數據包嗅探器(也稱為數據包分析器、通訊協定分析器或網絡分析器)是用來監控網絡流量的硬件或軟件。嗅探器的運作方式是檢驗在網絡上電腦之間、以及在連網電腦和較大網際網絡之間流動的資料封包串流。這些封包用於(並定址於)特定機器,但以「混亂模式」使用數據包嗅探器,可讓 IT 專業人員、最終使用者或惡意入侵者檢驗任何封包,無論目的地為何。有兩種方式可以設定嗅探器。第一種是「未篩選」,意指將會擷取所有可能的封包,並寫入到本機硬碟,以供之後檢驗。第二種是「已篩選」模式,意指分析器只會擷取包含特定資料元素的封包。
數據包嗅探器可用於有線和無線網絡,其效用取決於能夠「看見」多少,作為網絡安全通訊協定的結果。在有線網絡上,嗅探器可能可存取每個連接機器的封包,或者可能受到網絡交換器置放的限制。在無線網絡上,大部分的嗅探器一次只能掃描一個通道,但使用多個無線介面可擴展此功能。
流行和風險因素
使用嗅探器時,幾乎可以擷取任何資訊,例如使用者造訪了哪些網站、在網站上檢視了甚麼內容、任何電郵的內容和目的地以及任何下載檔案的詳細資訊。公司經常使用通訊協定分析器來追蹤員工的網絡使用,也成為有信譽的防毒軟件套件的一部分。對外運作的嗅探器可掃描傳入的網絡流量,檢查是否有惡意程式碼的特定元素,協助防止電腦病毒感染並限制散佈惡意軟件。
不過,值得注意的是,這些分析器也能用於惡意用途。如使用者被說服從網站下載具有惡意軟件的電郵附件或感染的檔案,則未獲授權的數據包嗅探器可能會安裝在公司網絡上。安裝後,數據包嗅探器可以記錄傳輸的任何資料,並傳送至命令和控制 (C&C) 伺服器,以供進一步分析。然後,駭客可能會嘗試進行封包注射或中間人攻擊,以及竊取任何傳送前未加密的資料。
正當使用數據包嗅探器可協助清理網絡流量並限制惡意軟件感染;不過,為了對抗惡意使用,需要智慧安全性軟件。
