封包探嗅器 Sniffer

www.xker.com

1. 什麼是封包探嗅器 ?23120264395911182538www.xker.com38651142461330643630

4. 何謂mac(media access control)

在多部計算機共同分享同一條以太網路線的環境下,每台計算機都有乙個獨一無二的身份驗證碼,這個身份驗證碼也就是mac address(也就是所謂的網路卡實體地址).當每一片網路卡被生產出來時,網路卡生產廠商會付予每片網路卡乙個流水編號,這個流水編號是不可能重複的.其格式看起像是mac:00-40-05-a5-4f-9d(例子而己,每片網路卡的實體地址都是不一樣的,除非生產者有特別用途,才會付予同樣的mac編號)

destination mac與 source mac共有12個位元組,也就是每個mac位址有6bytes*8bit=48bits,..這48個bits的前24bits是用來驗證乙太網卡的生產廠商,另24bits則是用來存放由網路卡生產廠商所指定的流水編號(也就

是mac編號),這可用來保證世界上沒有任何一片網路卡擁有同一流水編號,除非廠商另有用途…因此我們給予後面這24個bits乙個專有名稱,叫做"organizationally unique identifier",簡稱oui,翻成中文就是組織化單一驗證碼.其實這個oui真正也只用到了22bits,另外的2個bits是被用來做為其它目地的用途.1個bit用來指示假如它是乙個"broadcast/multicast"位址,另外1個bit用來做為假如它的網路卡被重新指定為"locally adminis-tered address".

08 00則是指出緊接著的封包格式是tcp/ip型式的封包(不知有無翻譯錯誤,原文為"the ethertype 0x0800 to

indicate that the other end's tcp/ip stack should process the frame" ,.tcp及ip的標頭同樣各有20個bytes存放著ip及tcp層的標頭資訊.

它同樣附加了4個bytes於結尾的checksun/crc(一種用來驗證封包資料在傳輸的過程中有無任何資料遺失的方式).然後網路適配卡把上述的資料以位(0與1)的方式傳送到網路上,所有在網路上的其它網路硬體(包括路由

器router's等硬體)看到這個封包時,首先會去比較這個封包中的destination mac位址是否為自己所吻合的mac位址.假如不吻合,則丟棄這個封包.這些動作都己在網路硬體層被執行完成.(也就是你的isp那邊,因為你一上網時,你的isp主機就會將你的mac位址給記錄下來).當乙個router路由

器的以太網路介面收到這個吻合的封包時,它會將封包由網路上讀取下來,並且將封包的前14bytes和封包的後4bytes給移除掉,它只保留在0x0800後的網路封包格式資料,並決定是否要不要送到下乙個router去做處理或根據tcp/ip內所指定的位址傳送到正確的目的地(也就是你的計算機上).上述的這些, 應只有擁有router的機器才可以看到以太網路上的封包標頭資料,其它的機器應該都會忽略掉(ignore it).

7.我是否可以更動我的mac位址 ?

當然,第一..你能夠"spoof隱藏"你的位址,記住mac位址只是封包資訊中的一部份而己,因此當你送出乙個以太網路封包到網路上前,你能夠去覆寫你封包中所有的內容,當然使用相當效果的程式也是可以的.第二..大多數的網路卡允許你去重新組態化"runtime執行時期"的mac位址,例如某些網路卡則提供了直接於windows的控制台組態mac位址的功能.第三..你也能夠重新燒錄新的mac位址到網路卡的eeprom(電子式可抹寫記憶體)中,但前題是你要暸解你的網路卡是使用何種規格的網路晶元組(chipset),這也將永遠的更改你的網路卡上的mac位址.

9.要如何讓他人無法使用封包探嗅器來得知你的封包內容 ?

你或許可以著手於區域網路內的預防措施,但你卻很難去防範由外界網路而來的

探嗅,因此最好的防範措施就是把你的資料加密,讓對方就算攔截到你的封包,也無法進行解密.

以上的文章是由乙份外國的faq翻譯而來,或許不甚詳盡,但卻有助於對封包探嗅器作動原理的粗略認識.

封包探嗅器 Sniffer

SNIFFER（嗅探器）基礎知識

嗅探器專題

網路嗅探器

封包探嗅器 Sniffer

SNIFFER（嗅探器）基礎知識

嗅探器專題

網路嗅探器

相關推薦