网络监听处在共享

1. 网络监听技术的原理是什么

在局域网实现监听的基本原理

对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。

在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口(网卡)发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。

然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。

2. 我的电脑网络连接显示监听是什么意思

简单说就是在一直在等待这个端口上有没有数据发过来，监听是一支处于于随时接收的状态，就好比，你要跑百米，一直在听着有没枪响，听不到就一直蹲着，听到了就跑。
把IP地址比作一间房子 ，端口就是出入这间房子的门。在Internet上，各主机间通过TCP/IP协议发送和接收数据包，各个数据包根据其目的主机的ip地址来进行互联网络中的路由选择。大多数操作系统都支持多程序（进程）同时运行，那么目的主机应该把接收到的数据包传送给众多同时运行的进程中的哪一个呢？端口机制便由此被引入进来。
当目的主机接收到数据包后，将根据报文首部的目的端口号，把数据发送到相应端口，而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。
不光接受数据包的进程需要开启它自己的端口，发送数据包的进程也需要开启端口，这样，数据包中将会标识有源端口，以便接受方能顺利的回传数据包到这个端口。
一个数据包包括了文件，ip，和端口号，ip是为了服务器可以找到你的主机，端口号是你接受数据包的门户
而所谓的端口监听，是指主机网络进程接受到IP数据包后，察看其的目标端口是不是自己的端口号，如果是的话就接受该数据包进行处理。进行网络通讯的主机，既要发送数据，也要接受数据，所以就要开启相应的端口以接受数据。
一个网络上的主机有可能开启多个网络进程（如即浏览网页又上QQ），也就是监听了多个端口。

3. 网络监听的攻击技术

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。 Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。
Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。
当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。
在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。
在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。
现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。 网络监听在上述中已经说明了。它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是黑客所惯用的伎俩之一。
一般检测网络监听的方法通过以下来进行：
网络监听说真的，是很难被发现的。当运行监听程序的主机在监听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。
一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。
上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。
如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。
另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。
在Unix中可以通过ps –aun或ps –augx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多黑客在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、Windows9x好象很难做到哦，具体是不是我没测试过不得而知。
还有一种方式，这种方式要靠足够的运气。因为往往黑客所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。
网络监听技术是系统安全领域内一个非常敏感的话题,也是一项重要技术,具有很强的现实应用背景.对网络监听的原理和实现技术进行了比较详细的介绍,设计实现了一个网络监听器,并用其对当前互联网的安全状况进行了初步的分析。
有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。
抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的黑客去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这么大胆评论了。 Sniffer之所以着名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。
Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。
Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能被发现，这个足够是对网络安全的最严重的挑战。
在Sniffer中，还有“热心人”编写了它的Plugin，称为TOD杀手，可以将TCP的连接完全切断。总之Sniffer应该引起人们的重视，否则安全永远做不到最好。

4. 关于网络监听

网络监听没你想象的那么可怕 及时可以实现那也是相当困难的 ~~
我们通常所说的网络监听指的是 ：
在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。
网络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。主要包括：
数据帧的截获
对数据帧的分析归类
dos攻击的检测和预防
IP冒用的检测和攻击
在网络检测上的应用
对垃圾邮件的初步过滤

更多参考网络：http://ke..com/view/644729.htm

5. 网络监听技术的防范

（1）发现可能存在的网络监听。网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动地与其他主机交换信息，也没有修改在网上传输的数据包。
对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。或者向网上发大量还在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断，这种方法难度比较大。也可以使用反监听工具进行检测。
（2）对网络监听的防范措施，从逻辑或物理上对网络分段。网维分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的王菲措施，其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。
心交换式集线器代替共享式集线器。当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）会被同一台共享式集线器上的其他用户所监听。交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet)和多播包（Multicast Packet)。
使用加密技术。数据经过加密后，通过监听仍然可以得到传送的信息，但显示的是乱码。
划分VLAN。运用VLAN(虚拟局域网）技术，将以网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

6. 网络连接器的状态的监听是什么

我也是这样的，不知道是怎么回事。。今天晚上突然就这样了

7. 网络监听技术的简介

网络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。主要包括：
数据帧的截获
对数据帧的分析归类
dos攻击的检测和预防
IP冒用的检测和攻击
在网络检测上的应用
对垃圾邮件的初步过滤

8. 共享式网络与交换式网络中，网络监听有何不同

.发生在共享式局域网内的窃听 所谓的“共享式”局域网(Hub-Based Lan)，指的是早期采用集线器HUB作为网络连接设备的传统以太网的结构，在这个结构里，所有机器都是共享同一条传输线路的，集线器没有端口的概念，它的数据发送方式是“广播”， 集线器接收到相应数据时是单纯的把数据往它所连接的每一台设备线路上发送的，例如一台机器发送一条“我要和小金说话”的报文，那么所有连接这个集线器的设备都会收到这条报文，但是只有名字为“小金”的计算机才会接收处理这条报文，而其他无关的计算机则会“不动声色”的抛弃掉该报文。因此，共享以太网结构里的数据实际上是没有隐私性的，只是网卡会“君子”化的忽略掉与自己无关的“闲言碎语”罢了，但是很不巧，网卡在设计时是加入了“工作模式”的选项的，正是这个特性导致了噩梦。每块网卡基本上都会有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情况下，操作系统会把网卡设置为Broadcast(广播)模式，在Broadcast模式下，网卡可以接收所有类型为广播报文的数据帧——例如ARP寻址，此外它会忽略掉目标地址并非自己MAC地址的报文，即只接收发往自身的数据报文、广播和组播报文，这才是网卡的正常工作模式;如果一块网卡被设置为Unicast或Multicast模式，在局域网里可能会引发异常，因为这两个模式限制了它的接收报文类型;而Promiscuous(混杂)模式，则是罪恶的根源。在混杂模式里，网卡对报文中的目标MAC地址不加任何检查而全部接收，这样就造成无论什么数据，只要是路过的都会被网卡接收的局面，监听就是从这里开始的。一般情况下，网卡的工作模式是操作系统设置好的，而且没有公开模式给用户选择，这就限制了普通用户的监听实现，但是自从嗅探器(Sniffer)家族发展到一定程度后，开始拥有了设置网卡工作模式的权力，而且矛头直指Promiscuous，任何用户只要在相应选择上打个勾，他的机器就变成了可以记录局域网内任何机器传输的数据的耳朵，由于共享式局域网的特性，所有人都是能收到数据的，这就造成了不可防御的信息泄漏。可是，最终这种监听方式还是被基本消灭了，人们用了什么手段呢?很简单，局域网结构升级了，变成“交换式局域网”。2、发生在交换式局域网内的窃听作为与“共享式”相对的“交换式”局域网(Switched Lan)，它的网络连接设备被换成了交换机(Switch)，交换机比集线器聪明的一点是它连接的每台计算机是独立的，交换机引入了“端口”的概念，它会产生一个地址表用于存放每台与之连接的计算机的MAC地址，从此每个网线接口便作为一个独立的端口存在，除了声明为广播或组播的报文，交换机在一般情况下是不会让其他报文出现类似共享式局域网那样的广播形式发送行为的，这样即使你的网卡设置为混杂模式，它也收不到发往其他计算机的数据，因为数据的目标地址会在交换机中被识别，然后有针对性的发往表中对应地址的端口，决不跑到别人家里去。这一改进迅速扼杀了传统的局域网监听手段，但是历史往往证明了人是难以被征服的……(1)、对交换机的攻击：MAC洪水不知道是谁第一个发现了这种攻击模式，大概是因为交换机的出现破坏了嗅探器的工作，所以一肚子气泄到了交换机身上，另一种看法则是精明的技术人员设想交换机的处理器在超过所能承受信息量的时候会发生什么情况而进行的试验，无论是从什么论点出发的，至少这个攻击模式已经成为现实了：所谓MAC洪水攻击，就是向交换机发送大量含有虚假MAC地址和IP地址的IP包，使交换机无法处理如此多的信息而引起设备工作异常，也就是所谓的“失效”模式，在这个模式里，交换机的处理器已经不能正常分析数据报和构造查询地址表了，然后，交换机就会成为一台普通的集线器，毫无选择的向所有端口发送数据，这个行为被称作“泛洪发送”，这样一来攻击者就能嗅探到所需数据了。不过使用这个方法会为网络带来大量垃圾数据报文，对于监听者来说也不是什么好事，因此MAC洪水使用的案例比较少，而且设计了端口保护的交换机可能会在超负荷时强行关闭所有端口造成网络中断，所以如今，人们都偏向于使用地址解析协议ARP进行的欺骗性攻击。(2)、地址解析协议带来的噩梦回顾前面提到的局域网寻址方式，我们已经知道两台计算机完成通讯依靠的是MAC地址而与IP地址无关，而目标计算机MAC地址的获取是通过ARP协议广播得到的，而获取的地址会保存在MAC地址表里并定期更新，在这个时间里，计算机是不会再去广播寻址信息获取目标MAC地址的，这就给了入侵者以可乘之机。当一台计算机要发送数据给另一台计算机时，它会以IP地址为依据首先查询自身的ARP地址表，如果里面没有目标计算机的MAC信息，它就触发ARP广播寻址数据直到目标计算机返回自身地址报文，而一旦这个地址表里存在目标计算机的MAC信息，计算机就直接把这个地址作为数据链路层的以太网地址头部封装发送出去。为了避免出现MAC地址表保持着错误的数据，系统在一个指定的时期过后会清空MAC地址表，重新广播获取一份地址列表，而且新的ARP广播可以无条件覆盖原来的MAC地址表。假设局域网内有两台计算机A和B在通讯，而计算机C要作为一个窃听者的身份得到这两台计算机的通讯数据，那么它就必须想办法让自己能插入两台计算机之间的数据线路里，而在这种一对一的交换式网络里，计算机C必须成为一个中间设备才能让数据得以经过它，要实现这个目标，计算机C就要开始伪造虚假的ARP报文。ARP寻址报文分两种，一种是用于发送寻址信息的ARP查询包，源机器使用它来广播寻址信息，另一种则是目标机器的ARP应答包，用于回应源机器它的MAC地址，在窃听存在的情况下，如果计算机C要窃听计算机A的通讯，它就伪造一个IP地址为计算机B而MAC地址为计算机C的虚假ARP应答包发送给计算机A，造成计算机A的MAC地址表错误更新为计算机B的IP对应着计算机C的MAC地址的情况，这样一来，系统通过IP地址获得的MAC地址都是计算机C的，数据就会发给以监听身份出现的计算机C了。但这样会造成一种情况就是作为原目标方的计算机B会接收不到数据，因此充当假冒数据接收角色的计算机C必须担当一个转发者的角色，把从计算机A发送的数据返回给计算机B，让两机的通讯正常进行，这样，计算机C就和计算机AB形成了一个通讯链路，而对于计算机A和B而言，计算机C始终是透明存在的，它们并不知道计算机C在偷听数据的传播。只要计算机C在计算机A重新发送ARP查询包前及时伪造虚假ARP应答包就能维持着这个通讯链路，从而获得持续的数据记录，同时也不会造成被监听者的通讯异常。计算机C为了监听计算机A和B数据通讯而发起的这种行为，就是“ARP欺骗”(ARP Spoofing)或称“ARP攻击”(ARP Attacking)，实际上，真实环境里的ARP欺骗除了嗅探计算机A的数据，通常也会顺便把计算机B的数据给嗅探了去，只要计算机C在对计算机A发送伪装成计算机B的ARP应答包的同时也向计算机B发送伪装成计算机A的ARP应答包即可，这样它就可作为一个双向代理的身份插入两者之间的通讯链路。