本文是一简单的关于SHIFFER的描述，对于不太知道SNIFFER的人来说可能适用，高手就免进了，要深一层次的就看如袁哥，BACKEND写的文章吧。

什么是SNIFFER呢？

一般我们在讲的SNIFFER程序是把NIC（网络适配卡，一般如以太网卡）置为一种叫promiscuous杂乱模式的状态，一旦网卡设置为这种模式，它就能是SNIFFER程序能接受传输在网络上的每一个信息包。普通的情况下，网卡只接受和自己的地址有关的信息包，即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式的信息，就需要系统支持bpf，LINUX下如SOCKET-PACKET，但一般情况下网络硬件和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包，所以为了绕过标准的TCP/IP堆栈，网卡就必须设置为我们刚开始将的杂乱模式，一般情况下，要激活这种方式，必须内核支持这种伪设备bpfilter，而且需要ROOT用户来运行这种SNIFFER程序，所以大家知道SNIFFER需要ROOT身份安装，而你即使以本地用户进入了系统，你也嗅探不到ROOT的密码，因为不能运行SNIFFER。

基于SNIFFER这样的模式，可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。

下面描述了一些传输介质被监听的可能性：

Ethernet监听的可能性比较高，因为Ethernet网是一个广播型的网络，困扰着INTERNET的大多数包监听时间都是一些运行在一台计算机中的包监听程序的结果。这台计算机和其他计算机，一个网关或者路由器形成一个以太网。

FDDIToken-监听的可能性也比较高，尽管令牌网内的并不是一个广播型网络，ring实际上，带有令牌的那些包在传输过程中，平均要经过网络上一半的计算机。但高的传输率将使监听变得困难。

电话线监听的可能性中等，电话线可以被一些与电话公司协作的人或者一些有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也会被截获。在实际中，高速的MODEM比低速的MODEM搭线困难的多,因为高速MODEM引入了许多频率。

IP通过有监听的可能性比较高，使用有线电视信道发送IP数据包依靠RF调制线电视信道解调器，RF调制解调器使用一个TV通道用于上行，一个用于下行。

在这些线路上传输的信息没有加密，因此，可以被一些可以物理访问到TV电缆的人截获。

微波和监听的可能性比较高，无线电本来是一个广播型的传输媒介，任何一个有无线电接受机的人可以截获那些传输的信息。