Wireshark 教程:网络和密码嗅探器
⚡ 智能摘要
Wireshark 密码嗅探器教程展示了攻击者如何捕获网络传输中的凭据,以及防御者如何阻止他们。本指南将逐步讲解。 Wireshark 捕获、明文 HTTP 分析、MAC 泛洪以及阻止嗅探的加密控制。

计算机通过网络进行通信。这些网络可以是局域网 (LAN),也可以是连接到互联网的网络。 网络嗅探器是能够捕获底层数据包的程序。 transmit通过网络传输。 攻击者可以分析这些信息,从而发现有价值的细节,例如用户 ID 和密码。
本文将介绍常见的网络嗅探技术、攻击者和道德黑客用于嗅探网络的工具,以及保护网络传输中敏感信息的应对措施。 Wireshark 以下操作步骤仅供教育和授权测试之用。
什么是网络嗅探?
计算机通过使用 IP 地址在网络上广播消息来进行通信。一旦消息在网络上发送,具有匹配 IP 地址的接收计算机就会以其 MAC 地址进行响应。
网络嗅探是拦截通过网络发送的数据包的过程。 它可以通过专用软件、硬件分流器或配置好的端口镜像来实现。嗅探可用于:
- 捕获登录凭据等敏感数据
- 窃听聊天信息
- 捕获已保存的文件 transmit通过网络
以下协议在以明文形式传输登录信息时容易受到嗅探攻击:
现代的等效协议(HTTPS、SMTPS、IMAPS、SFTP、SSH)会对有效载荷进行加密,因此嗅探器看到的是密文而不是凭据。
被动嗅探和主动嗅探
在了解被动嗅探和主动嗅探之前,让我们先来看一下计算机联网中常用的两种设备:集线器和交换机。
集线器的工作原理是向除发送广播消息的输出端口之外的每个输出端口发送广播消息。 如果 IP 地址匹配,接收计算机就会响应广播。因此,基于中心节点的网段上的每台机器都可以看到每一帧。中心节点运行在网络的物理层(第 1 层)。 OSI模型.
下图说明了集线器的工作原理。
交换机的工作原理不同;它将 IP 地址和 MAC 地址映射到物理端口。 帧仅转发到与接收方 MAC 地址匹配的端口,因此局域网上的其他主机看不到这些流量。交换机在数据链路层(第 2 层)运行,并具备路由功能,因此也可以在网络层(第 3 层)运行。
下图说明了开关的工作原理。
被动嗅探是指拦截数据包 transmit通过集线器网络传输。 之所以称之为被动攻击,是因为攻击者无需注入流量,这使得攻击难以检测。此外,由于集线器会向网络上的每个主机发送广播消息,因此攻击也很容易实施。
主动嗅探是指拦截数据包 transmit通过交换机的网络传输。 嗅探交换网络主要采用两种技术: ARP中毒 以及 MAC 泛洪攻击。
黑客活动:嗅探网络流量
在这个实际场景中,我们将 使用 Wireshark 嗅探数据包 transmit通过 HTTP 协议我们将捕获本地接口上的流量,然后登录到一个未使用安全通信的示例 Web 应用程序。 Guru99号训练基地 http://www.techpanda.org/.
登录地址为 admin@google.com 密码是 Password2010.
注意: 我们将仅出于演示目的,在我们自己的网络上登录 Web 应用程序。同样的技术也可能泄露与嗅探器位于同一网络上的其他主机的数据包,因此您必须在运行之前获得书面授权。 Wireshark 在任何您无法控制的网络上进行嗅探。嗅探范围不仅限于 techpanda.org; Wireshark 捕获流经接口的 HTTP 和其他协议流量。
ManageEngine Firewall Analyzer 是一款强大的策略管理和审计解决方案,旨在增强网络安全性和透明度。它提供对防火墙流量的实时可见性,并有助于……ping 管理员识别安全漏洞、优化规则集并监控带宽使用情况。
使用嗅探网络 Wireshark
下图展示了完成此练习所需的步骤,避免任何混淆。
下载 Wireshark ,来自 wireshark.org/download.html当前稳定分支是 Wireshark 4.x,运行于 Windows, macOS和Linux。
- 可选 Wireshark
- 您将看到以下欢迎屏幕
- 选择要嗅探的网络接口。本教程使用无线连接;在有线局域网中,请选择以太网适配器。
- 点击上方所示的开始(鲨鱼鳍)按钮。
- 打开您的网络浏览器并访问 http://www.techpanda.org/.
- 登录邮箱是 admin@google.com 密码是 Password2010.
- 点击提交按钮。
- 登录成功后应显示以下仪表盘。
- 切换回 Wireshark 停止实时录制。
- 仅按类型过滤 HTTP 流量ping HTTP 进入显示筛选栏。
- 找到“信息”列,查找包含 HTTP 动词 POST 的条目,然后单击它。
- 日志条目下方有一个面板,其中包含捕获数据的摘要。请查找该行 基于行的文本数据:application/x-www-form-urlencoded.
- 现在你应该能够读取通过 HTTP 提交到服务器的每个 POST 变量的明文值,包括电子邮件和密码字段。
什么是 MAC 地址泛洪攻击?
MAC 泛洪是一种网络嗅探技术,它用伪造的 MAC 地址泛洪交换机 CAM(MAC 地址)表。 一旦地址表满了,交换机就无法再学习合法的目的地,并开始将数据帧转发到每个端口,充当集线器。攻击者随后就可以在数据包穿越网络时将其捕获。
应对 MAC 泛洪的措施
- 交换机端口安全。 限制数量 MAC地址 每个端口允许的 MAC 地址数量,粘性学习第一个看到的 MAC 地址,如果超过限制则锁定或关闭端口。
- 身份验证、授权和计费 (AAA) 服务器 可与 802.1X 配合使用,过滤已发现的 MAC 地址,并仅接受经过身份验证的设备。
- 动态ARP检测和DHCP休眠ping 缓解与 MAC 泛洪攻击相关的 ARP 欺骗攻击。
嗅探对策
- 限制对实体介质的访问。 锁定配线架、禁用端口的墙壁插座和分段 VLAN 可以降低嗅探器被安装的可能性。
- 对传输中的流量进行加密。 HTTPS(TLS 1.3)、SSH、IPsec 和现代 VPN 协议使得攻击者无法读取捕获的数据包。
- 替换不安全的协议。 从 Telnet 迁移到 SSH的全站范围内从 FTP 转换为 SFTP 或 FTPS,以及从 HTTP 转换为 HTTPS。
- 加固 Wi-Fi。 使用 WPA3 或 WPA2-AES 并设置强密码,以防止无线嗅探。
- 使用入侵检测系统进行监控。 诸如 Suricata、Zeek 和等工具 Snort 当出现 ARP 欺骗、MAC 表溢出或混杂接口时发出警报。
人工智能如何加强网络嗅探防御
现代入侵检测和安全信息与事件管理 (SIEM) 平台现在将机器学习技术应用于数据包捕获,以比单独使用规则集更快地检测嗅探相关活动。人工智能会模拟正常的 ARP、DHCP 和 MAC 地址表行为,然后标记异常情况,例如异常的广播流量、重复的 IP 到 MAC 地址映射等。ping或者突然的 CAM 表变更,这表明存在 ARP 中毒或 MAC 泛洪攻击。
大型语言模型还有助于分析师进行分类。 Wireshark Zeek 会以简明易懂的语言总结可疑流量,提出过滤建议,并将观察到的入侵指标 (IOC) 与威胁情报源进行交叉比对,从而记录日志。防御者仍需根据原始捕获数据验证 AI 的分析结果,但在繁忙的网络上,速度提升非常显著。
结语
- 网络嗅探会拦截网络传输中的数据包,并可能泄露明文凭证。
- 被动嗅探运行在基于中心节点的网络上,难以检测;主动嗅探针对交换机,更容易被发现。
- Wireshark 4.x 是本教程中使用的标准开源分析器,用于读取 HTTP POST 数据。
- MAC 地址泛洪会使交换机 CAM 表过载,导致交换机表现得像集线器一样。
- 加密(HTTPS、SSH、VPN)、交换机端口安全、WPA3 Wi-Fi 和 AI 辅助监控共同抵消了大多数嗅探攻击。











