提示:先赞后看,养成习惯
目录
前言
Wireshark的部署方式相信还是有人不知道怎么弄,接下来为大家讲讲。
--------------------------------------------------------------------------------------
一、Wireshark为什么要部署?
现实中遇到的情况要复杂很多,研究的对象常包括网络的其他设备,我们需要找出好的方案来捕获且分析本来不属于本机的数据包。
二、了解环境
1.集线器环境
集线器工作在局域网环境下,用于OSI的第一层,所以被称为物理层设备。(1.0 图)一个有4个端口的集线器,连接了computer A ,B ,C ,D 。集线器作为网络中心进行转发,如果computer A发送一条给B ,它要先发到集线器,再又集线器发出去,这时该网络的所有计算机都会收到,每个计算机都会检查信息的目标地址是否与自己相同,若相同则交给系统处理,不然丢弃这个数据包。
computer B
computer A ---> 集线器 >computer D
computer C
(1.0)
----------------------------------------------------------------------------------
computer B
|
|
|
|
computer A 集线器 ----> computer D
|
|
|
|
computer C
(2.0)
使用集线器的网络是抓包时的最理想的环境,只要将网卡调至混杂模式就可以捕获整个网络的数据了。
2.交换环境下的流量捕获
但在现在的网络中集线器已经很少见了,基本都使用交换机作为网络设备。如果computer A朝B发送数据包,那么就只有computer B能够捕获了。这将为我们获取其他数据包提升难度。
computer B
computer A ---> 交换机 >computer D
computer C
(3.0)
-----------------------------------------------------------------------------------
computer B
|
|
|
|
computer A 交换机 >computer D
computer C
(4.0)
3.端口镜像
如果你有交换机的权限,可以检查交换机是否支持端口镜像,如果支持,就不需要对网络进行改动,就是说将几个端口数据复制到另一个指定端口,这个端口就被称为镜像端口,目前许多交换机支持镜像端口功能,我们可以将其中一个端口作为镜像端口,将要监视的流量转发到这个端口上这样我们就可以对连接上此端口的电脑进行监控了。
4.ARP欺骗
在大多数情况下,我们不可能更改物理网络线路,也不可能用镜像端口的功能。这时可以选择中间人攻击,这种方式长被用来网络监听。ARP欺骗无需改动网络,只需运行欺骗工具。
过程如下:
网关路由器
|
|
|
|
computer A ---> 交换机 <---- computer B
(正常)
-----------------------------------------------------------------------------------
网关路由器
|
|
|
|
computer A ---> 交换机 <---- computer B
| |
| |
我是网关路由器 我相信你
(computer A进行欺骗)
----------------------------------------------------------------------------------
网关路由器
|
|
|
|
computer A <--- 交换机 <---- computer B
(computer A欺骗成功)
5.网络分路器
对其他计算机进行网络数据分析时,网络分路器也很不错。
总结
以上就是要讲的内容,文章仅介绍了Wireshark的部署方式与为什么要采用部署方式的原因。