一、wireshark简介

  Wireshark是使用最广泛的一款「开源抓包软件」，常用来检测网络问题、攻击溯源、或者分析底层通信机制。

  Wireshark抓包原理：

• 单机情况：电脑直连互联网的单机环境。Wireshark直接抓取本机网卡的网络流量；
• 交换机情况：Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

二、环境

  使用kali自带的wireshark。

三、wireshark抓包

（1）选择网卡。打开wireshark后，选择相应的网络网卡。一般虚拟机网卡都是eth0。

（2）选择相应的网卡之后，wireshark自动开始捕获流量；

  要想停止捕获，点击上面的红色按钮即可。

注意：wireshark有两个工作模式

• 混杂模式：接受所有经过网卡的数据包，包括不是发给本机的包，既不验证MAC地址；
• 普通模式：网卡只接受发给本机的数据包（包括广播包）。

一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。

  如下图设置混杂模式：

三、wireshark过滤器使用

  在框框处填写过滤规则，下图就是只看ARP协议的数据包。