1. 嗅探器sniffer的工作原理

能捕获经过该网络设备的报文，通过分析网络流量，找出关键信息，解决网络问题。

不同于键盘捕获程序，如keylogger利用中断或钩子技术，Sniffer将网络接口置成适当的模式，如杂收。Sniffer通常位于局域网LAN或关键设备上，如路由器、网关等。根据网络协议分层模型，在链路层到物理层之间，数据转化为帧（frame）为单位发送，物理层包括网卡、网线等，到达目的机器后，再重组。

在局域网上，数据的发送和接受通常采用广播的形式 即位于同一个局域网上A和B通信时，若A将数据帧发送给B，通过集线器（Hub）或WIFI，所有的机器都可以收到，但由于数据帧头中含有源、目标机器的物理地址（即网卡的MAC），只有B机器的物理地址同A发送的数据帧中的目标物理地址一致，则这些数据帧可被B机器捕获，而其他机器则简单忽略。如果物理接口置成杂收模式（promiscuous mode），则到达该接口的数据帧都会被链路层的上层接收。Sniffer完成的工作就是通过特殊的驱动程序，将接口设置成杂收模式，捕获共享介质上的数据包。

2. sniffer的使用

by ipv4

按source.ip

by destination.ip

by protocol

• by tcp(dns uses tcp)
  
• by dns
  
• by udp（dns is performed by udp）
  

DNS uses both tcp&udp

DNS是一种域名解析服务，它同时使用TCP和UDP协议

1. DNS在区域传输的时候使用TCP协议，因为这样可以保证数据的准确性和完整性。区域传输是指辅域名服务器和主域名服务器之间的数据同步。
2. DNS在其他时候使用UDP协议，因为这样可以提高响应速度和降低服务器负载。UDP协议适合传输小于512字节的数据包。