混雜模式
你需要一個支持混雜模式驅動的網卡,才可能在網絡上嗅探數據包。
混雜模式是一種允許網卡能夠查看到所有劉靜網絡線路數據包的驅動模式。
在網絡上有一類廣播流量,因此對於客戶端來說,接收到並非以它們的地址作為目標的數據包是非常常見的。用來將給定IP地址解析成對應MAC地址的ARP協議,在任何網絡上都是一個關鍵組成部分,且是能夠說明有些網絡流量並非是發送到制定目標地址的一個很好的例子。為了好到對應的MAC地址,ARP協議會發出一個廣播包並發送到廣播域中的每個設備,然后期望正確的客戶端做出回應。
一個廣播域(也就是一個網絡段,其中任何一台計算機都可以無需經過路由器,直接傳送數據到另一台計算機)是由幾台電腦所組成的,但廣播域中僅僅只有一個客戶端應該對傳輸的ARP廣播請求感興趣。一但網絡上的每台電腦都處理和回應ARP廣播包,那網絡的性能將變得非常的糟糕。
因此,其他網絡設備上的網卡驅動會識別出和個數據包對於它們來說沒有任何用處,於是選額將數據包丟棄,而不是傳輸給CPU進行處理。將目標不是這台接受主機的數據包進行丟棄可以顯著地提高網絡處理性能,但這對數據包分析師來說並不是個好消息。作為分析師,我們通常需要看到線路上傳輸的每一個數據包,這樣我們才不會擔心會丟失掉任何關鍵的信息。
我們可以使用網卡的混雜模式來確保能夠捕獲到所有的網絡流量。一旦在混雜模式下工作,網卡會吧每一個它所看到的數據包都傳遞給主機的處理器,而無論數據包的目的地址是什么。一旦數據包到達CPU之后,它就可以被一個數據包嗅探軟件捕獲並進行分析。
現在的網卡一般都支持混雜模式,Wireshark軟件包中也包含了 libpcap / WinPcap 驅動,這讓我們能夠很方便地在Wireshark軟件界面上就將網卡直接切換到混雜模式上。