03 第一章 任务3 网络数据捕获实验（2学时）

网络数据捕获实验厚德强能、求实创新第一章任务3Wireshark捕获工具介绍1Wireshark捕获与过滤流量2查看网络连接的“三次握手”3网卡的工作模式4Wireshark使用进阶5厚德强能、求实创新wireshark是非常流行的网络封包分析软件，简称小鲨鱼，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。wireshark是开源软件，可以放心使用。可以运行在Windows和MacOS上。对应的，linux下的抓包工具是tcpdump。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。1Wireshark捕获工具介绍1.网络管理员会使用wireshark来检查网络问题2.软件测试工程师使用wireshark抓包，来分析自己测试的软件3.从事socket编程的工程师会用wireshark来调试4.运维人员用于日常工作，应急响应等等总之跟网络相关的东西，都可能会用到wireshark1、wireshark是什么？2、Wireshark常用应用场景厚德强能、求实创新Wireshark软件安装软件下载路径：/按照系统版本选择下载，下载完成后，按照软件提示一路Next安装。1Wireshark捕获工具介绍厚德强能、求实创新Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。Wireshark使用的环境大致分为两种，一种是电脑直连网络的单机环境，另外一种就是应用比较多的网络环境，即连接交换机的情况。「单机情况」下，Wireshark直接抓取本机网卡的网络流量；「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。Wireshark的捕获机制是监听并复制数据包流经指定接口的数据供分析使用。●监听指定接口的数据流Wireshark会监控用户选择的网络接口(以太网、Wi-Fi等)上的数据流。●复制数据包到本地分析Wireshark不会对网络上的实际数据包产生影响，而是将通过接口捕获到的数据包复制到本地内存中，并将其按照时间顺序记录。捕获到的数据包会被存储在内存或临时文件中，并可保存为pcap文件供后续分析，若选不保存则是删除本地复制的数据包无法恢复。1Wireshark捕获工具介绍3、Wireshark工作原理厚德强能、求实创新2Wireshark捕获与过滤流量厚德强能、求实创新Wireshark的主界面包含6个部分：菜单栏：用于调试、配置工具栏：常用功能的快捷方式过滤栏：指定过滤条件，过滤数据包数据包列表：核心区域，每一行就是一个数据包数据包详情：数据包的详细数据数据包字节：数据包对应的字节流，二进制2Wireshark捕获与过滤流量厚德强能、求实创新2Wireshark捕获与过滤流量厚德强能、求实创新3查看网络连接的“三次握手”Step1：客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接，这是第一次握手；Step2：服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；Step3：服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。厚德强能、求实创新3查看网络连接的“三次握手”厚德强能、求实创新4网卡的工作模式网卡的工作模式有四种分别是直接模式、广播模式、混杂模式、多播模式。直接模式、广播模式、多播模式、混杂模式——是从数据包过滤

的角度来划分的网卡工作模式。这决定了网卡接收到一个数据帧后，哪些应该被接收并上传给操作系统，哪些应该被直接丢弃。厚德强能、求实创新4网卡的工作模式（1）混杂模式这是最不加过滤的模式。处于混杂模式的网卡会捕获所有流经其网络媒介（如网线）的数据帧，而不仅仅是发给它的数据帧。它会无视数据帧头中的目的MAC地址，将所有数据包一律接收并上传给操作系统。应用场景：网络协议分析：这是Wireshark、tcpdump

等抓包工具能够工作的基础。为了监控网络流量、诊断网络问题，必须将网卡设置为混杂模式。入侵检测系统/网络安全监控：安全设备需要分析网络中所有的流量，以检测恶意行为或攻击模式。网络桥接：在网络设备（如交换机、路由器）中，需要看到所有端口的数据才能进行转发决策。注意：在普通的交换网络环境中，由于交换机只会将单播流量发送到特定的端口，所以即使开启混杂模式，也未必能抓到所有主机的通信（需要交换机做端口镜像等配合）厚德强能、求实创新4网卡的工作模式（2）广播模式网卡会接收所有目的地址为广播地址的数据帧。广播地址是一个特殊的MAC地址（FF:FF:FF:FF:FF:FF），代表网络中的所有设备。这是网卡的默认基础能力，通常不需要单独“开启”，因为其他模式（如直接模式）也默认包含对广播包的接收。应用场景：ARP请求：当一台电脑需要知道另一个IP地址对应的MAC地址时，它会发送一个广播帧询问“谁的IP是XXX.XXX.XXX.XXX？”。DHCP：电脑在获取IP地址时，会向网络发送DHCPDiscover广播包。网络发现协议：许多网络服务通过广播来宣告自己的存在或发现其他服务。厚德强能、求实创新4网卡的工作模式(3)多播模式网卡会接收所有发送到特定多播组的数据帧。多播地址是MAC地址中的一个特定范围（例如，01:00:5E:xx:xx:xx

用于IPv4多播）。网卡需要被“告知”它属于哪个或哪些多播组。操作系统会通过一个协议（IGMP）告诉交换机，并将网卡配置为监听对应的多播MAC地址。应用场景：视频/音频流媒体：网络电视、视频会议系统，一个源发送数据，多个接收者同时接收，使用多播可以极大地节省网络带宽。服务发现：在一些现代应用（如某些物联网协议、金融行情系统）中，使用多播来高效地发布信息。路由协议：像OSPF这样的动态路由协议使用多播来交换路由信息。厚德强能、求实创新4网卡的工作模式（4）直接模式/单播模式这是最常见、最标准的工作模式。在此模式下，网卡只接收满足以下条件之一的数据帧：目的MAC地址与网卡自身的MAC地址完全匹配的数据帧。目的MAC地址为广播地址的数据帧。目的MAC地址为已注册的多播地址（即多播模式也开启时）的数据帧。简单说，就是“不是发给我的包，我就不要”。应用场景：绝大多数普通计算机和服务器的默认工作模式。它保证了主机只处理与自己相关的通信，避免了不必要的CPU中断和资源浪费，确保了通信的私密性和效率。厚德强能、求实创新工作模式接收的数据帧类型典型应用直接模式自己的单播帧

+广播帧+(可选)多播帧个人电脑、服务器的默认模式广播模式目的地址为

FF:FF:FF:FF:FF:FF

的帧ARP、DHCP等基础网络协议多播模式目的地址为特定多播组地址的帧视频会议、流媒体、金融行情混杂模式所有流经网络的数据帧网络抓包、安全监控、网络诊断4网卡的工作模式重要关系：直接模式是基础，它包含了

广播模式

的能力，并可以与

多播模式

共存。混杂模式是权限最高的模式，当它启用时，会覆盖其他所有过滤规则，接收所有流量。它通常需要手动启用，并且需要管理员权限。厚德强能、求实创新Wireshark的捕获模式决定了网卡能够接收到的数据包范围。●正常模式(NormalMode)网卡只会捕获发送给自身的特定数据包如单播、广播和多播数居包，适合抓取与主机直接相关的流量排查本地问题。●混杂模式(PromiscuousMode)网卡会捕获经过网络接口的所有数据包，可用于分析局域网内整体通信流量，能查看其他主机的通信。●监视模式(MonitorMode)主要用于