無論作為網路運維人員，還是安全滲透工程師，在作業中都會無可避免地碰到網路抓包的需求，

對網路運維人員，網路抓包可以：

• 定位網路里的例外設備；
• 排查網路性能瓶頸；
• 了解真實的網路互聯狀態，

對安全滲透工程師，網路抓包可以：

• 有助于逆向分析聯網型App；
• 從真實流量中發現可利用的漏洞；
• 定位可能的網路后門和木馬，

以上這些目標，往往無法僅靠在本機上抓包完成，必須在網路層有更方便的抓包解決方案，在古早還使用集線器（Hub）時，由于Hub設備不夠“智能”，它會把所有的流量轉發給所有的埠（除了發出埠之外），所以只要把監聽機器的網卡設定為混雜模式（promiscuous mode），即可收到接在同一個Hub上其他機器的流量，但這種方式隨著Hub退出市場，也慢慢不再適用了，

以下介紹幾種在實驗室環境和中小型網路里的網路抓包方式，它們不是企業級專業級的解決方案，而更適用于個人網路逆向分析和問題定位，

一、網路分流器（TAP）

網路分流器大多都是無源型（passive）設備，所以不需要裝任何軟體，不需要有什么額外知識，就能抓到流經網線的流量，一款非常小巧便攜的適合個人使用的網路分析器如圖：

上圖東西的全名叫“Throwing Star LAN TAP”，用上述關鍵字在淘寶可以找到，盛惠50大元，通過和參照物的對比，可以看出它非常小巧，而且無需電源供電，只是在接入網路時會引起短暫的網路中斷，基本對網路沒有影響，

它共有4個RJ45口，形成一個飛鏢狀（飛鏢的英文就是“Throwing Star”）的十字結構，使用時把J1-J2串入需要做抓包的網路中，J3和J4連接抓包機器，也就說J3和J4兩個口，是分別捕獲流入和流出兩個方向的流量，再分別復制給監聽系統的兩個網路埠的，所以要想同時捕獲監控鏈路里的所有流量，監控作業臺電腦必須有兩塊用于嗅探的網卡，這個也并不難實作，除了默認的有線網卡之外，只要再接一個USB介面的有線網卡即可，以下為TAP接入網路的場景：

TAP可以直接串在要抓包的設備前面，也可以接到某臺交換設備前面，如果接在交換設備前，得到的流量可能很大，在設定抓包引數時需要做適當的過濾，如上圖示意圖，我們使用的抓包機器為 Linux系統，上有兩塊有線網卡，分別連接J3和J4介面，要注意的是，抓包機器這樣接入TAP后，自身是無法上網的！

在抓包機器上，執行 tshark-D 命令，獲得系統里當前可以抓包的所有介面串列，需要對哪個介面抓包，可以用 -i 引數指定，如下圖的網卡串列中，排名第一的 "1.enp0s25" 即為系統自帶有線網卡，排名第二的 “2. enx00e04c680039” 是USB介面的有線網卡，如果需要同時對兩塊網卡做抓包，只需要在 tshark -i 引數后，加入網卡編號即可，所以最后執行的命令為： tshark-i1-i2-w cap2.pcap，就可以把流經TAP的全部流量，保存到 cap2.pcap 檔案里，

以上步驟雖然是以Linux作業系統的抓包機器來做示例，但完全可以移植到其他平臺，如Windows平臺甚至可以直接在圖形界面的Wireshark里選定要抓包的網路介面，操作上更直觀可用，從獲得的cap2.pcap抓包檔案里再做細致的資料包分析和檢索，

如下圖中查看的端點串列，

以及下圖中的往來HTTP流量，如果抓包機器上只有一個網卡，只能連到J3/J4介面之一，則下面這個截圖里的HTTP流量，在同一時間內只能獲得請求或者回應單個方向的流量，

二、有網管功能的小交換機

上面介紹的無源 TAP固然非常便攜，但如果不樂意在自己機器上多準備一個網路介面，就無法同時抓到雙向的流量，如何解決這個問題呢？最簡單的方式，是使用具備網管功能的交換機，現在具備網管功能的交換機并不昂貴，有大量適用于辦公網路的小交換機可供選購，在選購的程序中，請注意它的功能串列是否標有“支持埠鏡像”，如果有，就可以滿足抓包的需求，如我們測驗使用的這款tp-link TL-SG2005小交換機：

這類設備使用方式取決于不同的品牌和型號，請閱讀相關說明說，在我們這款設備中，只需要把監控機器接到某個網路介面（下圖中抓包機器接在埠5上），并訪問內置Web控制臺，從Web控制臺上，指定對哪個或哪幾個埠進行流量鏡像即可（下圖中需要被抓包的機器在埠4上）， 配置示例如下圖：

如上圖設定完成后，即可在埠5所連的抓包機器上，非常方便地對接在埠4所接機器執行抓包監控，

三、用兩塊網卡的Linux方案

hmmm，上面的方法確實都很不錯啦，但好像都只支持有線連接的設備抓包？如果需要對無線設備的流量抓包怎么辦呢？這可以通過各種裝有2個網卡，搭建自己的無線 AP實作，預算低的可以選擇樹莓派這類ARM平臺硬體系統，預算充裕的可以選擇帶無線網卡的各種迷你電腦，自行在這些機器安裝合適的Linux發行版，并把這些設備配置成“有線-無線網卡”的網橋/無線接入點，然后直接在這臺機器的網橋介面上進行抓包，這種方式可以指定源端機器的詳細資訊做過濾，如IP地址或MAC地方，抓包過濾可以更定制化更精確，以下我們以裝了基于Debian系統的樹莓派舉例說明大體步驟，

樹莓派已自帶一塊有線網卡和一塊無線網卡介面，在系統中分別名為eth0和wlan0，以下用樹莓派3在官方Raspbian平臺的情況舉例，

首先安裝 (1)網橋管理程式 bridge-utils、(2)軟AP接入點管理程式hostapd、(3)命令列抓包工具tshark 和 (4)亂數產生工具rng-tools：

sudo apt-get install -y bridge-utils hostapd tshark rng-tools

要啟用網橋功能，需要在內核里把 net.ipv4.ip_forward 置為1，修改 /etc/sysctl.conf ，加入以下這行：

net.ipv4.ip_forward=1

創建一個網橋br0，編輯 /etc/network/interfaces，把eth0 網卡加入網橋br0，把網橋br0的IP，設定為原來eth0的IP，

也就是【address 192.168.99.13】這一行，應為 eth0 網卡的原IP地址，其他資訊如網關和dns等請根據實際情況修改，

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

allow-hotplug wlan0
iface wlan0 inet manual

#創建一個網橋br0，把eth0加入這個網橋
#給網橋指定一個靜態IP，這里用192.168.99.13，是因為樹莓派所接網段為192.168.99.0/24，需要根據實際情況修改
#網橋的靜態IP最好和原來的eth0靜態ip保持一致，雖然不是強制項
auto br0
iface br0 inet static
        bridge_ports eth0
        address 192.168.99.13
        netmask 255.255.255.0
        network 192.168.99.0
        broadcast 192.168.99.255
        gateway   192.168.99.1
        dns-nameservers 8.8.8.8

#如果網橋需要用dhcp方式獲得IP
#iface br0 inet dhcp

把無線網卡wlan0配置為AP熱點，熱點的ssid名為【wifi_ssid】，密碼為【12345678】，編輯檔案 /etc/hostapd/hostapd.conf ：

# 把wlan0網卡配置為ap熱點
interface=wlan0
driver=nl80211
hw_mode=g
channel=6
ieee80211n=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# 接入點名稱，可按實際需求修改
ssid=wifi_ssid
# 接入點驗證密碼，可按實際需求修改
wpa_passphrase=12345678
# 把接入點加入網橋br0
bridge=br0

要持久化以上熱點配置，編輯hostapd服務檔案，執行命令 sudo vi/etc/systemd/system/hostapd.service，把 /etc/systemd/system/hostapd.service 檔案的內容設定為：

[Unit]
Description=Hostapd Service

[Service]
Type=forking
ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf

[Install]
#WantedBy=multi-user.target
WantedBy=graphical.target
Alias=hostapd.service

其中【WantedBy=】一行取決于當前系統的默認啟動級別，可以先執行命令 systemctlget-default 確認默認啟動級別，根據實際情況，選擇其中一種，

再把hostapd服務指定為自啟動模式：

sudo update-rc.d hostapd defaults
sudo update-rc.d hostapd enable
service hostapd status

完成后重啟機器， sudo reboot now ，

重啟重新登錄系統后，執行以下命令查看網橋br0的狀態：

$ brctl show br0
bridge name     bridge id               STP enabled     interfaces
br0             8000.b827eb99a031       no              eth0
                                                        wlan0

$ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.99.90  netmask 255.255.255.0  broadcast 192.168.99.255
        inet6 fe80::ba27:ebff:fe99:a031  prefixlen 64  scopeid 0x20<link>

執行以下命令，驗證和查看wlan0網卡上的熱點狀態，在回傳的內容里，看到【ssid wifi_ssid】，即為熱點正常啟動，

$sudo iw wlan0 info
Interface wlan0
        ifindex 3
        wdev 0x1
        addr b8:27:eb:cc:f5:64
        ssid wifi_ssid
        type AP
        wiphy 0
        channel 6 (2437 MHz), width: 20 MHz, center1: 2437 MHz
        txpower 31.00 dBm

重啟和驗證過網橋和熱點資訊后，掃描所在無線網路，果然看到名為“wifi_ssid”的接入點，從手機的WIFI設定上，選擇加入該無線網路：

輸入正確的接入點驗證密碼后，手機獲得了樹莓派網橋分配的IP地址：

此時只要登錄樹莓派，執行以下命令列，在 host引數里指定手機的IP地址，即可對該IP的所有流量進行精確抓包：

tshark -i br0 -w traffic_from_mobile.pcap 'host 192.168.99.114'

最后得到的 traffic_from_mobile.pcap 檔案里就獲得這臺手機的完整流量了，

四、總結

從以上介紹可以看出，網路層抓包有各種可選方式，建議根據自己的需求和具體網路架構，選擇適用的模式，另外也可以進行多種模式的疊加和串接，實作更靈活的抓包模式，

同時我們也要提醒一下：網路抓包有風險！不要貿然實施未獲授權的抓包，可能會違法違規，以上方式只建議在實驗和學習環境中使用，

最后，我們也再完整地總結一下上述三種方式的對比：

（朱筱丹 | 天存資訊）

Ref

1. J. Bullock, J T. Parker - Wireshark for security professionals
2. Using a Raspberry Pi 3 as a WiFi Access Point and Bridge
3. NetworkConfiguration
4. RPI-Wireless-Hotspot

標籤：其他

上一篇：DCSync

下一篇：滲透測驗——資訊收集