文章目录
一、wireshark简介
Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark抓包原理:
- 单机情况:电脑直连互联网的单机环境。Wireshark直接抓取本机网卡的网络流量;
- 交换机情况:Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。
二、环境
使用kali自带的wireshark。
三、wireshark抓包
(1)选择网卡。打开wireshark后,选择相应的网络网卡。一般虚拟机网卡都是eth0。
(2)选择相应的网卡之后,wireshark自动开始捕获流量;
要想停止捕获,点击上面的红色按钮即可。
注意:wireshark有两个工作模式
- 混杂模式:接受所有经过网卡的数据包,包括不是发给本机的包,既不验证MAC地址;
- 普通模式:网卡只接受发给本机的数据包(包括广播包)。
一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
如下图设置混杂模式:
三、wireshark过滤器使用
在框框处填写过滤规则,下图就是只看ARP协议的数据包。
