一：前言

嗅探的原理和数据分发的方式有关，在不同的设备（Hub，Switch，Route）中有不同的数据包分发方式

• Hub：集线器不能分辨哪台PC的IP，唯一能做的就是把数据包广播给所有内网中的PC
• Switch：交换机记得所有PC的IP,遇到数据包转发直接给固定的PC
• Route：路由器设计之初只为连接网络，不连接PC,因此路由器分发数据包类似交换机

二： 嗅探位置的选择

• HUB：可以吧嗅探器放在局域网的任何一台主机上，打开网卡的混杂模式（正常模式下网卡将丢弃不属于他的数据包，混杂模式下网卡将接受所有的数据包）
• Switch：将嗅探器防止在局域网的任何一台主机上，然后使用端口镜像，将需要嗅探的主机端口镜像到本机上
• Route：第一种方法 在被嗅探的主机和路由器之间插入一个集线器（能接触硬件），交换机也可以用；另一种方法就是实施ARP欺骗

实施ARP欺骗后，pc2发送给路由器的数据包实际上都是由pc3来完成的。路由器发送给pc2的包也通过pc3

这种情况下，pc3只需要监听本机的网卡，就可以嗅探到pc2的的数据包

三：嗅探软件

Tcpdump命令简单，使用方便，没有GUI,分析数据包需要gui

Wireshark有GUI,功能比较强大

下载地址：https://www.wireshark.org

安装过程：一直点点点，提示：中途会出现WinpCap(为windows程序提供访问网络底层的功能)，Nmap必须用，建议安装

linux下安装：apt-get install wireshark 不是最新版本，如果需要最新版本，需要编译安装

四：Wireshark嗅探

1.捕获器设置规则

源自 192.168.1.1网络段
    src net 192.168.1.0/24

源自某个固定IP
    src host 192.168.1.88

发出的数据包是80端口
    dst port 80

连接多条规则，中间用&&
    src host 192.168.1.88&&dst port 80

过滤器颜色是红的，说明 不符合要求，绿色符合要求。

2.显示过滤器的规则

http.request.method=="POST"

3.还可以使用ctrl+f调出搜索条，在分组详情中搜索字符串

五：ARP欺骗

Windows下实施ARP欺骗的是Cain, linux下是ettercap ，原理一样，cain更简单一点，尽量在Windows下测试ARP欺骗

Cain可以嗅探到PWL密码，共享密码，缓存口令，远程共享口令，SMB口令，VNC口令解码，Base64口令解码，SQL Server,几乎可以将Windows下所有的密码全部攻破

下载安装：http://www.oxid.it/cain.html（意大利网站）

本文最主要介绍ARP欺骗和嗅探功能

---

1.单击设置按钮 

2.选择嗅探的网卡，一般选择分配IP地址的没有错误，多个网卡的话需要仔细挑选

3. 选择ARP欺骗，设置好IP地址

4. 回到主界面，打卡网卡的混杂模式开始嗅探

5.扫描局域网内的计算机 （ARP扫描可以扫到所有连接在局域网上的计算机）

6.以10.0.0.4实施ARP欺骗

7.开始欺骗

现在10.0.0.4和服务器10.0.0.5之间的所有数据都会通过本机转发

原理：和Wireshark一样，先获取数据包，再分析数据包，按照一定规则挑出符合规则的密码。Cain很方便，还是要去学会手工分析数据包

​​​​​​​