数据包嗅探器(也称为数据包分析器、协议分析器或网络分析器)是用于监控网络流量的硬件或软件。嗅探器的工作原理是检查在网络上的计算机之间以及联网计算机和更大的互联网之间流动的数据包。这些数据包是针对并发送给特定机器的,但在“混杂模式”下使用数据包嗅探器,可以让 IT 专业人员、最终用户或恶意入侵者检查任何数据包,无论其目的地在何处。可以通过两种方式配置嗅探器。第一种是“未过滤”,意味着嗅探器将捕获所有可能的数据包,并将其写入本地硬盘以供稍后检查。第二种是“过滤”模式,意味着分析器仅捕获包含特定数据元素的数据包。
数据包嗅探器可以在有线和无线网络上使用,功效取决于它们能够在网络安全协议的作用下“看到”多少信息。在有线网络上,嗅探器可以访问每台连接机器的数据包,也可能受到网络交换机布局的限制。在无线网络上,大多数嗅探器一次只能扫描一个信道,但使用多个无线接口可以扩展这一能力。
普遍性和风险因素
使用嗅探器可以捕获几乎任何信息,例如,用户访问的网站、在网站上查看的内容、任何电子邮件的内容和目的地以及任何下载文件的详细信息。协议分析器经常被各公司用来跟踪员工的网络使用情况,同时也是许多声誉良好的反病毒软件包的一部分。面向外部的嗅探器扫描传入的网络流量以查找恶意代码的特定元素,帮助防止计算机病毒感染并限制恶意软件传播。
但值得注意的是,这些分析器也可能被用于恶意目的。如果用户被诱骗从某个网站下载含有恶意软件的电子邮件附件或受感染的文件,则可能会在企业网络上安装未经授权的数据包嗅探器。数据包嗅探器一旦安装就位,就可以记录所传输的任何数据,并将其发送到指挥控制 (C&C) 服务器进行进一步分析。然后,黑客就可能尝试数据包注入或中间人攻击,并窃取发送前未加密的任何数据。
正确使用数据包嗅探器可以帮助清理网络流量并限制恶意软件感染;但是,为防止恶意使用,需要智能安全软件。
