1.抓包（packet capture）就是將網絡傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作，也用來檢查網絡安全。抓包也經常被用來進行數據截取等

2.網絡技術與設備

數據在網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

每一個在局域網（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網絡上的機器（這一點與Internet地址系統比較相似）。當用戶發送一個數據包時，如果為廣播包，則可達到局域網中的所有機器，如果為單播包，則只能到達處于同一碰撞域中的機器。

在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應（換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單地忽略這些數據）。如果某個工作站的網絡接口處于混雜模式，那么它就可以捕獲網絡上所有的數據包和幀。

3.網絡監聽原理

Sniffer程序是一種利用以太網的特性把網絡適配卡（NIC，一般為以太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。

普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使Sniffer能接收并處理這種方式的信息，系統需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情況下，網絡硬件和TCP/IP堆棧不支持接收或者發送與本地計算機無關的數據包，所以，為了繞過標準的TCP/IP堆棧，網卡就必須設置為我們剛開始講的混雜模式。一般情況下，要激活這種方式，內核必須支持這種偽設備Bpfilter，而且需要root權限來運行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統，那么不可能喚探到root的密碼，因為不能運行Sniffer。

基于Sniffer這樣的模式，可以分析各種信息包并描述出網絡的結構和使用的機器，由于它接收任何一個在同一網段上傳輸的數據包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰果的方法，用來奪取其他主機的控制權