作用,就是作为抓包工具来观察各种实际的网络现象。它可以分析各种网络协议的数据包的封装及格式,更好地理解网络层次结构及协议;可以分析各种网络服务的底层工作原理和过程等,更好地掌握各种服务的配置和性能的测量;等等。本书很好地使用了嗅探器来学习分析网络协议。
2.嗅探器的工作原理
通常,同一网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都应有一个硬件地址(该硬件地址不同于网络中存在的其他网络接口的硬件地址),同时,每个网络至少有一个广播地址来代表所有的接口地址。在正常情况下,一个合法的网络接口应该只响应以下两种数据帧:
(1)帧的目标区域具有和本地网络接口相匹配的硬件地址。
(2)帧的目标区域具有“广播地址”。(https://www.xing528.com)
在接收这两种情况的数据包时,网络接口通过CPU 产生一个硬件中断,该中断能引起操作系统注意,然后将帧所包含的数据传送给系统进一步处理。
而嗅探器就是一种能将本地网络接口状态设成“混杂”状态的软件,当网络接口处于这种“混杂”方式时,就具备了“广播地址”,它对收到的每一帧都产生一个硬件中断,以便提醒操作系统处理流经该物理媒体上的每一个数据包。
可见,嗅探器工作在网络环境中的底层,它会拦截所有正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
3.嗅探器的分类
嗅探器分为硬件和软件两大类,硬件类嗅探器有Fluke 公司生产的各种型号的网络探测设备,功能完备强大,价格比较昂贵;软件类嗅探器有很多种,而且大多是免费软件,所以应用广泛。常用的软件类嗅探器有Ethereal、Wireshark、NetXray、Snort 等,这些软件大多有对应的Windows 版本和Linux 版本。
4.使用嗅探器的目的
在本书中介绍网络嗅探器的目的不仅仅是介绍使用嗅探器,而是借助网络嗅探器来解剖网络中各种不同的数据报,从而从原理、结构和应用上介绍各种协议和服务。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
