嗅探器(snifffer)就是能夠捕捉網(wǎng)絡(luò)報(bào)文的設(shè)備。嗅探器的正當(dāng)用處在于分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。例如,假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好,報(bào)文的發(fā)送比較慢,而我們又不知道問題出在什么地方,此時(shí)就可以用嗅探器來(lái)作出精確的問題判定。
嗅探器在功能和設(shè)計(jì)方面有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：
■標(biāo)準(zhǔn)以太網(wǎng)
■TCP/ip
■IPX
■DECNet
嗅探器通常是軟硬件的結(jié)合。專用的嗅探器價(jià)格非常昂貴。另一方面，免費(fèi)的嗅探器雖然不需要花什么錢，但得不到什么支持。
嗅探器與一般的鍵盤捕捉程序不同。鍵盤捕捉程序捕捉在終端上輸入的鍵值，而嗅探器則捕捉真實(shí)的網(wǎng)絡(luò)報(bào)文。嗅探器通過將其置身于網(wǎng)絡(luò)接口來(lái)達(dá)到這個(gè)目的——例如將以太網(wǎng)卡設(shè)置成雜收模式。（為了理解雜收模式是怎么回事，先解釋局域網(wǎng)是怎么工作的）。
數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Ftame)的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。（例如，以太網(wǎng)的前12個(gè)字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)：數(shù)據(jù)的來(lái)源和去處。以太網(wǎng)幀的其他部分存放實(shí)際的用戶數(shù)據(jù)、TCP/IP的報(bào)文頭或IPX報(bào)文頭等等）。
幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上。通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕捉到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過程中，嗅探器會(huì)造成安全方面的問題。
每一個(gè)在LAN上的工作站都有其硬件地址。這些地址唯一地表示著網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)于Internet地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)報(bào)文時(shí)，這些報(bào)文就會(huì)發(fā)送到LAN上所有可用的機(jī)器。
在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)（換句話說，工作站A不會(huì)捕捉屬于工作站B的數(shù)據(jù)，而是簡(jiǎn)單的忽略這些數(shù)據(jù)）。
假如某在工作站的網(wǎng)絡(luò)接口處于雜收模式，那么它就可以捕捉網(wǎng)絡(luò)上所有的報(bào)文和幀，假如一個(gè)工作站被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。

嗅探器可能造成的危害：

■嗅探器能夠捕捉口令
■能夠捕捉專用的或者機(jī)密的信息
■可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪問權(quán)限
事實(shí)上，假如你在網(wǎng)絡(luò)上存在非授權(quán)的嗅探器就以為著你的系統(tǒng)已經(jīng)暴露在別人面前了。（大家可以試試天行2的嗅探功能）
一般我們只嗅探每個(gè)報(bào)文的前200到300個(gè)字節(jié)。用戶名和口令都包含在這一部分中，這是我們關(guān)心的真正部分。工人，也可以嗅探給定接口上的所有報(bào)文，假如有足夠的空間進(jìn)行存儲(chǔ)，有足夠的那里進(jìn)行處理的話，將會(huì)發(fā)現(xiàn)另一些非常有趣的東西……
簡(jiǎn)單的放置一個(gè)嗅探器賓將其放到隨便什么地方將不會(huì)起到什么作用。將嗅探器放置于被攻擊機(jī)器或網(wǎng)絡(luò)四周，這樣將捕捉到很多口令，還有一個(gè)比較好的方法就是放在網(wǎng)關(guān)上。假如這樣的話就能捕捉網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進(jìn)行身份鑒別的過程。這樣的方式將成倍地增加我們能夠攻擊的范圍。
關(guān)于怎么抵御嗅探器的攻擊我就不說了，那是網(wǎng)管們的事兒，有三種方法可能會(huì)有所作用：
■檢測(cè)和消滅嗅探器
■將數(shù)據(jù)隱藏，使嗅探器無(wú)法發(fā)現(xiàn)。
■會(huì)話加密