Tags： 网络监测

51汇集网提供《EffeTech HTTP Sniffer（艾菲网页侦探）》4.3 安装版下载，该软件为免费软件，文件大小为1.35 MB，推荐指数3颗星，作为国产软件中的顶尖厂商，完全可以放心下载哦！

艾菲网页侦探是一个HTTP协议的网络嗅探器，协议分析器和HTTP文件重建工具。它可以捕捉局域网内的含有HTTP协议的IP数据包，并对其进行分析，找出符合过滤器的那些HTTP通信内容。通过它，您可以看到网络中的其他人都在浏览了哪些网页，这些网页的内容是什么。特别适用于企业主管对公司员工的上网情况进行监控。

SNIFFER内容说明

一般我们在讲的SNIFFER程序是把NIC（网络适配卡，一般如以太网卡）置为一种
叫promiscuous杂乱模式的状态，一旦网卡设置为这种模式，它就能是SNIFFER程序
能接受传输在网络上的每一个信息包。普通的情况下，网卡只接受和自己的地址
有关的信息包，即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式
的信息，就需要系统支持bpf，LINUX下如SOCKET-PACKET，但一般情况下网络硬件
和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包，所以为了绕过
标准的TCP/IP堆栈，网卡就必须设置为我们刚开始将的杂乱模式，一般情况下，
要激活这种方式，必须内核支持这种伪设备bpfilter，而且需要ROOT用户来运行
这种SNIFFER程序，所以大家知道SNIFFER需要ROOT身份安装，而你即使以本地用户
进入了系统，你也嗅探不到ROOT的密码，因为不能运行SNIFFER。

基于SNIFFER这样的模式，可以分析各种信息包可以很清楚的描述出网络的结构
和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着
SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以
这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。

被监听的可能性：

Ethernet 监听的可能性比较高，因为Ethernet网是一个广播型的网络，困扰着
INTERNET的大多数包监听时间都是一些运行在一台计算机中的包监听
程序的结果。这台计算机和其他计算机，一个网关或者路由器形成一个
以太网。

FDDI Token- 监听的可能性也比较高，尽管令牌网内的并不是一个广播型网络，
ring 实际上，带有令牌的那些包在传输过程中，平均要经过网络上一
半的计算机。但高的传输率将使监听变得困难。

电话线 监听的可能性中等，电话线可以被一些与电话公司协作的人或者一些
有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也
会被截获。在实际中，高速的MODEM比低速的MODEM搭线困难的多，
因为高速MODEM引入了许多频率。

IP通过有 监听的可能性比较高，使用有线电视信道发送IP数据包依靠RF调制
线电视信道 解调器，RF调制解调器使用一个TV通道用于上行，一个用于下行。
在这些线路上传输的信息没有加密，因此，可以被一些可以物理上
访问到TV电缆的人截获。

微波和 监听的可能性比较高，无线电本来上一个广播型的传输媒介，任何一
无线电 一个无线电接受机的人可以截获那些传输的信息。

现在多数的SNIFFER只监视连接时的信息包，原因是SNIFFER如果接受全部
的信息包，一个是LOG记录极其大，而且会占用大量的CPU时间，所以在一个担负
繁忙任务的计算机中进行监听，由于占用的CPU和带宽就可以怀疑有SNIFFER在工作，
当你觉得有异常现象的时候就先需要一些简单的方法检测。

虽然可以使用PS或者netstat的命令去查看是否有可以进程和连接信息的转态，
但入侵者改变了ps或者netstat程序也就不能发现这些程序了，其实修改ps命令只
须短短数条SHELL命令，即可将监听软件的名字过滤掉。

软件使用方法

1，对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去PING，运行
监听程序的机器回有响应，这是因为正常的机器不接受错误的物理地址，处于监
听状态的机器能接受，如果他的IP STACK不再次反向检查的话，就会响应，这种
方法依赖系统的IP STACK，对有些系统可能行不通。

2，往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能
下降，通过比较前后该机器性能（icmp echo delay等方法）加以判断，这种方法
难度较大点。

一些流行的SNIFFER

SNIFFIT：这是一个比较的SNIFFER，它由Brecht Clearhout所写，这是你应该最先
用的程序，这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次
登陆会话进程刚刚好。：p

SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，
用来跟踪一些网络活动。

TCP DUMP：这个SNIFFER很有名，FREEBSD还搭带在系统上，是一个被很多UNIX高手
认为是一个专业的网络管理工具，记得以前Tsutomu Shimomura （应该叫下村
侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVIN MITNICK攻击他系统的
记录，后来就配合FBI抓住了KEVIN MITNICK，后来他写了一文：使用这些LOG
记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack