1.sniffit既是个优秀的管理工具也是个的侵入工具。可被管理员用来检查网络中到底传输了些什么，学习各种tcp/ip协议的工作方法，也能被者利用，主要是记录密码。

　　2.工作原理：为什么能检查密码和不是传送给自己的数据呢？

　　在典型的LAN中，(指共享式HUB上连接的两个用户A和B)，基于共享式HUB的工作原理，用户A发出的所有tcp/ip请求在HUB的每个端口上，正常情况下，B不接收这些目标地址不是自己的数据，但是一旦我们在B机上运行sniffit一类的工具，就能置网卡于第三种叫混杂模式的状态下(前两种为tcp,udp模式)，在该状态下，网卡接受所有的数据，不管是发给自己的，还是不发给自己的，都被网卡接收并直接传给最上层应用层，交由相应的软件如sniffit处理。

　　3。常见用法

　　a.检测telnet/ftp/pop3密码：

　　#sniffit-a-A.-p23-b-t192.168.11.@

　　#sniffit-a-A.-p110-b-t192.168.11.1(pop3server)

　　b.查看http头信息

　　#sniffit-a-A.-p80-b-s1.2.3.4(1.2.3.4是防火墙外部地址)

　　c.记录输出到文件

　　#sniffit-p21-l0-b-s192.168.11.2&

　　d.查看icmp消息

　　#sniffit-picmp-b-s192.168.1.2

　　e.交互式界面

　　#sniffit-i

　　f.检查本网段内发出名字的机器

　　#sniffit-a-A.-Pudp-p137-b-s192.168.11.255

　　g.注意防火墙的情况

　　若要检查防火墙内部网卡上的包eth1，可能你要设置-Feth1参数，因为默认地sniffit假设为eth0

　　4.哪些信息是的和易被检测的？

　　telnet/ftp/pop3的密码都是传送的，都是易被检测的，apache的基本方式的用户名/密码认证也是UU编码后的口令，也是易被检192.168.11测的。

　　5.怎样？

　　硬件：不要用普通的共享式HUB，用交换机来代替它，目前只有交换机和路由器能sniffit的作用

　　软件：用带加密功能的tcp/ip连接，象ssh/scp全面代替telnet/ftp/pop3，用MD5方式的apache认证

　　6。作用范围:

　　仅在逻辑子网内有效，不能跨子网，因为不被路由器传递，但若是在服务器上运行sniffit，则任何方法均无效，对防火墙来说，通常sniffit是第二层，就是先得到一个普通帐号进入再探寻更多的口令。

　　7.怎样判断是否有人在用sniffit?

　　可检测网络接口(ifconfig)看是否处于混杂模式来确认是否被侵入并安装了sniffit，只限本机。