可能你會好奇，為什么可以嗅探到別人上網的數據呢？今天我就帶大家一起用kali linux中的wireshark軟件(kali默認安裝，ubuntu使用apt安裝，CentOS使用yum安裝，其余自行至官網下載并安裝)進行一次嗅探。

1.Arp轉發流量

客戶端瀏覽網頁時，會先廣播一個Arp請求詢問服務器的MAC地址，收到請求的計算機會查找自己的Arp緩存，如果找到了，就回應請求。
打個比方，Bob想和Alice對話，但他們被關在了一個漆黑的屋子里，周圍還有其他人。這個時候，Bob大聲問道，“Alice在哪兒？”Alice聽到后回答Bob，“我在這兒！”于是Bob和Alice碰面了。
可是如果心術不正的Jerry想要知道Bob和Alice的談話內容，他就偽裝成Alice回復Bob的請求，Bob誤認為Jerry是Alice，和他開始交談。為了不讓Bob發現自己的真實身份，他又把Bob說的話告訴Alice，把Alice說的話告訴Bob，于是他成功地嗅探到Bob與Alice的談話內容

2.Arp斷網攻擊與欺騙

根據1中的類比，如果Jerry不把Bob的話告訴Alice，那么Bob就處于斷網狀態，稱為斷網攻擊，因為Bob根本聯系不到Jerry。如果Jerry把Bob的話告訴了Alice，那么Jerry就像中間人一樣，Bob就被Jerry欺騙了。根據這個原理，制作了一款工具叫Arpspoof，安裝和wireshark一樣，下面是arpspoof的用法。
arspoof -i 網卡 -t 受害者ip 目標ip
網卡就是連入局域網的網卡，必須是同一局域網內的計算機才能攻擊。
受害者ip就是你要攻擊的對象，阻止它與目標ip的連接。
對于linux，一般是禁止ip轉發的，即Jerry不能把Bob的話告訴Alice，如果要開啟轉發，執行echo 1 >/proc/sys/net/ipv4/ip_forward，禁止把1改成0即可
假設目標ip是192.168.3.52，網關是192.168.3.1，我的網卡是eth0，那么我欺騙的命令是

echo 1 >/proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 192.168.3.52 192.168.3.1 >/dev/null 2>&1 & arpspoof -i eth0 -t 192.168.3.1 192.168.3.52 >/dev/null 2>&1 &

由于arpspoof產生大量Arp輸出，這里禁用輸出流和錯誤流并讓它后臺運行

3.攻擊前的準備工作——偵查

使用命令ifconfig獲取自己的網卡，找到有自己ip地址的那一段(不是127.0.0.1，是內網的地址)，第一個單詞就是網卡名，一般是ethx或wlanx
一般來說，網關就是把自己ip最后一位改成1(ip在上一步操作中一起獲得)
用nmap獲取對方的ip，這里需要對對方電腦較為熟悉，實在不行直接到對方電腦上去查
nmap -sV 192.168.3.*
192.168.3是自己ip的前三位，視實際情況而定，如果是10.xxx.xxx.xxx，那么用
nmap -sV 10.*.*.*
可能會等待一段時間，查詢結束后會顯示網段中存活主機，并顯示MAC地址，有一些可以識別出網卡產商
根據提供的信息慢慢找，如果不行也可以用-O參數來判斷系統
nmap -O ip

4.開始嗅探——wireshark的使用

如果你已經成功獲取對方的ip并且成功的進行arp欺騙，那么就可以進行接下來的步驟了。
打開 wireshark，kali的位置如下圖所示，可以用命令wireshark打開

在Sniffing & Spoofing(嗅探與欺騙)中就有wireshark，界面大致如下

雙擊你的網卡名(我的是eth0)，會進入如下界面(默認直接開始嗅探，所以會出現很多包)

No.是包的編號，Time是從開始抓包起的時間，Source是指發送者ip，Destination就是接收者ip，Protocol就是傳輸協議(例如arp、tcp、udp、http、http2，http2指https)，Length是指包的長度，Info就是一些相關的信息
點擊Statistics-->Capture File Properties(統計–>抓包屬性)，可以查看抓包的統計數據
但是包這么多，我怎么找到我想要看的包呢？使用Filter
例如ip.addr == 192.168.3.52，就是保留192.168.3.52的包，它作為發送者或接受者均可
ip.src指發送者，ip.dst指接受者
單獨的協議名控制協議類型，如tcp、http
使用and和or進行邏輯運算，運算優先級為

優先級運算備注

1	()	小括號
2	.	從屬運算
3	not	取非運算
4	==,<,>,<=,>=	比較運算
5	and,or	邏輯運算(從左至右)

例如ip.addr == 192.168.3.52 and tcp就是保留192.168.3.52建立的tcp連接
ip.addr == 192.168.3.52 and (http or http2)就是192.168.3.52瀏覽的網頁
如果你輸入的Filter語法正確，輸入框會呈綠色，否則呈紅色


注意，請不要用localhost(報錯)和127.0.0.1得不到任何包，所有ip地址都是內網通用的ip
抓到包并過濾后，中間一欄和下面一欄就是關于包的信息

總結

以上是生活随笔為你收集整理的wireshark如何对指定ip进行嗅探的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。