本文用到的软件是大名鼎鼎的wireshark,测试环境为xp+sp3在其他环境同样有效,首先介绍下wireshark,wireshark(原名Ethereal)是目前世界上最受欢迎的协议分析软件,利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大的方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能,可在Windows,Linux和UNIX等系统上运行。wireshark做为一款出色的网络抓包工具,在正常的工作中进行网络协议以及数据包的分析
wireshark软件的使用主要是对过滤条件的设置,具体用法在这里就不进行赘述了,本文用到的东西我们都会进行详细讲解,我本机装的是Version1.2.6版本。目前最新版本为1.4.6,新旧版本是通吃的。毕竟wireshark的主要功能便是抓包,所以对于版本的问题无需担心。在演示前,先对原理稍作解释,毕竟学习是要知其然更要知其所以然的,首先是打开网卡并工作在混杂模(PromiscuousModel):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。混杂模式下的网卡将接受同一网络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的。
接下来我们进入实战,虚拟机下进行演示,虚拟机与主机在同一局域网内。首先查探下目标主机ip。我本机是192.168.100.22。接下来打开wireshark界面,点击开始,进行设置选好网卡,要选真实物理网卡。之后点击options进行设置,在Capture Filters中设置过滤选项,设置过滤选项。过滤代码如下:host 192.168.100.70 and(tcp or udp),对代码进行下解释,host是抓取的目标主机指你局域网内想要进行抓包的主机ip,如果不对特定的主机进行抓包可以不用设置该语句。tcp or udp则是指抓取tcp(注tcp包含http、ftp包)、udp的包。
因为局域网内发送的包实在太多了,我们只需要抓取对我们有用的包便可以了。
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。