Sniffer(嗅探器)就是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面，它工作的時候就像一部被動聲納，默默的接收著來自網絡的各種信息，通過對這些數據的分析，網絡管理員可以深入了解網絡當前的運行狀況，以便找出所關心的網絡中潛在的問題。

Sniffer技術簡介

數據在網絡上是以很小的稱為“幀”(又稱：包)的單位傳輸的，幀由多個部分組成，不同的部分對應不同的信息以實現相應的功能，例如，以太網的前12個字節存放的是源地址和目的地址，這些數據告訴網絡該幀的來源和去處。其余的部分存放實際用戶數據、TCP/IP的報頭或IPX報頭等等。幀是根據通訊所使用的協議，由網絡驅動程序按照一定規則生成，然后通過網絡接口卡(網絡接口卡，在局域網中一般指網卡)發送到網絡中，通過網線傳送到它們的目的主機，在目的主機的一端按照同樣的通訊協議執行相反的過程。接收端機器的網絡接口卡捕獲到這些幀，并告訴操作系統有新的幀到達，然后對其進行存儲。在正常情況下，網絡接口卡讀入一幀并進行檢查，如果幀中攜帶的目的地址(這里的目的地址是指物理地址而非IP地址，該地址是網絡設備的唯一性標志)和自己的物理地址一致或者是廣播地址(就是被設定為一次性發送到網絡所有主機的特殊地址，當目標地址為該地址時，所有的網絡接口卡都會接收該幀)，網絡接口卡通過產生一個硬件中斷引起操作系統注意，然后將幀中所包含的數據傳送給系統進一步處理，否則就將這個幀丟棄。

我們可以想象到這樣一種特別的情況：如果網絡中某個網絡接口卡的物理地址不確定呢(這可以通過本地網絡接口卡設置成“混雜”狀態來實現)？網絡接口卡會如何處理收到的幀呢？實際的情況是該網絡接口卡將接收所有在網絡中傳輸的幀，無論該幀是廣播的還是發向某一指定地址的，這就形成了監聽。如果某一臺主機被設置成這種監聽模式，它就成了一個Sniffer。

鑒于Sniffer的工作原理，我們知道：如果一個數據幀沒有發送到你的網絡接口卡上，那么你將無法監聽到該幀。所以Sniffer所能監聽到的信息僅限于在同一物理網絡內傳送的數據，在使用了交換(路由)設備的網絡中，由于其數據是根據目的地址進行分發的，單個的網絡接口卡將無法監聽到所有正在傳輸的信息。

不同傳輸介質的網絡的可監聽性是不同的。一般來說，以太網被監聽的可能性比較高，因為以太網是一個廣播型的網絡；FDDI Token被監聽的可能性也比較高，盡管它并不是一個廣播型網絡，但帶有令牌的那些數據包在傳輸過程中，平均要經過網絡上一半的計算機；電話線監聽的可能性中等，但在實際中，高速的調制解調器比低速的調制解調器搭線困難的多，因為高速調制解調器引入了更多的頻率；微波和無線網被監聽的可能性同樣比較高，因為無線電本身是一個廣播型的傳輸媒介，彌散在空中的無線電信號可以被很輕易的截獲。所以，Sniffer可以應用于大部分的網絡類型中。

Sniffer本來是網絡工程師常用的工具，也是網絡管理員的好幫手，但由于網絡中的數據傳送往往是明文方式進行的(不要懷疑，甚至于連用戶名和口令這類敏感信息也是明文的，尤其是在以太網中)，所以Sniffer也常常被某些人用于“特殊”的用途。

Sniffer的應用

Sniffer工具在功能和設計上有很多不同。有些只能分析一種協議，而另一些可能能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析如下的協議：標準的以太網、TCP/IP、IPX、DECNet等，在這方面，往往商業軟件的表現較一些免費軟件要好。

實際應用中的Sniffer還分軟、硬兩種。軟件Sniffer的優點在于比較便宜，易于學習使用，同時也易于交流，缺點是往往無法抓取網絡上所有的傳輸(比如碎片)，某些情況下也就可能無法真正了解網絡的故障和運行情況；硬件的Sniffer通常稱為協議分析儀，一般都比較昂貴，它的優點恰恰是軟件Sniffer所欠缺的，但是昂貴是它致命的缺點。因此目前流行的Sniffer工具都是軟件的。網上有不少免費的Sniffer工具可下載使用(有些甚至提供源碼)，但是這些免費的軟件往往功能單一，穩定性和技術支持方面也無法和商業軟件相比；目前在商業網管軟件中，以NAI出品的Sniffer TNV套件最為知名。

業界領先的Sniffer TNV套件

Sniffer TNV主要包括兩部分：便攜式套件(Protable Analysis Suite)和分布式套件(Distributed Analysis Suite)。便攜式套件是一種便攜式的網絡故障與性能分析的解決方案，是目前唯一能夠為全部七層OSI網絡模型提供全面性能管理的工具包，它使得網絡專職人員能夠主動維護多拓撲結構和多協議的網絡，并顯著的降低其網絡操作成本。同時，它還具備出色的監測和分辨能力，智能的專家技術掃描從網絡上捕獲的信息以檢測網絡異常現象，并應用用戶定義的試探式程序自動對每種異常現象進行歸類，并給出一份警告、解釋問題的性質和提出建議的解決方案；如此深層次的監測使得Sniffer Pro能準確地指出問題的來源并且更快地在第一時間作出判斷并解決；同時Sniffer的網絡分析器還可以監視所有類型的網絡硬件和拓撲結構，這包括交換網絡和運行ATM OC-12和千兆以太網的高速骨干網在內；它能夠支持400多種協議解釋和強大的專家分析功能，可以對網絡傳輸進行分析，找出故障和響應緩慢的原因，從而能夠確保整個LAN和WAN拓撲網絡的最高性能。

Sniffer Pro兼網絡專家積累的經驗、業界伙伴和智能捕獲技術于一身，幫助用戶更快地分析判斷和解決網絡性能問題。Expert Analysis(專家分析系統)具有先天的靈活性，并且它可以自定義生成專家數據，這些數據可以很容易地輸出為HTML格式以提供用戶需要的觀察分析結構與報告。專家分析系統支持業界最廣泛的應用軟件和網絡通訊技術。便攜式套件主要包括Sniffer Basic、Sniffer Pro LAN、Sniffer Pro WAN、Sniffer Pro High Speed等組件。

分布式套件能夠結合中央控制平臺與分布全網的網絡分析器，網絡管理員可以全天候地監控整個網絡運行情況，這是唯一符合RMON 1/ RMON 2(遠程監控技術)的基于專家系統的網絡和應用程序管理系統，能夠適應各種拓撲結構、速度和不同介質類型的網絡，這將有助于排除故障和生成報告。同時該軟件包中還集成了SiteMinder Security Manager，這是一個基于NT的服務器，支持多個身份驗證和授權選項，允許您檢查用戶訪問，并選擇隊網絡設備進行訪問的相應級別，如此可以保護通過Distributed Sniffer System顯示的敏感信息。