抓包是什么意思？

抓包（packet capture）就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等 *** 作，也用来检查网络安全。抓包也经常被用来进行数据截取等。

背景知识

数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉 *** 作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。

每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个耐困数据包时，如果为广播包，则可达到局域网中的所有机器，如果为单播包，则只能到达处于同一碰撞域中的机器。

在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数斗亩郑据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式，那么它就可以捕获网络上所有的数据包和帧。

扩展资料：

主要作用

通过对网空颂络上传输的数据进行抓取，可以对其进行分析，对于软件的Debug很大的帮助。当然也可以通过抓取用户发送的涉及用户名和密码的数据包来获取用户的密码。

（1）网络通讯的真实内容

（2）网络故障分析

（3）程序网络接口分析

（4）木马通讯数据内容

网络抓包的方法有：

原始套接字RAW_SOCK

WinPcap: The Windows Packet Capture Library

Winsock Service Provider Interface (SPI)

Api Hook

DDK - Windows Driver Development Kit:Filter-Hook Drivers、Firewall-Hook Drivers , NDIS,TDI。

应用层

DHCP �6�1 DNS �6�1 FTP �6�1 Gopher �6�1 HTTP �滑兆6�1 IMAP4 �6�1 IRC �6�1 NNTP �6�1

XMPP �6�1 POP3 �6�1 SIP �6�1 SMTP �6�1 SNMP �6�1 SSH �6�1 TELNET �6�1 RPC �6�1 RTP

�6�1 RTCP �6�1 RTSP �6�1 TLS/SSL �6�1 SDP �6�1 SOAP �6�1 BGP �6�1 PPTP �6�1 L2TP �6�1

GTP �6�1 STUN �6�1 NTP

exe程序，

比如ie

表示层

MIME, XDR, SSL, TLS (Not a separate layer)

ws2_32.dll

会话层

Sockets. Session establishment in TCP. SIP. (Not a separate

layer with standardized API.)

SPI

传输层

TCP �6�1 UDP �6�1 DCCP �唤核6�1 SCTP �6�1 RSVP

TDI（不能

截获ICMP

等协议的

数据)

网络层

IP (IPv4 �6�1 IPv6) �6�1 IGMP �6�信链租1 ICMP �6�1 OSPF �6�1 ISIS �6�1 IPsec �6�1 ARP �6�1

RARP �6�1 RIP

NDIS(可以

截获所有

的网络数

据）

链路层

802.11 �6�1 WiFi �6�1 WiMAX �6�1 ATM �6�1 DTM �6�1 Token Ring �6�1 Ethernet �6�1

FDDI �6�1 Frame Relay �6�1 GPRS �6�1 EVDO �6�1 HSPA �6�1 HDLC �6�1 PPP

设备驱动

物理层

Ethernet physical layer �6�1 ISDN �6�1 Modems �6�1 PLC �6�1 SONET/SDH �6�1

G.709 �6�1 OFDM �6�1Optical Fiber �6�1 Coaxial Cable �6�1 Twisted Pair

网卡

现有的各类抓包软件，例如：IRIS，SNIFFER等都是通过把网卡设定为混杂模式来实现将流过的所有数据包都一一捕获。

如果网络是由HUB组成的，则我们可以看到网络中发到任何主机的数据。

但是如果是由交换机组成的就不同了，由于交换机是基于MAC地址来实现帧的转发，源与目的主机间的数据包是单点投送不会被其他接口接收到，因此必须使用ARP欺骗或者端口镜像才能在这种网络中看到想要侦听的数据。

大多数的抓包程序基于开源的WinPcap的程序抓包,但基于WinPcap的程序在抓包性能上较低，在千兆网速下，最多只能达到500Mbps左右，因此很多专业的抓包设备都会用硬件来实现，比如高速采集卡。

---