在计算机网络中,混杂模式是有线网络接口控制器(NIC)或无线网络接口控制器(WNIC)的一种模式, 它利用控制器将其接收的所有流量传递给中央处理单元(CPU),而不是仅传递被控制器专门编程接受的帧。这种模式通常在三种情况下用于数据包嗅探,此三种情况分别是:路由器、连接到有限网络的计算机、连接无线局域网的计算机。通常与硬件虚拟化一起使用的软件桥将接口置于混杂模式。
在诸如以太网或IEEE 802.11的IEEE 802网络中,每帧都包括目的地的MAC 地址。在非混杂模式下,当NIC接收到帧时,除非帧被寻址到该NIC的MAC地址或者是广播或多播寻址帧,否则它将丢弃该帧。 但是,在混杂模式下,NIC允许所有帧通过,从而允许计算机读取用于其他机器或网络设备的帧。
许多操作系统需要超级用户权限来启用混杂模式。混杂模式下的非路由节点通常只能监控进出同一广播域(用于以太网和IEEE 802.11)或环(用于令牌环)内的其他节点的流量。连接同一以太网集线器的计算机满足这一要求,这就是为什么网络交换机可以防止恶意使用混杂模式的原因。路由器可以监控由它路由的所有流量。
混杂模式通常用于诊断网络连接问题。有些程序利用这一特性向用户显示所有通过网络传输的数据。一些协议,如文件传输协议(FTP)和远程登录(Telnet)在未加密的情况下传输明文数据和密码,网络扫描仪可以看到这些数据。因此,鼓励计算机用户远离telnet等不安全的协议,并使用更安全的协议,如SSH。
由于混杂模式可能被恶意使用用于捕获在网络上传输的私有数据,计算机安全专家可能对检测正处于混杂模式下的网络设备感兴趣。在混杂模式下,一些软件可能会向帧发送响应,即使它们是发往另一台机器的。然而,经验丰富的嗅探器可以防止这种情况(使用精心设计的防火墙设置)发生。一个例子是发送一个带有错误的MAC地址但正确的IP地址的ping (ICMP回送请求)。如果适配器在正常模式下运行,它将丢弃该帧,并且IP堆栈永远不会看到或响应它。如果适配器处于混杂模式,帧将被传递,机器上的IP堆 ( MAC地址没有任何意义)将像对任何其他ping一样做出响应。[1] 嗅探器可以通过配置防火墙阻止ICMP流量来防止这种情况发生。
以下是使用混杂模式的应用程序和应用程序类。
数据包分析器
NetScout Sniffer网络侦察嗅探器
Wireshark网络封包分析软件(前身为Ethereal)
tcpdump网络包分析工具
OmniPeek抓包软件
Capsa协议分析和网络诊断设计的专家网络嗅探器
ntop监控网络流量工具
Firesheep火狐浏览器插件
虚拟机
VMware的虚拟机网络桥接
VirtualBox虚拟箱桥接模式
密码分析学
Aircrack-ng无线网络的安全软件
AirSnort无线局域网密钥恢复工具
Cain and Abel破解密码的软件
网络监视
KisMAC(用于无线局域网)
Kismet无线网络嗅探工具
IPTrafIP局域网监控工具
Snort无线网络入侵检测/防御系统
CommView网络监测和分析仪的设计局域网管理员
游戏
XLink Kai全球游戏网络社区群
^Sniffers: Basics and Detection (PDF), retrieved 2017-10-13.
暂无