　　理论上，嗅探程序是不可能被检测出来的，因为嗅探程序是一种被动的接收程序，属于被动触发的，它只会收集数据包，而不发送出任何数据，尽管如此，嗅探程序有时候还是能够被检测出来的。

　　一个嗅探程序，不会发送任何数据，但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流。举个例子，它能发出一个请求，始DNS根据IP地址进行反相序列查找。

　　下面一种简单的检测方法：

　　ping 方法

　　很多的嗅探器程序，如果你发送一个请求给哪台有嗅探程序的机器，它将作出应答

　　说明：

　　1. 怀疑IP地址为10.0.0.1的机器装有嗅探程序，它的MAC地址确定为00-40-05-A4-79-32.

　　2. 确保机器是在这个局域网中间。

　　3. 现在修改MAC地址为00-40-05-A4-79-33.

　　4. 现在用ping命令ping这个IP地址。

　　5. 没有任何人能够看到发送的数据包，因为每台计算机的MAC地址无法与这个数据包中的目地MAC不符，所以，这个包应该会被丢弃。

　　6. 如果你看到了应答，说明这个MAC包没有被丢弃，也就是说，很有可能有嗅探器存在。

　　现在，这种方法已经得到了广泛的推崇和宣扬，新一代的黑客们也学会了在他们的代码中加入虚拟的MAC地址过滤器很多的计算机操作系统（比如Windows）都支持MAC过滤器(很多过虑器只检查MAC的第一个字节，这样一来，MAC地址FF-00-00-00-00-00和FF-FF-FF-FF-FF- FF就没有区别了。（广播地址消息会被所有的计算机所接收）。这种技术通常会用在交换模型的以太网中。当交换机发现一个未知的MAC地址的时候，它会执行类似“flood”的操作，把这个包发送给每个节点。

　 本机嗅探程序的检测

　　本机嗅探的程序检测方法比较简单，只要检查一下网卡是否处于混杂模式就可以了，在Linux下，这个比较容易实现，而在Windows平台上，并没有现成的函数可供我们实现这个功能，我们来用一点小技巧：

　　#include

　　#define MAX_PACK_LEN 65535

　　#define MAX_HOSTNAME_LAN 255

　　#pragma comment (lib , "ws2_32.lib")

　　int main()

　　{

　　SOCKET SockRaw,Sock;

　　WSADATA wsaData;

　　int ret=0;

　　strUCt sockaddr_in sAddr,addr;

　　char RecvBuf[MAX_PACK_LEN];

　　char FAR name[MAX_HOSTNAME_LAN];

　　struct hostent FAR * pHostent;

　　char *Buf=(char *)malloc(128);

　　int settimeout=1000;//这里我们设置了一秒钟超时

　　printf("UNSniffer for Win2k v1.0\nPower by BigBall\nHomePage:http:\/\/www.patching.net\/liumy\nEmail:liumy@patching.net\nOicq:9388920\n\nChecking your system ,wait a moment please...\n");

　　WSAStartup(MAKEWord(2,2),&wsaData);

　　//建立一条RawSocket

　 SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);

　　再建立一条UDP

　　Sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP);

　　memset(&sAddr,0,sizeof(sAddr));

　　memset(&addr,0,sizeof(addr));

　　sAddr.sin_family=AF_INET;

　　sAddr.sin_port=htons(5257);

　　addr.sin_family=AF_INET;

　　addr.sin_port=htons(5258);

　　//把IP地址指向本机

　　addr.sin_addr.S_un.S_addr=inet_addr("127.0.0.1");

　　memset(RecvBuf,0, sizeof(RecvBuf));

　　pHostent=malloc(sizeof(struct hostent));

　　gethostname(name, MAX_HOSTNAME_LAN);

　　pHostent=gethostbyname(name);

　　//取得自己的IP地址

　　memcpy(&sAddr.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);

　　free(pHostent);

　 //绑定一个本机的接收端口

　　bind(SockRaw, (struct sockaddr *)&sAddr, sizeof(sAddr));

上一页 [1] [2] [3] [4] 下一页

上一篇:Photoshop打造章子怡立体水晶相框

下一篇:深入认识如何选择与保护密码

详解嗅探原理与反嗅探技术相关文章：

·做QQ高手，你应该了解的17种QQ技术

·菜鸟必学的4种后门技术知识

·可以胜任任何一家网吧技术主管的绝招

·计算机等级考试三级网络技术复习提纲(下)

·高手进阶，终极内存技术指南——完整/进阶版

·黑客技术之知道对方IP入侵别人的电脑

·软件狗[Dongles]的加密与解密技术

·RAID技术详解

·CISCO 技术大集合:N多适合你们的技术

·软件狗[Dongles]的加密与解密技术

详解嗅探原理与反嗅探技术相关软件：

·电脑安装与维修实用技术1

·3D 动画与建模：人体的综合与分析技术

·精通.Net核心技术原理与构架

·UML面向对象建模技术 csf 视频教程

·全国专业技术人员计算机应用能力考试模拟

·电脑安装与维修实用技术(下)

·全国专业技术人员计算机应用能力考试模拟 V2.1

·摄影技术视频教学(1)

·嵌入式系统应用开发技术 wmv 视频教程

·电脑安装与维修实用技术(上)

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn