Cain抓包指南
1、简介:
在开发测试工作中经常有捕抓设备间通信报文的需求,但有时候被抓包的设备并不直接和进行抓包的主机或设备进行通信,因此会达不到想要的效果。解决该问题的常见方法有:
(1)、为被抓包的设备设置代理,即将数据包重定向到代理机上,代理机再转发到目标机,然后在代理机上抓包。优点:设置简单,捕抓的数据有针对性,易于分析。缺点:很多应用不支持代理功能。
(2)、使用HUB,即抓包机器和目标机器连接在同一HUB上,通过混杂模式进行抓包。优点:设置简单。缺点:需要硬件成本支持,HUB已被淘汰不易购买使用。
(3)、使用特定的软件将局域网内的通信流量强制导向抓包机。优点:通用性强,适应更多场景。缺点:当局域网流量较大时可能会造成网络堵塞。
本文主要针对第3点的使用方法进行阐述。
2、工作原理:
正常工作时的通信流量:
启动软件后,将目标机的通信流量强制导向到抓包主机,达到“嗅探”的目的。
3、实施步骤:
3.1、在抓包机上下载安装Cain(本文不提供地址)。
3.2、启动Cain,打开嗅探器,如下图所示:
3.3、在主机tab上点击右键,选择“扫描MAC地址”,此时软件会探测所有在局域网内的存活主机,如下图所示:
3.4、选中“APR”标签,同时选中“嗅探器”标签的空白区域,紧接着点击“+”按钮,如图所示:
3.5、在弹出的对话框对要劫持的流量进行设置。可以选择监控某台设备和其它一台和多台设备之间的通信流量,设置样例如下图所示:
3.6、启动数据包嗅探,此时状态栏改变,一旦嗅探启动,意味着被监听的目标主机的数据包已开始被强制导向抓包机,如图所示:
3.7、启动wireshark即可捕抓到被监听的目标设备的通信报文。
4、注意事项:
4.1、本软件带一定的黑客性质,可能会带来一定的风险(比如网络拥塞、泄漏隐私和引发病毒报警等),使用者应对使用环境进行合理评估,尽量减少对环境的影响。
4.2、若软件被杀毒软件查杀,可在杀毒软件中设置例外,更推荐的做法是在虚拟机中运行该软件,避免存在恶意代码的风险。