小心“饮茶”！美国NSA专用网络武器浮出水面，还有哪些信息值得关注？

经技术分析，在此次针对西北工业大学攻击的41种网络武器中， 名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。该网络武器主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。

NSA下属特定入侵行动办公室（TAO）使用“饮茶”作为嗅探窃密工具， 将其植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

除西工大外其他机构也有被网络攻击痕迹。随着调查的逐步深入， 技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动。

如何查看ssl证书版本？

大家都知道使用HTTPS证书的网站网址会以https开头，我们可以点击绿色安全锁-点击详细信息-来查看其HTTPS证书信息，如下图所示：

我们可看到详细信息下的版本是V3这就表示这个版本是SSL30版本，如果这里是V2则表示是SSL20版本。

还有一种方法是用服务器嗅探确定HTTPS证书版本。需简单的嗅探您想查询的网站，服务器嗅探就会提供给您关于网站HTTPS证书的详细资料。

浏览器验证SSL证书5个方面

第一，检查SSL证书是否是由浏览器中“受信任的根证书颁发机构”颁发。

检查到如果网站部署的SSL证书不是浏览器受信任的根证书颁发机构，则会有安全警告，为IE7 浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据，建议关闭此网 页，并且不要继续浏览该网站。”IE6浏览器会提示 “该安全证书由您没有选定信任的公司颁发”。一般自签名SSL证书和其它不是全球浏览器信任的证书多会出现此种情况。

第二，检查SSL证书中的证书吊销列表，检查证书是否被证书颁发机构吊销。

检查SSL证书中的证书吊销列表，如果已经被吊销，则会显示警告信息：“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

第三，检查此SSL证书是否过期。

检查网站SSL证书的有效期限，如果证书已经过了有效期，则会显示警告信息：“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

第四，检查部署此SSL证书的网站的域名是否与证书中的域名一致。

检查部署此SSL证书的网站的域名是否与证书中的域名一致，如果不一致，则浏览器也会显示警告信息：“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

第五，IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单。

如果发现此网站已经被列入欺诈网站黑名单，则会显示：“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页，并且不要继续浏览该网站。”

浏览器需经过以上5个方面的检查后，才会在页面显示安全锁标志，正常显示部署了SSL证书的加密页面。

可信SSL证书申请推荐：网页链接

　　你是要下载是吧 不是在线看是吗 给你举个例子能容易说明白些

　　总的来说有两种方法

　　一、嗅探工具法

　　这种方法我是在“五洲回响”点播平台才用似乎其他的用不了。下载“HttpFileMonitorzip”这个附件(“网址神探”太差了好多都探不出来)，解压到随便哪里，运行EXE后缀文件，先不要点“开始”钮，在**点播平台上点开你需要的**，然后将它停止，注意是停止不是暂停，现在点击嗅探的“开始”钮，奇迹出现了，什么奇迹？自己去看吧！！！！！！！！！！！！！！！！

　　比较复杂的方法

　　这个方法比较复杂，但是会了就能获得不是移动硬盘能装得下的**。迅雷有时候会在流媒体播放器上鼠标跟随的显示下载图标，以前我也觉得很烦，但是现在不了，为什么？听我慢慢道来。

　　首先你要准备迅雷和一个能打开URL的播放软件（个人偏好暴风影音)，如果在**播放窗口上没有鼠标跟随的显示下载图标，那么打开迅雷——配置——监视，在“Flash和流媒体文件上显示下载图标”上打钩，重新打开网吧**，找到你需要的**，播放它，这是迅雷就会弹出下载图标，下载那个文件，一般是“realPlayerdo”或者“sim”为后缀的两种文件，对于“realPlayerdo”文件用记事本打开它，就会看到文件的地址（一般为引号引起来，有时连引号都没有，直接地址），复制这个地址，用暴风影音的“打开URL”，你会在暴风里观看这**，然后暴风的播放列表，在暴风播放的文件上右键——打开文件目录，然后你说呢？“sim”文件就直接用暴风打开。如果再在打开的窗口上点击“向上”，你会看到，，，，，不要笑，赶快用移动硬盘啦！！！！！

　　还有一种就是：

　　1)由于网吧为了防止大量拷贝**，造成网络拥堵，所以网吧都使用了**点播系统，对下载地址进行隐藏和保护。

　　网络上有很多技巧都可以获得**文件的真实地址，大多是采用网卡禁用的方法，但是网吧的电脑在使用此方法之后，有时会立刻关机或死机的，因此不可使用。

　　现介绍一方法，虽然步骤较复杂，但对90%的点播系统都有效，值得一用！

　　1 在点播系统的页面中找到要下载的**并点开观看

　　2 在播放画面中打开右键菜单，选择“在realplayer中播放”

　　3 realplayer或realone 软件就会打开，并播放该**！先暂停它！下载之前不要关闭。

　　4 打开播放状态栏左边的“现在播放”，或通过菜单栏的视图-->现在播放

　　5 选中正在播放的**文件，打开右键菜单选择“通过电子邮件发送媒体链接”

　　6 Outlook Express会自动打开，不要理会OE的设置，取消即可

　　7 在OE的发件箱里有一封待发邮件，里面有一个连接，点击打开

　　8 在IE中会打开刚才的链接，此时页面上的**链接就会出现，通过右键菜单的属性就可以看到文件地址了。

　　9 使用下载软件下载，推荐使用FlashGet , NetAnts ，不建议使用迅雷！

　　10 下载完成后，关闭realplayer。

　　PS：在下载时，请使用单线程，否则会影响到他人的网络使用或服务器封锁IP！

　　在下载完成后再关闭realplayer，下载过程中要暂停播放！

　　有的网吧没有使用内嵌播放器的点播系统。这类网吧的电脑在播放影片的时候，会使用“暴风影音”或“Media Player Classic”等外部软件播放影片。对于这类网吧地址其实已经可以很容易的得到了。

　　在播放器的“文件属性”对话框中，路径和**文件名都可以得到。

　　**文件名为： 太阳照常升起rmvb

　　**的路径名为： \\19216813\最新** [注意地址前面没有传输协议，如http,ftp等，若有传输协议，请使用任意下载工具下载]

　　这种**是属于内网的文件共享，不可使用下载软件下载，所以要使用“映射网络驱动器”的办法实现文件的拷贝。

　　打开“我的电脑”，按照图示，打开“映射网络驱动器”的设置框。其中驱动器盘符可以自己设定，只要和现有的盘符不重合就可以了。在下面的路径中填入**文件的路径。如“\\19216813\最新**”，之后再点“完成”就可以了。

　　设置完成之后，在我的电脑中将会多出一个驱动器盘符，名字为刚才设定好的名字。这时，就可以像打开本地磁盘一样的打开网络共享文件夹。直接可以拷贝**文件。

　　在拷贝完成之后，返回“我的电脑”，可以选中驱动器的盘符，然后“断开网络驱动器”，就可以断开连接。

旁注与C段嗅探的意义，旁注的意思就是从同台服务器上的其他网站入手，提权，然后把服务器端了，就自然把那个网站端了。C段嗅探，每个IP有ABCD四个段，举个例子，19216801，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务。

一般服务器被攻击可能会出现以下几种情况：

服务器被拿下最高权限即系统权限

服务器被拿下webshell

服务器各种数据被社

服务器被C段或嗅探

服务器被各种0DAY打了

来自网络~~~

如何进行处理：

了解是什么类型的攻击。

1、先暂时关闭系统，重新修改账户密码

2、检查是否有多余的账号，清除影子账户。

3、检查服务端口，关闭不必要、不需要得端口，需要时再打开。

4、全面检测服务器，及时清除威胁信息，比如打上安全补丁等。

5、安装防火墙，比如服务器安全狗，可以阻挡很大部分的攻击。

6、在遭受攻击后，还有个就是查看下系统日志，看下黑客都去了哪里

Iris网络嗅探器使用与技巧

(以下内容部分翻译自iris自带的帮助文件

1Iris简介

一款性能不错的嗅探器。嗅探器的英文是Sniff，它就是一个装在电脑上的窃听器，监视通过电脑的数据。

2Iris的安装位置

作为一个嗅探器，它只能捕捉通过所在机器的数据包，因此如果要使它能捕捉尽可能多的信息，安装前应该对所处网络的结构有所了解。例如，在环形拓扑结构的网络中，安装在其中任一台机都可以捕捉到其它机器的信息包（当然不是全部），而对于使用交换机连接的交换网络，很有可能就无法捕捉到其它两台机器间通讯的数据，而只能捕捉到与本机有关的信息；又例如，如果想检测一个防火墙的过滤效果，可以在防火墙的内外安装Iris，捕捉信息，进行比较。

3配置Iris

Capture（捕获）

Run continuously ：当存储数据缓冲区不够时，Iris将覆盖原来的数据包。

Stop capture after filling buffer：当存储数据缓冲区满了时，Iris将停止进行数据包截获，并停止纪录。

Load this filter at startup：捕获功能启动时导入过滤文件并应用，这样可以进行命令行方式的调试。

Scroll packets list to ensure last packet visible：一般要选中，就是将新捕获的数据包附在以前捕获结果的后面并向前滚动。

Use Address Book：使用Address Book来保存mac地址，并记住mac地址和网络主机名。而Ip也会被用netbios名字显示。

Decode(解码)

Use DNS:使用域名解析

Edit DNS file:使用这个选项可以编辑本地解析文件(host)。

HTTP proxy:使用http使用代理服务器，编辑端口号。默认为80端口

Decode UDP Datagrams:解码UDP协议

Scroll sessions list to ensure last session visible:使新截获的数据包显示在捕获窗口的最上。

Use Address Book：同Capture中的Use Address Book

Adapters（网络配置器）

选择从哪个网络配置器（网卡）中截获数据。

Guard（警报和日志选项）

Enable alarm sound：当发现合乎规则的数据包发出提示声音

Play this wave file：选择警报声音路径，声音格式是wav

Log to file：启动日志文件。如果选中后，当符合规则的数据包被截获后将被记录在日志文件中。

Ignore all LAN connections：Iris可以通过本地的ip地址和子网掩码识别地址是否是本地的地址。当这个选项被不选中后，Iris会接受所有的数据包（包括本机收发出的）。如果选中，将不接受本地网络的数据包。

Ignore connections on these>>:过滤指定端口(port)，在列表中可以选择。

Use software filter:软件过滤方案生效。当没有被选中后，软件将会接受所有的数据。另外只有当Apply filter to incoming packets 被选中后Use software filter才能使用。

Miscellaneous（杂项功能）

选项 功能描述

Packet buffer：设置用来保存捕获数据包最多个数（默认值是2000个）

Stop when free disk space drops ：当磁盘空间低于指定值时,Iris将会停止捕获和记录数据。

Enable CPU overload protection 当Cpu的占用率连续4秒钟达到100%时，Iris会停止运行。等到恢复正常后才开始纪录。

Start automatically with Windows：点击这里可以把Iris加入到启动组中。

Check update when program start：是否启动时检查本软件的更新情况。

4任务

Schedule:配置Iris指定的时间捕获数据包，蓝色代表捕获，白色代表停止捕获。

5建立过滤条件

a硬件过滤器(HardWare Filter)：

Promiscuous (噪音模式):使得网卡处于杂收状态，这个是默认状态。

Directed (直接连接):只接受发给本网络配置器的数据包，而其他的则不予接受。

Multicast (多目标):捕获多点传送的数据包

All multicast （所有多目标）:捕获所有的多目标数据包

Broadcast (广播) 只捕获广播桢，这样的真都具有相同的特点，目的MAC地址都是FF:FF:FF:FF:FF:FF

b数据包捕获类型匹配(Layer 2，3):

这个过滤设置位于DoD模型（四层）中的第二、三层——网络层和运输层。

利用这个过滤设置，可以过滤不同协议类型的数据。

include:表示包括此种协议类型的数据将被捕获；

exclude:表示包括此种协议类型的数据将被忽略；

也可以自定义协议类型，方法是配置protodat文件。Layer 2的协议编辑[PROTOCOL]，而layer 3则编辑相应的[IP PROTOCOL]。我们用记事本打开protodat，在这里很多的协议可以被修改和添加。

c字符匹配(Words Filter)

加入你想过滤的关键字符到列表。列表下面有All和ANY两个选项（有的是AND和OR)，其中ANY是指数据包至少要匹配列表中的一个关键字符，而ALL选项是指所有列表中的数据都要匹配才会显示出来。

Apply filter to packets是指显示带有关键字的数据帧，而其他的数据帧则会被抛弃。

Mark sessions containing words是指所有的数据帧都会被截获，只不过带有指定字符的数据帧会加上标志。

dMAC地址匹配（MAC Address Filter）

第一个窗口是IRIS可是识别出来的硬件地址。你可以点击这些地址把他们加到下边的Address 1或Address 2，如果你不这样做也可以自己输入地址到窗口二中;

eIP地址匹配层（IP address）

和MAC地址匹配（MAC Address Filter）选项相类似，这个是IP地址匹配层。

f端口匹配层（Ports）

CP和UDP采用16 bit的端口号来识别应用程序的。FTP服务器的TCP端口号是2 1，Telnet服务器的TCP端口号是23，TFTP(简单文件传送协议)服务器的UDP端口号是69。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号例如我们想截获telnet中的用户名和密码这里我们就应该选择23 Port。

g高级选项配置(Advanced)

数据大小匹配选项（Size）：可以选择指定接收的数据包的大小。

十六进制数据匹配（Data）：指定数据包中所包含数据的十六进制字符相匹配。

6截获数据包

在数据包编辑区内，显示着完整的数据包。窗口分两部分组成，左边的数据是以十六进制数字显示，右边则对应着ASCII。点击十六进制码的任何部分，右边都会显示出相应的ASCII代码，便于分析。

十六进制码是允许进行编辑再生的，可以重写已经存在的的数据包。新的数据包可以被发送，或者保存到磁盘中。

7数据包编辑

Capture > Show Packet Editor点击显示出来

利用工具条的选项可以进行数据包的保存，更改，加入到列表和发送等操作。

例如想生成一系列TCP数据包，首先点击生成一个空数据包，参照数据包格式，使得每一部分都用十六进制表示法来表示。建立了一个包假设它由100个字节的长度（假设一下，20 个字节是IP信息，20个字节是TCP信息，还有60个字节为传送的数据）。现在把这个包发给以太网,放14个字节在目地MAC地址之前，源MAC地址，还要置一个0x0800的标记，它指示出了TCP/IP栈后的数据结构。同时，也附加了4个字节用于做CRC校验 （CRC校验用来检查传输数据的正确性），之后我们点击发送按钮。

平时的通讯尽量用加密等级高的方式,比如上支持https的站点。计算机路由器的密码都要定期更换，系统重新做，这样就可以防止信息被窃。如果真的存在嗅探者，那你们可要当心。不过，我的办法能让你的防御等级上一个台阶。看看下面这些吧！

Sniffer（嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。 在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。

嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。

为了对sniffer的工作原理有一个深入的了解，我们先简单介绍一下HUB与网卡的原理。

预备知识

HUB工作原理

由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。

交换式HUB的内部单片程序能记住每个口的MAC地址，以后就该哪个机器接收就发往哪个口，而不是像共享HUB那样发给所有的口，所以交换HUB下只有该接收数据的机器的网卡能接收到数据，当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候其他机器别的口也占用了，所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信，而交换HUB两个机器传输数据的时候别的口没有占用，所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方，共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。

网卡工作原理

再讲讲网卡的工作原理。网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。

局域网如何工作

数据在网络上是以很小的称为帧(Frame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。

帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。

通常在局域网（LAN）中同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有“广播地址”。

在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

当采用共享HUB，用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。

如果局域网中某台机器的网络接口处于杂收（promiscuous）模式（即网卡可以接收其收到的所有数据包，下面会详细地讲），那么它就可以捕获网络上所有的报文和帧，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。

Sniffer

Sniffer原理

有了这HUB、网卡的工作原理就可以开始讲讲SNIFFER。首先，要知道SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包（一般叫作杂收promiscuous模式：指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。），在共享HUB下就能接收到这个网段的所有包，但是交换HUB下就只能是自己的包加上广播包。

要想在交换HUB下接收别人的包，那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换HUB维护一个物理口（就是HUB上的网线插口，这之后提到的所有HUB口都是指网线插口）与MAC的表，所以可以欺骗交换HUB的。可以发一个包设置源MAC是你想接收的机器的MAC，那么交换HUB就把你机器的网线插的物理口与那个MAC对应起来了，以后发给那个MAC的包就发往你的网线插口了，也就是你的网卡可以SNIFFER到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的，那机器发包后交换HUB就又记住他的口了，所以实际上是两个在争，这只能应用在只要收听少量包就可以的场合。

内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器，如果要想不影响原来两方的通信，可以欺骗两方，让其都发给你的机器再由你的机器转发，相当于做中间人，这用ARP加上编程很容易实现。并且现在很多设备支持远程管理，有很多交换HUB可以设置一个口监听别的口，不过这就要管理权限了。

利用这一点，可以将一台计算机的网络连接设置为接受所有以太网总线上的数据，从而实现sniffer。Sniffer就是一种能将本地网卡状态设成‘杂收’状态的软件，当网卡处于这种“杂收”方式时，该网卡具备“广播地址”，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的网卡具备置成杂收方式的能力）

可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：标准以太网、TCP/IP、IPX、DECNet。

嗅探器造成的危害

sniffing是作用在网络基础结构的底层。通常情况下， 用户并不直接和该层打交道，有些甚至不知道有这一层存在。所以，应该说snffer的危害是相当之大的，通常，使用sniffer是在网络中进行欺骗的开始。它可能造成的危害：

嗅探器能够捕获口令。这大概是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd。

能够捕获专用的或者机密的信息。比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。

窥探低级的协议信息。

这是很可怕的事，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正要进行一次欺骗（通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号），如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）

事实上，如果你在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。

一般Sniffer只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西……

简单的放置一个嗅探器并将其放到随便什么地方将不会起到什么作用。将嗅探器放置于被攻击机器或网络附近，这样将捕获到很多口令，还有一个比较好的方法就是放在网关上。sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。如果这样的话就能捕获网络和其他网络进行身份鉴别的过程

Web服务可以认为是一种程序，它使用HTTP协议将网站中的文件提供给用户，以响应他们的请求。这些请求由计算机中的HTTP客户端转发。为Web服务提供硬件基础的专用计算机和设备称为Web服务器。从这种网络设计中可以看到，Web服务器控制着大量信息。如果一个人拥有进入Web服务器修改数据的能力，那他就可以对该Web服务器所服务的信息和网站做任何他想做的事情。有以下七种常见攻击：

1目录遍历攻击 - 此类攻击利用Web服务器中的漏洞来未经授权地访问不在公共域中的文件和文件夹。一旦攻击者获得访问权限，他们就可以下载敏感信息，在服务器上执行命令或安装恶意软件。

2拒绝服务攻击 - 借助此攻击类型，Web服务器将会无法被合法用户访问，一般表现为超时，崩溃。这通常被攻击者用于关闭具有特定任务的服务器。

3域名劫持 -在此攻击中，攻击者更改DNS设置以重定向到他自己的Web服务器。

4嗅探 - 在没有加密的情况下，通过网络发送的数据可能会被截获。通过对数据的分析攻击者可能会获得对Web服务器的未授权访问或身份伪造的能力。