無線局域網(WLAN)因其安裝便捷、組網靈活的優點在許多領域獲得了越來越廣泛的應用，但由于它傳送的數據利用無線電波在空中傳播，發射的數據可能到達預期之外的接收設備，因而WLAN存在著網絡信息輕易被竊取的問題。在網絡上竊取數據就叫嗅探，它是利用計算機的網絡接口截獲網絡中數據報文的一種技術。嗅探一般工作在網絡的底層，可以在不易被察覺的情況下將網絡傳輸的全部數據記錄下來，從而捕捉賬號和口令、專用的或機密的信息，甚至可以用來危害網絡鄰居的安全或者用來獲取更高級別的訪問權限、分析網絡結構進行網絡滲透等。

　　WLAN中無線信道的開放性給網絡嗅探帶來了極大的方便。在WLAN中網絡嗅探對信息安全的威脅來自其被動性和非干擾性，運行監聽程序的主機在竊聽的過程中只是被動的接收網絡中傳輸的信息，它不會跟其它的主機交換信息，也不修改在網絡中傳輸的信息包，使得網絡嗅探具有很強的隱蔽性，往往讓網絡信息泄密變得不輕易被發現。盡管它沒有對網絡進行主動攻擊和破壞的危害明顯，但由它造成的損失也是不可估量的。只有通過分析網絡嗅探的原理與本質，才能更有效地防患于未然，增強無線局域網的安全防護能力。

　　網絡嗅探原理

　　要理解網絡嗅探的實質，首先要清楚數據在網絡中封裝、傳輸的過程。根據TCP/ip協議，數據包是經過層層封裝后，再被發送的。假設客戶機A、B和FTP服務器C通過接入點(AP)或其他無線連接設備連接，主機A通過使用一個FTP命令向主機C進行遠程登錄，進行文件下載。那么首先在主機A上輸入登錄主機C的FTP口令，FTP口令經過應用層FTP協議、傳輸層TCP協議、網絡層IP協議、數據鏈路層上的以太網驅動程序一層一層包裹，最后送到了物理層，再通過無線的方式播發出去。主機C接收到數據幀，并在比較之后發現是發給自己的，接下來它就對此數據幀進行分析處理。這時主機B也同樣接收到主機A播發的數據幀，隨后就檢查在數據幀中的地址是否和自己的地址相匹配，發現不匹配就把數據幀丟棄。這就是基于TCP/IP協議通信的一般過程。

　　網絡嗅探就是從通信中捕捉和解析信息。假設主機B想知道登陸服務器C的FTP口令是什么，那么它要做的就是捕捉主機A播發的數據幀，對數據幀進行解析，依次剝離出以太幀頭、IP包頭、TCP包頭等，然后對報頭部分和數據部分進行相應的分析處理，從而得到包含在數據幀中的有用信息。

　　在實現嗅探時，首先設置用于嗅探的計算機，即在嗅探機上裝好無線網卡，并把網卡設置為混雜模式。在混雜模式下，網卡能夠接收一切通過它的數據包，進而對數據包解析，實現數據竊聽。其次實現循環抓取數據包，并將抓到的數據包送入下一步的數據解析模塊處理。最后進行數據解析，依次提取出以太幀頭、IP包頭、TCP包頭等，然后對各個報頭部分和數據部分進行相應的分析處理。

　　相應防范策略

　　盡管嗅探隱蔽而不易被察覺，但并不是沒有防范方法，下面的策略都能夠防范嗅探。

　　加強網絡訪問控制。

　　一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏，通過強大的網絡訪問控制可以減少無線網絡配置的風險。同時配置勘測工具也可以測量和增強AP覆蓋范圍的安全性。雖然確知信號覆蓋范圍可以為WLAN安全提供一些有利條件，但這并不能成為一種完全的網絡安全解決方案。攻擊者使用高性能天線仍有可能在無線網絡上嗅探到傳輸的數據。

　　網絡設置為封閉系統。

　　為了避免網絡被NetStumbler之類的工具發現，應把網絡設置為封閉系統。封閉系統是對SSID標為“any”的客戶端不進行響應，并且關閉網絡身份識別的廣播功能的系統。它能夠禁止非授權訪問，但不能完全防止被嗅探。

　　用可靠的協議進行加密。

　　假如用戶的無線網絡是用于傳輸比較敏感的數據，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像電子郵件連接的SSL方式。它是一個介于HTTP協議與TCP協議之間的可選層，SSL是在TCP之上建立了一個加密通道，對通過這一層的數據進行加密，從而達到保密的效果。

　　使用安全Shell而不是Telnet也是必不可少的。

　　SSH是一個在應用程序中提供安全通信的協議。連接是通過使用一種來自RSA的算法建立的。在授權完成后，接下來的通信數據是用IDEA技術來加密的。SSH后來發展成為F-SSH，提供了高層次的、軍方級別的對通信過程的加密。它為通過TCP/IP網絡通信提供了通用的最強的加密。目前，還沒有人突破過這種加密方法。嗅探到的信息自然將不再有任何價值。此外，使用安全拷貝而不是用文件傳輸協議也可以加強數據的安全性。

　　一次性口令技術。

　　通常的計算機口令是靜態的，極易被網上嗅探竊取。采用S/key一次性口令技術或其它一次性口令技術，能使竊聽賬號信息失去意義。S/key的原理是遠程主機已得到一個口令(這個口令不會在不安全的網絡中傳輸)，當用戶連接時會獲得一個“質詢”信息，用戶將這個信息和口令經過某個算法運算，產生一個正確的“響應”信息(假如通信雙方口令正確的話)。這種驗證方式無需在網絡中傳輸口令，而且相同的“質詢/響應信息”也不會出現兩次。

　　網絡嗅探實現起來比較簡單，非凡是借助良好的開發環境，可以通過編程輕松實現預期目的，但防范嗅探卻相當困難。目前還沒有一個切實可行、一勞永逸的方法。在盡量實現上面提到的安全措施外，還應注重不斷提高網管人員的安全意識，做到多注重、勤檢查。