前言
流量泛洪:在通信工程中,是指交换机和网桥使用的一种数据流传递技术,将从某个接口收到的数据流向除该接口之外的所有接口发送出去,不要求维护网络的拓扑结构和相关的路由计算,仅要求接收到信息的节点以广播方式转发数据包,直到数据传送至目标节点或者数据设定的生存期限为0为止,在本篇文章中可以简单理解为广播。

基于网络的抓包方案

本机环境

直接抓包本机网卡进出流量。
是最简单的抓包,同时也是更复杂的抓包的基础。

集线器环境

集线器属于物理层产品,其上任意两台主机在传输数据时都先发送到集线器上,在由集线器进行流量泛洪,发送到集线器上的所有主机上。
直接抓取从同一个集线器的其它主机发来的包即可。

交换机环境

交换机链路层甚至于网络层产品
正常情况下,其上任意两台主机发送数据时都会经由交换机单独转发,其它主机无法接收到数据。

端口镜像

创建端口镜像,将发送到其它主机的数据复制转发到本机,再进行抓包。
这是一种比较合理,温和也是最常用的方式。

ARP欺骗

在交换机发布广播确认主机的mac地址时,和正确主机一起发送确认消息,与正确主机争抢绑定,欺骗交换机,实现在想其它主机发送数据时将数据抢到本机的效果。以此进行抓包。
该方法带有一定的攻击性,会对同网络下其它主机带来不良影响,不常用。

MAC泛洪

泛洪大量垃圾包,产生大量mac地址,将正确的mac地址挤出mac表,当数据到达时找不到正确地址时,交换机就会泛洪,将数据转发的每一台主机上,以此进行抓包。
该方法同样带有一定的攻击性,不常用。