Socket 編程參考教學

a. 網路監聽 Sniffer
您可能常常聽到某某系統被駭客入侵之後，被安裝了 Sniffer，Sniffer 是一種監聽網路網封的工具，常被駭客用來擷取使用者帳號及密碼。它可能是駭客工具中使用率最高的一個。
b. Sniffer 運作原理
Sniffer 會擷取所有經由網路線輸的資料。在正常的情況下，資料是以 frame 為單位，透過區域網路（LAN）在系統與系統之間傳遞。每個 frame 都會被標上目的地的 MAC 位址。每一張網路卡（NIC）與網路裝置都會分配到一個獨一無二的 MAC 位址，而且在生產時就已經決定好了。大部分的 NIC 的 MAC 位址都不允許修改。
當一個 frame 在網路上出現時，每部系統上的 NIC 會去檢查 frame 的 MAC 位址。如果 frame 的 MAC 位址與自己的 MAC 位址一樣（代表自己就是這個 frame 的目的地），那這個 NIC 就會將整個 frame 的資料讀進來，經過處理之後傳送給上一層的協定。如果這個 frame 內的 MAC 位址是廣播位址，那麼每一張 NIC 都會讀取資料並且進行處理。如果都不是，那麼 NIC 就會忽略此 frame 的資料部分。
Sniffer 的運作原理，是將 NIC 設定成混雜式（promiscuous mode）。如果 NIC 被設定成混雜模式，那麼它會讀取所有的 frame，並且往上層傳遞，而不管 MAC 位址為何。因此 Sniffer 可以讀取所有 frame 內的資料。這些資料包括封包的 header 與傳輸的資料，例如使用者名稱與密碼。
許多應用程式會以明碼的方式在網路上傳輸資料，因此 Sniffer 往往可以獲得許多珼寶貴的資訊。例如，telnet、ftp、http 都是以明碼傳送使用者名稱與密碼。有些以 web 為介面的管理工具，也是用原始的 http 傳送明碼的使用者名稱與密碼，例如 webmail 就是這樣。要解決這個問題，telnet 可以改用 ssh，ftp 可以改用有支援 ssh 的 Client 端，http 可以用 https SSL 的方式來加密。
改用交換式集線器（Switch Hub）的網路會比使用一般集線器（Hub）安全許多。使用 Hub 的話，所有 LAN 上的系統都可以截聽得到任何的 frame。在 Switch Hub 的環境，只有 MAC 位址所對應的 NIC 可以收到 frmae。

http://wangyong.com/doc/

http://study.qqcf.com/sort/385/list_2_1.htm