当你想要知道一台网络设备,例如网络电视、机顶盒往外发送了什么数据、接收了什么数据,可以进行网络抓包。
怎么操作抓包呢,可以使用集线器(HUB)进行抓包。
什么是集线器?我们回顾一下计算机网络里的概念,并对比一下集线器、交换机、路由器。
集线器(Hub):是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。发生在物理层。
交换机(Switch):是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路,把传输的信息送到符合要求的相应路由上。发生在数据链路层。
路由器(Router):是连接因特网中各局域网、广域网的设备。在路由器中记录着路由表,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。发生在网络层。
上面的术语解释太专业,完全不像人话。通俗的讲:
集线器是连接同一个网段的设备,通信方式是广播的,一个设备在通话,集线器所有的设备都能"听见"。
交换机是连接同一个局域网的设备,通信方式是识别MAC地址的,一个MAC设备跟另外一个MAC设备通话,其他设备是"听不见"的。
路由器是连接不同网络的设备,通信方式是识别IP地址的,一个IP设备跨越大洋要跟彼岸的另外一个IP设备通话,要"选路",路径上有很多的路由器在帮助传递。
注1:MAC地址,英文全称:Media Access Control Address,也叫物理地址、硬件地址,由网络设备制造商生产时烧录在网卡中。
注2:IP地址(Internet Protocol Address 互联网国际地址)是一种在Internet上的给主机编址的方式,它主要是为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
注3:要成为这方面的专家,可以去系统地学习一下《计算机网络》。
因为集线器设备过于简单,生产销售它几乎没有什么利润,前些年还能买到,现在已经基本买不到了。
但是它的用途还存在,还被需要,怎么办呢?功能迁移一下,行业内在生产交换机的时候,有时会带上流量镜像功能,这可以替代集线器。
概念讲完了,下面我们进入实操环节:
上图中,左边是正常的网络连接,右边是抓包时候的网络连接,中间串联了一个集线器,集线器会将TV的出入流量广播到其他端口,这样笔记本就可以抓到TV的进出网络报文了。
中间串联的集线器,也可以换成有流量镜像的交换机,它可以将TV连接的网口的出入流量,都镜像(复制)到另外一个网口,笔记本接这个网口就可以抓到TV的进出网络报文了,原理是一样的。
交换机需要进行流量镜像的设置,以TP-LINK小交换机(型号: TL-SG2005)为例:
1、笔记本连接交换机,输入http://192.168.0.1/登录小交换机的管理界面,
账号/密码通常是admin/admin
2、进行流量镜像的设置,如下图,共设置5处:禁用改为启用,选择相应的端口即可。
注:交换机断电后设置可能丢失,需要重新设置。
3、笔记本上安装抓包软件,推荐如下两款:
1)命令行版的tcpdump
2)图形界面版的wireshark
一个常用的tcpdump命令是:
tcpdump -i any -s 0 -v -w xxx.pcap
-i参数,后面跟网卡名字,any表示抓任意网卡。如果其他网卡也有大量流量会造成干扰,那就设置具体的网卡名。
-s 0参数,表示不限制网络包的大小,如果不设置,会出现网络包只抓半个的现象,请一定设置。
-v参数,表示显示抓包数量,也可以设置-vv,-vvv,v越多显示的越详细。
-wxxx.pcap,表示实时写入xxx.pcap文件中去,文件名请自定。
其他更多参数,可以到官网详细学习。
wireshark呢,只是图形界面而已,原理跟tcpdump完全一样。
实践证明:tcpdump更适应于Linux操作系统,windows下安装tcpdump会存在诸多困难、推荐安装wireshark。
全文完。
热门跟贴