几种常见网络抓包方式介绍

无论作为网络运维人员，还是安全渗透工程师，在工作中都会无可避免地碰到网络抓包的需求。

对网络运维人员，网络抓包可以：

• 定位网络里的异常设备；
• 排查网络性能瓶颈；
• 了解真实的网络互联状态。

对安全渗透工程师，网络抓包可以：

• 有助于逆向分析联网型App；
• 从真实流量中发现可利用的漏洞；
• 定位可能的网络后门和木马。

以上这些目标，往往无法仅靠在本机上抓包完成，必须在网络层有更方便的抓包解决方案。在古早还使用集线器（Hub）时，由于Hub设备不够“智能”，它会把所有的流量转发给所有的端口（除了发出端口之外），所以只要把监听机器的网卡设置为混杂模式（promiscuous mode），即可收到接在同一个Hub上其他机器的流量。但这种方式随着Hub退出市场，也慢慢不再适用了。

以下介绍几种在实验室环境和中小型网络里的网络抓包方式。它们不是企业级专业级的解决方案，而更适用于个人网络逆向分析和问题定位。

一、网络分流器（TAP）

网络分流器大多都是无源型（passive）设备，所以不需要装任何软件，不需要有什么额外知识，就能抓到流经网线的流量。一款非常小巧便携的适合个人使用的网络分析器如图：

图1

上图东西的全名叫“Throwing Star LAN TAP”，用上述关键字在淘宝可以找到，盛惠50大元。通过和参照物的对比，可以看出它非常小巧，而且无需电源供电，只是在接入网络时会引起短暂的网络中断，基本对网络没有影响。

它共有4个RJ45口，形成一个飞镖状（飞镖的英文就是“Throwing Star”）的十字结构。使用时把J1-J2串入需要做抓包的网络中，J3和J4连接抓包机器。也就说J3和J4两个口，是分别捕获流入和流出两个方向的流量，再分别复制给监听系统的两个网络端口的。所以要想同时捕获监控链路里的所有流量，监控工作台电脑必须有两块用于嗅探的网卡。这个也并不难实现，除了默认的有线网卡之外，只要再接一个USB接口的有线网卡即可。以下为TAP接入网络的场景：

图2

TAP可以直接串在要抓包的设备前面，也可以接到某台交换设备前面。如果接在交换设备前，得到的流量可能很大，在设置抓包参数时需要做适当的过滤。如上图示意图，我们使用的抓包机器为 Linux系统，上有两块有线网卡，分别连接J3和J4接口。要注意的是，抓包机器这样接入TAP后，自身是无法上网的！

在抓包机器上，执行 tshark-D 命令，获得系统里当前可以抓包的所有接口列表。需要对哪个接口抓包，可以用 -i 参数指定。如下图的网卡列表中，排名第一的 "1.enp0s25" 即为系统自带有线网卡，排名第二的 “2. enx00e04c680039” 是USB接口的有线网卡。如果需要同时对两块网卡做抓包，只需要在 tshark -i 参数后，加入网卡编号即可。所以最后执行的命令为： tshark-i1-i2-w cap2.pcap，就可以把流经TAP的全部流量，保存到 cap2.pcap 文件里。

图3

以上步骤虽然是以Linux操作系统的抓包机器来做示例，但完全可以移植到其他平台，如Windows平台甚至可以直接在图形界面的Wireshark里选定要抓包的网络接口，操作上更直观可用。从获得的cap2.pcap抓包文件里再做细致的数据包分析和检索。

如下图中查看的端点列表。

图4

以及下图中的往来HTTP流量。如果抓包机器上只有一个网卡，只能连到J3/J4接口之一，则下面这个截图里的HTTP流量，在同一时间内只能获得请求或者响应单个方向的流量。

图5

二、有网管功能的小交换机

上面介绍的无源 TAP固然非常便携，但如果不乐意在自己机器上多准备一个网络接口，就无法同时抓到双向的流量。如何解决这个问题呢？最简单的方式，是使用具备网管功能的交换机。现在具备网管功能的交换机并不昂贵，有大量适用于办公网络的小交换机可供选购。在选购的过程中，请注意它的功能列表是否标有“支持端口镜像”，如果有，就可以满足抓包的需求。如我们测试使用的这款tp-link TL-SG2005小交换机：

图6

这类设备使用方式取决于不同的品牌和型号，请阅读相关说明说。在我们这款设备中，只需要把监控机器接到某个网络接口（下图中抓包机器接在端口5上），并访问内置Web控制台，从Web控制台上，指定对哪个或哪几个端口进行流量镜像即可（下图中需要被抓包的机器在端口4上）。 配置示例如下图：

图7

如上图设置完成后，即可在端口5所连的抓包机器上，非常方便地对接在端口4所接机器执行抓包监控。

三、用两块网卡的Linux方案

hmmm，上面的方法确实都很不错啦，但好像都只支持有线连接的设备抓包？如果需要对无线设备的流量抓包怎么办呢？这可以通过各种装有2个网卡，搭建自己的无线 AP实现。预算低的可以选择树莓派这类ARM平台硬件系统，预算充裕的可以选择带无线网卡的各种迷你电脑。自行在这些机器安装合适的Linux发行版，并把这些设备配置成“有线-无线网卡”的网桥/无线接入点，然后直接在这台机器的网桥接口上进行抓包。这种方式可以指定源端机器的详细信息做过滤，如IP地址或MAC地方，抓包过滤可以更定制化更精确。以下我们以装了基于Debian系统的树莓派举例说明大体步骤。

图8

树莓派已自带一块有线网卡和一块无线网卡接口，在系统中分别名为eth0和wlan0。以下用树莓派3在官方Raspbian平台的情况举例。

首先安装 (1)网桥管理程序 bridge-utils、(2)软AP接入点管理程序hostapd、(3)命令行抓包工具tshark 和 (4)随机数产生工具rng-tools：

sudo apt-get install -y bridge-utils hostapd tshark rng-tools

要启用网桥功能，需要在内核里把 net.ipv4.ip_forward 置为1。修改 /etc/sysctl.conf ，加入以下这行：

net.ipv4.ip_forward=1

创建一个网桥br0，编辑 /etc/network/interfaces，把eth0 网卡加入网桥br0，把网桥br0的IP，设置为原来eth0的IP。

也就是【address 192.168.99.13】这一行，应为 eth0 网卡的原IP地址，其他信息如网关和dns等请根据实际情况修改。

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

allow-hotplug wlan0
iface wlan0 inet manual

#创建一个网桥br0，把eth0加入这个网桥
#给网桥指定一个静态IP，这里用192.168.99.13，是因为树莓派所接网段为192.168.99.0/24，需要根据实际情况修改
#网桥的静态IP最好和原来的eth0静态ip保持一致，虽然不是强制项
auto br0
iface br0 inet static
        bridge_ports eth0
        address 192.168.99.13
        netmask 255.255.255.0
        network 192.168.99.0
        broadcast 192.168.99.255
        gateway   192.168.99.1
        dns-nameservers 8.8.8.8

#如果网桥需要用dhcp方式获得IP
#iface br0 inet dhcp

把无线网卡wlan0配置为AP热点，热点的ssid名为【wifi_ssid】，密码为【12345678】，编辑文件 /etc/hostapd/hostapd.conf ：

# 把wlan0网卡配置为ap热点
interface=wlan0
driver=nl80211
hw_mode=g
channel=6
ieee80211n=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# 接入点名称，可按实际需求修改
ssid=wifi_ssid
# 接入点验证密码，可按实际需求修改
wpa_passphrase=12345678
# 把接入点加入网桥br0
bridge=br0

要持久化以上热点配置，编辑hostapd服务文件，执行命令 sudo vi/etc/systemd/system/hostapd.service，把 /etc/systemd/system/hostapd.service 文件的内容设置为：

[Unit]
Description=Hostapd Service

[Service]
Type=forking
ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf

[Install]
#WantedBy=multi-user.target
WantedBy=graphical.target
Alias=hostapd.service

其中【WantedBy=】一行取决于当前系统的默认启动级别，可以先执行命令 systemctlget-default 确认默认启动级别。根据实际情况，选择其中一种。

再把hostapd服务指定为自启动模式：

sudo update-rc.d hostapd defaults
sudo update-rc.d hostapd enable
service hostapd status

完成后重启机器， sudo reboot now 。

重启重新登录系统后，执行以下命令查看网桥br0的状态：

$ brctl show br0
bridge name     bridge id               STP enabled     interfaces
br0             8000.b827eb99a031       no              eth0
                                                        wlan0

$ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.99.90  netmask 255.255.255.0  broadcast 192.168.99.255
        inet6 fe80::ba27:ebff:fe99:a031  prefixlen 64  scopeid 0x20<link>

执行以下命令，验证和查看wlan0网卡上的热点状态，在返回的内容里，看到【ssid wifi_ssid】，即为热点正常启动。

$sudo iw wlan0 info
Interface wlan0
        ifindex 3
        wdev 0x1
        addr b8:27:eb:cc:f5:64
        ssid wifi_ssid
        type AP
        wiphy 0
        channel 6 (2437 MHz), width: 20 MHz, center1: 2437 MHz
        txpower 31.00 dBm

重启和验证过网桥和热点信息后，扫描所在无线网络，果然看到名为“wifi_ssid”的接入点。从手机的WIFI设置上，选择加入该无线网络：

图9

输入正确的接入点验证密码后，手机获得了树莓派网桥分配的IP地址：

图10

此时只要登录树莓派，执行以下命令行，在 host参数里指定手机的IP地址，即可对该IP的所有流量进行精确抓包：

tshark -i br0 -w traffic_from_mobile.pcap 'host 192.168.99.114'

最后得到的 traffic_from_mobile.pcap 文件里就获得这台手机的完整流量了。

四、总结

从以上介绍可以看出，网络层抓包有各种可选方式，建议根据自己的需求和具体网络架构，选择适用的模式。另外也可以进行多种模式的叠加和串接，实现更灵活的抓包模式。

同时我们也要提醒一下：网络抓包有风险！不要贸然实施未获授权的抓包，可能会违法违规，以上方式只建议在实验和学习环境中使用。

最后，我们也再完整地总结一下上述三种方式的对比：

（朱筱丹 | 天存信息）

Ref

1. J. Bullock, J T. Parker - Wireshark for security professionals
2. Using a Raspberry Pi 3 as a WiFi Access Point and Bridge
3. NetworkConfiguration
4. RPI-Wireless-Hotspot