0x01 网卡工作原理简介
以太网的标准拓扑结构为总线型拓扑，尽管目前快速以太网使用交换机来进行网络连接和组织，但在逻辑上，以太网仍然是总线型拓扑。网卡的主要工作是对总线当前状态进行探测，确定是否进行数据传输；对接收到的数据帧的物理地址（MAC）进行检查，并根据网卡驱动程序设置的接收模式判断是否接收，如果为接收，就接受数据，同时对CPU发送中断信号，将接收到数据帧交给操作系统处理，否则丢弃。整个过程在网卡上独立完成。对于网卡来说，一般有一下四种接收模式：

• 广播模式：该模式下网卡接收物理地址（MAC）为0xFFFFFF的广播帧。

• 组播模式：该模式下网卡接收自己组内的组播数据帧。

• 直接模式：该模式下网卡只接收目的地址是自己MAC地址的数据帧。

• 混杂模式：该模式下网卡接收所有经过自己的数据，不管该数据是否传给它的。

一般情况下，网卡的默认配置是同时支持前三种接收模式。如果将网卡的工作模式设为混杂模式，那么网卡将接受所有传递给它的数据包。这也就是嗅探器的基本原理：让网卡接收一切它能接收到的数据。

0x02 网络嗅探


网络中的两台主机要进行通信，就必须遵守相应的网络协议。常用的FTP、Telnet、HTTP、POP3协议都是进行数据的明文传输，一旦将明文传输的数据包截获下来，很容易就知道数据包内的敏感信息（如账号，密码），截获者就可以像正常用户那样，使用提取到信息登录相应的账户。为了防范此类攻击，现在大部分的网络应用都采用加密传输协议，将数据进行加密后再传输。若数据包被截获，无法使用私有的密钥进行解码，截获者看到的将是一些乱码，一个信息度为0的数据是没有任何意义的。

FTP明文嗅探：

吐司的大牛都不是盖的。。。原来早有大牛发表过类似文章。。。

而且大牛的比我的写的专业多了。。

小弟不敢私藏，拿出来跟大家分享一下。

LOFTER：r00tshell™-Team http://r00tshell.lofter.com/post/3d2f21_611ee69