网络嗅探的工作原理 带嗅探功能的浏览器app

网络分析(又称网络嗅探、网络流量分析、协议分析、数据包分析、网络窃听等。)是捕获网络流量并进行深入检查以了解网络中发生了什么的过程。根据定义，网络分析主要是指通过一

网络分析(又称网络嗅探、网络流量分析、协议分析、数据包分析、网络窃听等。)是捕获网络流量并进行深入检查以了解网络中发生了什么的过程。根据定义，网络分析主要是指通过一台主机捕获网络上其他主机之间的数据包来监控、分析或记录网络流量。但是，在这本书里，也包括了发送数据包的技术。

网络分析仪通常用于解码通用协议数据包，并以人类可读的格式显示网络流量的内容。Sniffer是一个监控网络上传输的数据的工具。未经授权的嗅探器对网络安全构成威胁，因为它们很难被发现，可以被插入任何地方，这使它们成为黑客最喜欢的工具。除非另有说明，在本书后面的内容中，网络分析器和嗅探器之间没有严格的区别。

历史上，网络分析仪一直集中在昂贵和难以使用的硬件设备的实施。新的先进技术使得基于软件的网络分析仪的开发成为一种可行的方案，为有效的网络分析提供了一种更方便、更廉价的工具，具有很强的网络分析能力。

网络分析仪由硬件和软件组成。它可以是带有特定软件的独立硬件设备，也可以是直接安装在台式计算机或笔记本电脑上的软件。虽然每个产品之间都有差异，但基本上由以下五个基本部分组成。

硬件:大多数网络分析仪基于软件，在标准操作系统和网卡上工作。

但有些硬件网络分析仪会提供附加功能，如硬件故障分析(如循环冗余校正(CRC)错误、电压问题、网线问题、抖动、jabber、协商错误等。).除了一些网络分析仪只支持以太网或无线网络适配器，其他的可以支持多个适配器，并允许用户自定义他们的配置。根据实际使用情况，网络分析仪可能还需要集线器或电缆分接头来连接现有的网络电缆。

捕获驱动程序:这是网络分析器中负责从网络电缆捕获原始网络数据包的组件。它将过滤出要捕获的网络数据，并将捕获的数据保存在缓冲区中。这是网络分析仪的核心，没有它就无法捕获网络数据包。

Buffer:这个组件用于保存捕获的数据，直到缓冲区满了。但是，如果使用循环缓冲区，最新的数据将替换最旧的数据。

实时分析:该组件可以分析实时数据包，这意味着数据包一离开网络电缆，就可以启用该组件。一些网络分析仪也使用这个组件来监控网络性能问题。例如，网络入侵检测系统利用它来发现非法入侵活动。

解码器:该组件用于显示网络数据包的内容。它以一种更容易理解的方式描述数据包，并且是可读的。解码特定于每种协议，因此网络分析仪当前支持的可解码协议的数量会有所不同，并且网络分析仪可能经常需要添加新的解码协议。

此外，典型的网络分析仪通常以下列格式显示捕获的网络流量信息。

摘要:该窗格显示捕获内容的摘要信息，包括时间、源地址、目的地址、最高级别协议的名称和信息等。

详细信息:此窗格提供捕获的数据包中包含的每层内容的详细信息(树结构)。

数据:此窗格以十六进制和文本格式显示捕获的数据包的原始数据。

图1-1显示了Wireshark网络分析仪的主窗口。

[图片]图1-1 Wireshark网络分析仪主窗口

各种网络分析器之间的主要区别是支持的解码协议的数量、用户界面、图形和统计能力等。其他差异还包括推理能力(如专家分析特征)和分组解码质量的差异。尽管不同的网络分析器可以解码相同的协议，

取决于分组解码的质量等。虽然不同的网络分析仪可能会解码相同的协议，但实际工作质量可能并不相同。