抓包技术（抓包详细资料大全）

　　抓包，就是把网络传输的数据包截获下来，做各种操作，比如重发、编辑或者存储起来。它也被广泛用来检查网络安全，也可以用来截取数据。

　　抓包的基本介绍

　　抓包，中文名叫抓包，外文名叫packet capture，它可以根据需要进行截获、重发以及编辑数据包等操作。它的作用很重要，可以帮助我们检查网络的安全情况。另外，在网游作弊方面，抓包也经常被使用。

　　抓包的方法、安装工具、以及配置网络路由

　　如果我们想要分析网络数据包的内容，首先我们需要找一个免费或者试用版的抓包工具。我使用了一个叫做SpyNet3.12的抓包工具，非常小巧，而且非常快速。安装完成之后，我们就有了一台用来抓包的主机。我们可以通过SpyNet来设置抓包的类型，比如我们是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

　　如果你的路由器有预设网关，你知道它指向了哪里吗?在病毒爆发的情况下，把预设网关指向另外一台路由器是非常危险的，除非你想让那台路由器变得瘫痪。在一些企业网络中，通常只指定内部地址段的路由，而不设置预设路由。所以，我们可以把预设路由指向抓包主机(它不下地狱谁下地狱?)。当然，抓包主机的性能最好是要高一点的，否则很容易被病毒攻击所瘫痪。这样一来，那些病毒主机发出的大部分扫描行为都会自动被送到抓包主机上。或者，我们也可以把网络的出口映射到抓包主机上，这样所有对外访问的网络包都可以被分析到。

　　开始抓包

　　抓包主机已经设定好了，网络里的数据包也都送到了，那么我们就来看看网络里都传输了些什么。打开SpyNet，点击Capture，你会看到许多数据显示出来，这些就是被捕获的数据包。主窗口显示了抓包的情况，列出了抓到的数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型以及源目的连接端口等内容。很容易看出，IP地址为10.32.20.71的主机在很短的时间内向大量的不同主机发送了访问请求，而且目的连接端口都是445。

　　找出感染的主机

　　从抓包的情况来看，我们可以怀疑10.32.20.71这台主机。首先，我们看一下目的IP地址，我们的网络里有这些地址吗?很可能根本就没有这些地址段。其次，正常情况下，在这么短的时间内发起这么多的访问请求，是真的吗?在毫秒级的时间内发出几十甚至几百个连接请求，是正常的吗?显然，这台10.32.20.71的主机肯定有问题。进一步了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，而连接端口是445，这进一步证实了我们的判断。这样，我们就很容易地找到了感染的主机的IP地址。剩下的工作就是给该主机操作系统打补丁并杀掉病毒了。

　　既然抓到了病毒包，我们来看一下这个数据包的二进制解码内容：这些数据包的长度都是62个字节。数据包的前12个字节包括了目的MAC和源MAC的地址信息，紧接着的2个字节指出了数据包的类型，0800代表IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的连接端口，TCP连接的状态信息等。这就组成了一个62个字节的包。可以看出，除了这些包头数据之外，这个包没有携带任何有效的数据负载，所以这是一个TCP要求445连接端口同步的空包，也就是病毒主机在扫描445连接端口。一旦感染的主机和没有采取防护措施的主机的445连接端口同步，病毒就会利用系统漏洞传播感染。

　　抓包在实际语言中也可以指被别人当场抓到的意思。它的英文名称是Sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及传输的信息。当信息以明文的形式在网络上传输时，可以利用网络监听的方式进行攻击。将网络接口设定为监听模式，就可以截获网络传输的信息。黑客们经常使用这种工具来截获用户的密码。曾经有报道说，有黑客入侵了某个主干网络的路由器，并截获了大量用户的密码。本文详细介绍了Sniffer的原理和应用。

　　Sniffer的原理

　　在讲解Sniffer的概念之前，首先需要了解一些局域网设备的基本概念。数据在网络上以帧为单位进行传输，帧由几个部分组成，每个部分承担不同的功能。帧通过特定的网络驱动程序进行组装，并通过网卡发送到网线上，然后通过网线到达目标机器，并在目标机器的一端执行相反的过程。接收端的以太网卡捕获这些帧，并通知操作系统帧已经到达，然后进行存储。在这个传输和接收的过程中，使用嗅探器会带来安全方面的问题。

　　每个局域网上的工作站都有唯一的硬件地址，用来表示网络上的机器，类似于Internet地址系统。当用户发送一个数据包时，如果是广播包，可以到达局域网中的所有机器;如果是单播包，只能到达指定的机器。当信息以明文的形式在网络上传输时，嗅探器可以通过监听模式来捕获这些信息。把网络接口设置为监听模式，就可以截获网络传输的信息。黑客们经常使用这种方法来截获用户的密码。据说某个主干网络的路由器曾经被黑客入侵，并截获了大量用户的密码。本文详细介绍了嗅探器的原理和使用方法。