前言

Wireshark是一个开源的网络协议分析工具，用于捕获和分析网络数据包。它可以在多个操作系统上运行，并提供了强大的功能和用户友好的界面。

通过Wireshark，用户可以捕获网络流量，并对其进行深入的分析。它支持多种协议的解析和显示，包括常见的网络协议如Ethernet、IP、TCP、UDP、HTTP等，以及更高级的协议如DNS、SSL/TLS等。

Wireshark的主要特点如下：

1. 数据包捕获：Wireshark可以实时捕获网络数据包，并以可视化的方式显示捕获的数据。用户可以选择特定的网络接口进行捕获，并应用过滤器来获取特定协议或目标的数据流量。

2. 数据包分析：Wireshark提供了强大的分析工具，可以对捕获的数据包进行深入的解析和分析。用户可以查看各个协议的字段和属性，并利用过滤器和统计功能来过滤和聚合数据。

3. 协议支持：Wireshark支持解析和显示多种网络协议，包括常见的协议和高级的应用层协议。用户可以根据需要选择关注的协议，并查看相关的数据包信息。

4. 插件支持：Wireshark支持插件扩展机制，用户可以根据需要安装和使用各种插件，以增强功能和定制分析过程。

Wireshark是一个强大的网络分析工具，广泛应用于网络管理、故障排查、安全审计等领域。通过使用Wireshark，用户可以深入了解网络流量和协议，分析和解决网络问题，并提高网络的性能和安全性。

一、ARP 嗅探原理

ARP嗅探（ARP Spoofing）是一种网络攻击技术，攻击者通过欺骗局域网内的设备，获取其通信中的敏感信息。ARP（Address Resolution Protocol）是用于将IP地址映射到MAC地址的协议，攻击者通过ARP欺骗来伪造网络设备的MAC地址，以获取网络流量或中间人攻击。

下面是ARP嗅探的工作原理：

1. 攻击者发送ARP请求：攻击者在局域网内发送一个ARP请求，询问目标设备的MAC地址，但将源IP地址设置为受害者的IP地址。

2. 受害者回复ARP响应：目标设备收到ARP请求后，会将其MAC地址发送给攻击者，以回复ARP响应。

3. 攻击者欺骗网络设备：攻击者将受害者的IP地址与攻击者自己的MAC地址进行映射，并将其广播到局域网中，伪造一个ARP响应。

4. 网络设备更新ARP缓存：其他网络设备在接收到攻击者伪造的ARP响应后，会将受害者的IP地址与攻击者的MAC地址进行映射，并更新其ARP缓存。

5. 攻击者截取通信：当受害者发送数据包时，它们会被发送到攻击者的设备，攻击者可以截取这些数据包并获取其中的敏感信息。

ARP嗅探的目的通常是拦截网络流量，并进行中间人攻击（如欺骗登录凭证、窃取数据等）。这种攻击方法对于未经身份验证的网络通信特别有效，因为ARP协议是基于信任的，没有对请求者身份进行验证。

二、ARP 嗅探防御

为了防止ARP嗅探攻击，可以采取以下措施：

1. 使用静态ARP绑定：将IP地址与MAC地址进行静态绑定，限制ARP缓存的动态更新。

2. 使用安全ARP协议：如ARP防火墙，限制未经授权的ARP通信。

3. 使用网络流量监控和入侵检测系统（IDS）：IDS可以检测到异常的ARP流量，如重复的ARP响应或大量的ARP请求。

4. 使用加密和身份验证：使用加密协议（如TLS）来保护敏感数据的传输，并进行身份验证以防止中间人攻击。

5. 使用虚拟专用网络（VPN）：通过使用VPN来加密通信流量，防止ARP欺骗对流量的截取和篡改。

6. 定期更新和监控网络设备：及时应用网络设备的安全补丁，并定期监控网络设备的日志，以检测和响应任何潜在的攻击行为。

通过采取这些预防措施，可以减少ARP嗅探攻击的风险，保护网络和用户的安全。

三、实操演示

注意：需在同一局域网内

受害者：Windows 10

攻击者：Kail

打开 Wireshark，点击 Capture，点击 OPtions，勾选开启混合模式，最后点击 Start

如图所示，受害者发送的包咱们也能接收到