目標：

? 理解嗅探（Sniffing）的概念及其在網絡安全中的作用
? 掌握Wireshark的進階功能（如過濾器、流量分析）
? 通過實踐加深對網絡數據包的理解

第一部分：嗅探的概念與重要性

學習內容：

? 什么是嗅探？
? 嗅探在網絡安全中的雙重角色
? 嗅探的常見工具

詳細講解：

1 什么是嗅探？

嗅探（Sniffing）是指通過工具攔截和分析網絡中的數據包，就像在網絡中“偷聽”數據流動。它可以捕獲明文傳輸的信息（如未加密的密碼）。
? 舉例：你在咖啡店用公共Wi-Fi，黑客用嗅探工具偷看你輸入的賬號密碼。

2 嗅探在網絡安全中的雙重角色

? 正面作用：安全專家用嗅探分析網絡問題或檢測異常流量。
? 負面作用：攻擊者用嗅探竊取敏感數據。
? 舉例：公司用嗅探發現員工泄露機密，黑客用嗅探偷信用卡號。

3 嗅探的常見工具

? Wireshark：免費，開源，功能強大。
? Tcpdump：命令行工具，適合Linux用戶。
? Cain & Abel：Windows上的嗅探和密碼破解工具（小心使用，僅限合法測試）。
? 今天我們聚焦Wireshark，因為它簡單易上手。

任務：

? 寫下“嗅探”的定義和它在網絡安全中的兩種用途。
? 思考一個場景：如果有人在你家Wi-Fi上嗅探，會發生什么？寫下你的想法。

第二部分：Wireshark進階功能

學習內容：

? Wireshark的界面與基本操作復習
? 使用過濾器篩選數據包
? 分析流量模式

詳細講解：

1 Wireshark界面與基本操作復習

? 主界面三部分：數據包列表、數據包詳情、字節視圖。

? 復習抓包：選擇網卡 → 點擊綠色“鯊魚鰭”開始 → 紅色方塊停止。

2 使用過濾器篩選數據包

過濾器是Wireshark的“搜索功能”，可以快速找到你想要的數據包。
? 常用過濾器：
? ip.addr == 192.168.1.1：顯示特定IP地址的數據包。
? http：只看HTTP協議的流量。
? tcp.port == 80：顯示端口80的流量。
? 輸入過濾器：在頂部“Filter”欄輸入，回車應用。
? 舉例：輸入http，抓包后只顯示網頁請求數據。

3 分析流量模式

? 查看“統計”菜單（Statistics）：
? 協議分布（Protocol Hierarchy）：看看流量主要是HTTP、TCP還是其他。
? 對話（Conversations）：顯示哪些IP之間通信最多。
? 舉例：你發現家里Wi-Fi有陌生IP大量通信，可能被入侵了。

任務：

? 打開Wireshark，輸入ip.addr == 你的電腦IP（如192.168.1.100），抓包5分鐘，記錄看到的協議類型（如TCP、UDP）。
? 用“協議分布”功能，看看你網絡中HTTP流量占多少百分比。

第三部分：嗅探實踐與分析

學習內容：

? 模擬嗅探場景
? 分析HTTP明文數據
? 安全思考

詳細講解：

1 模擬嗅探場景

? 打開Wireshark，選擇Wi-Fi網卡，開始抓包。
? 在瀏覽器訪問一個未加密的網站（http://開頭的，比如http://testphp.vulnweb.com）。
? 停止抓包，找到HTTP數據包。

2 分析HTTP明文數據

? 在數據包詳情中，找“HTTP”部分，可能看到網頁請求的URL、表單數據等。
? 如果網站未用HTTPS，你甚至可能看到用戶名或密碼（測試網站可能有模擬數據）。
? 舉例：你訪問登錄頁面，輸入“test/test123”，Wireshark可能會顯示這些明文。

3 安全思考

? 明文傳輸有多危險？（答案：非常危險，任何人都能偷看。）
? 如何防范？（答案：用HTTPS加密，使用VPN。）

任務：

? 抓包并找到一條HTTP數據包，截圖記錄URL或請求內容。
? 回答問題：如果你的銀行網站用HTTP不用HTTPS，會怎樣？寫下你的推理。

總結

? 理論： 你了解了嗅探的定義、正反作用，以及Wireshark的進階用法。
? 實踐： 你用過濾器篩選數據包，分析了HTTP明文流量。
? 復習建議： 睡前回顧過濾器語法（ip.addr、http等），想象嗅探可能偷到哪些信息。