一.使用TcpDump分析网络数据
TcpDump是KaliLinux下的命令行抓包工具,核心操作:
启动工具:直接在终端输入tcpdump即可启动;
仅抓包不存储:执行tcpdump(默认实时显示抓包结果,不保存到文件);
抓包并存储到文件:执行tcpdump-w抓包文件.cap(-w指定输出文件,后续可通过tcpdump-r抓包文件.cap读取)。
核心作用:
1.轻量型命令行抓包工具,支持实时捕获网络流量,可指定网卡、协议、端口等条件筛选数据;
2.支持将捕获的流量保存为文件,用于离线分析(如排查网络故障、验证协议交互);
3.适用于无图形界面的服务器环境,可通过脚本实现自动化抓包。
二.使用Wireshark进行网络分析
Wireshark是图形化抓包工具,操作要点:
启动方式:
命令行:终端输入wireshark;
菜单启动:Kali菜单→“网络分析”→“Wireshark”;
环境配置:
选择网卡:打开Wireshark后,在“CaptureInterfaces”中选择目标网卡(如eth0),即可捕获该网卡的流量;
界面结构:分为“抓包列表”“数据包详情”“原始数据”三部分,分别对应流量概览、协议字段解析、十六进制原始内容;
显示过滤器使用(核心功能,用于筛选数据包):
案例1(icmp协议):过滤器输入icmp,仅显示ICMP数据包(如ping请求/响应);
案例2(arp协议):过滤器输入arp,仅显示ARP数据包(如IP-MAC地址映射请求/响应);
案例3(指定源IP):过滤器输入ip.src==192.168.x.x(替换为目标IP),仅显示该IP发出的数据包;
案例4(排除80端口):过滤器输入nottcp.port==80,仅显示非HTTP(80端口)的数据包。
核心作用
1.图形化抓包与分析工具,支持可视化解析网络协议(从链路层到应用层),可直观查看数据包的字段、内容、交互流程;
2.提供强大的过滤规则,能精准筛选目标流量(如特定 IP、协议、端口的数据包);
3.广泛用于网络故障排查、协议学习、安全渗透测试中的流量分析(如验证攻击效果)。
三.使用Ettercap进行网络嗅探
Ettercap是网络嗅探与ARP欺骗工具,操作步骤:
启动方式:
菜单启动:Kali菜单→“网络分析”→“Ettercap(图形化)”;
命令行启动:终端输入ettercap-G(-G表示图形化界面);
环境配置:
运行模式:选择“中间人模式”(默认不勾选Bridgedsniffing);
选择网卡:在界面中选择本地网卡(如eth0,有线网卡);
嗅探流程:
查看可欺骗主机:启动后点击“Scanforhosts”,扫描当前网段的主机;
选择目标:在“Hostslist”中,将网关IP设为“Target1”,被欺骗主机IP设为“Target2”;
ARP欺骗:点击“Mitm”→选择“ARPpoisoning”,启动欺骗;
查看连接:欺骗成功后,可在界面中查看目标主机的网络连接与传输数据。
核心作用
1.专注于中间人攻击(MITM)的工具,核心功能是ARP 欺骗(伪造 IP 与 MAC 地址映射,劫持目标主机的网络流量;
2.支持捕获目标主机的明文数据(如 HTTP 请求、FTP 密码),并可对流量进行篡改(如注入恶意代码;
3.常用于渗透测试中验证网络的 ARP 防护能力,或演示中间人攻击的风险。