數據包嗅探器(也稱為數據包分析器、通訊協定分析器或網路分析器)是用來監控網路流量的硬體或軟體。嗅探器的運作方式是檢驗在網路上電腦之間、以及在連網電腦和較大網際網路之間流動的資料封包串流。這些封包用於(並定址於)特定機器,但以「混亂模式」使用數據包嗅探器,可讓 IT 專業人員、最終使用者或惡意入侵者檢驗任何封包,無論目的地是什麼。有兩種方式可以設定嗅探器。第一種是「未篩選」,意指將會擷取所有可能的封包,並寫入到本機硬碟,以供之後檢驗。第二種是「已篩選」模式,意指分析器只會擷取包含特定資料元素的封包。
數據包嗅探器可用於有線和無線網路,其效用取決於能夠「看見」多少,作為網路安全通訊協定的結果。在有線網路上,嗅探器可能可存取每個連接機器的封包,或者可能受到網路交換器置放的限制。在無線網路上,大部分的嗅探器一次只能掃描一個通道,但使用多個無線介面可擴展此功能。
流行和風險因素
使用嗅探器時,幾乎可以擷取任何資訊,例如使用者造訪了哪些網站、在網站上檢視了什麼內容、任何電子郵件的內容和目的地以及任何下載檔案的詳細資訊。公司經常使用通訊協定分析器來追蹤員工的網路使用,也成為有信譽的防毒軟體套件的一部分。對外運作的嗅探器可掃描傳入的網路流量,檢查是否有惡意程式碼的特定元素,協助防止電腦病毒感染並限制散佈惡意軟體。
不過,值得注意的是,這些分析器也能用於惡意用途。若使用者被說服從網站下載具有惡意軟體的電子郵件附件或感染的檔案,則未獲授權的數據包嗅探器可能會安裝在公司網路上。安裝後,數據包嗅探器可以記錄傳輸的任何資料,並傳送至命令和控制 (C&C) 伺服器,以供進一步分析。然後,駭客可能會嘗試進行封包注射或中間人攻擊,以及竊取任何傳送前未加密的資料。
正當使用數據包嗅探器可協助清理網路流量並限制惡意軟體感染;不過,為了對抗惡意使用,需要智慧安全性軟體。
與數據包嗅探器相關的其他實用文章和連結
- 什麼是網站篩選功能?
- 什麼是穿隧協議?