數據包分析器
此條目需要補充更多來源。 (2016年5月) |
嗅探(Sniffers)是一種網絡流量數據分析的手段,常見於網絡安全領域使用,也有用於業務分析領域[1],一般是指使用嗅探器對數據流的數據截獲與封包分析(Packet analysis)。
嗅探所使用的工具即為「嗅探工具」,正式的叫法為「封包分析器」,還有別稱為「嗅探器」、「抓包工具」。
用途
- 分析網絡問題
- 業務分析 [2]
- 分析網絡信息流通量
- 網絡大數據金融風險控制[3]
- 探測企圖入侵網絡的攻擊
- 探測由內部和外部的用戶濫用網絡資源
- 探測網絡入侵後的影響
- 監測鏈接互聯網寬頻流量
- 監測網絡使用流量(包括內部用戶,外部用戶和系統)
- 監測互聯網和用戶電腦的安全狀態
- 滲透與欺騙
缺陷
- 目前為止的嗅探均對加密數據不起作用,需要解密才可以得到需要的機密數據
- 當用戶在執行網絡數據文件下載時,嗅探出來的是大量垃圾數據包
- 分析器可能會包含敏感信息,引發隱私擔憂,特別是在企業網絡中。
- 部分複雜的協議或定製協議可能難以解析,導致分析器無法正確識別和解釋。
- 惡意用戶可能通過利用分析器本身的漏洞來規遍安全措施或者阻礙正常的網絡分析。
- 在虛擬化和雲環境中,動態網絡拓撲和流量分析變得更為複雜。
- 數據包分析器可能需要大量計算資源,這可能在一些環境中成為限制因素。
- 對於新型威脅和未知攻擊,數據包分析器可能無法提供足夠的防禦和檢測手段。
知名嗅探工具
- CommView and CommView for WiFi (頁面存檔備份,存於網際網路檔案館)
- dSniff
- Ettercap(遵守GNU的開源軟件)
- Javvin Packet Analyzer
- Kismet
- Open Source Packet Sniffer Open Source Packet Sniffer
- Microsoft Network Monitor
- NetStumbler
- NetworkActiv PIAFCTM (頁面存檔備份,存於網際網路檔案館)
- Network General
- Network Instruments
- Snoop (software) (Solaris)
- Tcpdump (man tcpdump)
- WildPackets(已經改名為Savvius)AiroPeek,EtherPeek與OmniPeek
- Wireshark(前稱 Ethereal)[4]
- Winsock Packet Editor
- Simena Capture&Replay tools (頁面存檔備份,存於網際網路檔案館)
- NetisCrossFlow