【网络安全基础知识】什么是网络嗅探?基本工作原因是什么?

　　什么是网络嗅探?

　　网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。

　　网络嗅探器的基本工作原理

　　网络嗅探器利用的是共享式的网络传输介质。共享即意味着网络中的一台机器可以嗅探到传递给本网 段(冲突域)中的所有机器的报文。例如最常见的以太网就是一种共享式的网络技术，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是，则把报文传递给操作系统;否则，将报文丢弃，不进行处理;网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的 地址进行判断，而直接将他收到的所有报文都传递给操作系统进行处理，这种特殊的工作模式，就称 之为混杂模式，网络眼探器通过将网卡设置为混杂模式来实现对网络的嗅探。

　　一个实际的主机系统中，数据的收发是由网卡来完成的，当网卡接收到传输来的数据包时，网卡内的单片程序首先解析数据包的目的网卡物理地址，然后根据网卡驱动程序设置的接收模式判断该不该接收，认为该接收就产生中断信号通知CPU,认为不该接收就丢掉数据包，所以不该接收的数据包就被网卡截断了，上层应用根本就不知道这个过程。"CPU 如果得到网卡的中断信号，则根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，并将接收的数据交给上层协议软件外理。