然而，对入侵者呢？与管理员感兴趣的是对数据包进行分析不同，入侵者，感兴趣的是数据包的内容，尤其是账号，口令等敏感内容。

　　我们模仿入侵者在主机上跑一个上面提到的sniffit软件，监听本机发出去的所有telnet数据，如下： server#./sniffit -A . -p 23 -s server

　　同时，我们模仿一个用户yiming登录一台client机器，

    server@yiming#telnet client
    Trying 192.168.1.1...
    Connected to 192.168.1.1
    Escape character is '^]'.

    login: yiming
    Password:
    Sun Microsystems Inc. SunOS 5.7 Generic October 1998
    $ ls
    bak lost+found project wangguan
    libcap nms snmp wglist
    $ pwd
    /yiming
    $

　　我们看到这个用户telnet到client机器，输入账号口令，执行了ls，pwd命令，

　　此时看看sniffit的记录文件记录了什么，

    server# more server.32780-client.23
    ........... ..!.."..'.......h.7....#..$....VT100....'.........yiming..Power^man!..ls ..pwd..

　　我们看到了账号yiming，密码Power^man!，还有登录后操作的命令。请注意一点，yiming这个用户尽管设置了非常复杂的密码，但对网络监听而言，是没有丝毫意义的。

　　其实除了截获telnet密码这样的功能外，专用的网络监听软件从密码到邮件，浏览的网页等内容，无所不包，但由于本文不是介绍网络监听软件用途的，因此这里不详细叙述各种监听软件的使用方法，有兴趣的读者可以参照各个软件的readme等文件，很简单。 

网络监听的防范方法

　　上面我们介绍了可以用来进行网络监听的软件，那么对这种不受欢迎的行为，有没有一些防范手段呢？

　　上面我们知道，sniffer是发生在以太网内的，那么，很明显，首先就要确保以太网的整体安全性，因为sniffer行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行sniffer，去收集以太网内敏感的数据信息。

　　其次，采用加密手段也是一个很好的办法，因为如果sniffer抓取到的数据都是以密文传输的，那对入侵者即使抓取到了传输的数据信息，意义也是不大的-比如作为telnet，ftp等安全替代产品目前采用ssh2还是安全的。这是目前相对而言使用较多的手段之一，在实际应用中往往是指替换掉不安全的采用明文传输数据的服务，如在server端用ssh,openssh等替换unix系统自带的telnet,ftp,rsh，在client端使用securecrt,sshtransfer替代telnet,ftp等。

　　除了加密外，使用交换机目前也是一个应用比较多的方式，不同于工作在第一层的hub,交换机是工作在二层，也就是说数据链路层的，以CISCO的交换机为例，交换机在工作时维护着一张ARP的数据库，在这个库中记录着交换机每个端口绑定的MAC地址，当有数据报发送到交换机上时，交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照，然后将数据报发送到"相应的"端口上，注意，不同于HUB的报文广播方式，交换机转发的报文是一一对应的。对二层设备而言，仅有两种情况会发送广播报文，一是数据报的目的MAC地址不在交换机维护的数据库中，此时报文向所有端口转发，二是报文本身就是广播报文。由此，我们可以看到，这在很大程度上解决了网络监听的困扰。但是有一点要注意，随着dsniff，ettercap等软件的出现，交换机的安全性已经面临着严峻的考验！我们将在后面对这种技术进行介绍。

　　此外，对安全性要求比较高的公司可以考虑kerberos，kerberos是一种为网络通信提供可信第三方服务的面向开放系统的认证机制，它提供了一种强加密机制使client端和server即使在非安全的网络连接环境中也能确认彼此的身份，而且在双方通过身份认证后，后续的所有通讯也是被加密的。在实现中也即建立可信的第三方服务器保留与之通讯的系统的密钥数据库，仅kerberos和与之通讯的系统本身拥有私钥（private key），然后通过private key以及认证时创建的session key来实现可信的网络通讯连接。