Simone如何利用集线器HUB捕获数据包
的有关信息介绍如下:
集线器和交换机都属于多端口网络连接设备。早期计算机网络,大部分使用集线器作为局域网终端互联中心节点,后来随着交换式以太网的兴起,交换机成为局域网的主流网络中心节点。
集线器的最大缺点在于使用集线器的整个局域网属于一个“冲突域”,而且随着终端数量的增加,冲突的频率也越来越高,通信质量严重下降,而交换机每一个接口属于一个单独的“冲突域”,整个局域网被分割为很多小的“冲突域”,通信质量大大提高。
从网络分层结构看,集线器属于物理层设备,从某一个接口接收的数据包,会被集线器从其它所有接口转发出去。利用集线器的这个原理,可以轻松捕获电脑之间、交换机、路由器之间所发送的数据包,进一步进行分析。
集线器抓包的使用范围如下图:
1)、在PC机之间抓包
2)、在交换机之间抓包
3)、在路由器之间抓包
4)、无线设备之间的抓包
5)、以上设备的自由组合抓包
准备一台抓包、分析、保存数据包专用的笔记本电脑或PC机,安装数据包捕获(分析)软件,如sniffer
将两台PC机器分别用网线连接到集线器,将安装了抓包软件的笔记本电脑用网线连接到集线器,开启抓包软件即可,并选择监听的网卡为以太网卡。
PC机器之间进行正常的通信或者为了捕获一些特殊的协议包,需要对两台PC进行必要的配置(如一台PC机安装web服务,另一台发送http访问请求,这样就可以捕获到http协议包了)
一般笔记本电脑有两块网卡,一块是以太网卡,另一块是无线网卡,抓包软件都可以对这两块网卡进行监听,但务必选择正确的网卡。
如果是两台交换机或路由器之间抓包,方法是一样的,使用集线器将两台交换机和安装了抓包软件的笔记本电脑连接起来,然后开启抓包软件即可,但也有一些细节要注意。例如,要抓取VLAN协议包,务必开启笔记本的监听网卡的VLAN标签识别开关。
右击“我的电脑”----“属性”----“硬件”标签----“设备管理器”按钮----“网络适配器”,找到以太网卡,右击,选择“属性”----“高级”
捕获数据包的步骤比较简单,重点是分析数据包才有实际意义。比如,在一个有大量ARP恶意攻击的网络中,抓包分析是解决网络故障、定位攻击源的一个很好的方法。
