目标：

• 理解嗅探（Sniffing）的概念及其在网络安全中的作用
• 掌握Wireshark的进阶功能（如过滤器、流量分析）
• 通过实践加深对网络数据包的理解

第一部分：嗅探的概念与重要性

学习内容：

• 什么是嗅探？
• 嗅探在网络安全中的双重角色
• 嗅探的常见工具

详细讲解：

1 什么是嗅探？

嗅探（Sniffing）是指通过工具拦截和分析网络中的数据包，就像在网络中“偷听”数据流动。它可以捕获明文传输的信息（如未加密的密码）。
◦ 举例：你在咖啡店用公共Wi-Fi，黑客用嗅探工具偷看你输入的账号密码。

2 嗅探在网络安全中的双重角色

◦ 正面作用：安全专家用嗅探分析网络问题或检测异常流量。
◦ 负面作用：攻击者用嗅探窃取敏感数据。
◦ 举例：公司用嗅探发现员工泄露机密，黑客用嗅探偷信用卡号。

3 嗅探的常见工具

◦ Wireshark：免费，开源，功能强大。
◦ Tcpdump：命令行工具，适合Linux用户。
◦ Cain & Abel：Windows上的嗅探和密码破解工具（小心使用，仅限合法测试）。
◦ 今天我们聚焦Wireshark，因为它简单易上手。

任务：

• 写下“嗅探”的定义和它在网络安全中的两种用途。
• 思考一个场景：如果有人在你家Wi-Fi上嗅探，会发生什么？写下你的想法。

第二部分：Wireshark进阶功能

学习内容：

• Wireshark的界面与基本操作复习
• 使用过滤器筛选数据包
• 分析流量模式

详细讲解：

1 Wireshark界面与基本操作复习

◦ 主界面三部分：数据包列表、数据包详情、字节视图。

◦ 复习抓包：选择网卡 → 点击绿色“鲨鱼鳍”开始 → 红色方块停止。

2 使用过滤器筛选数据包

过滤器是Wireshark的“搜索功能”，可以快速找到你想要的数据包。
◦ 常用过滤器：
• ip.addr == 192.168.1.1：显示特定IP地址的数据包。
• http：只看HTTP协议的流量。
• tcp.port == 80：显示端口80的流量。
◦ 输入过滤器：在顶部“Filter”栏输入，回车应用。
◦ 举例：输入http，抓包后只显示网页请求数据。

3 分析流量模式

◦ 查看“统计”菜单（Statistics）：
• 协议分布（Protocol Hierarchy）：看看流量主要是HTTP、TCP还是其他。
• 对话（Conversations）：显示哪些IP之间通信最多。
◦ 举例：你发现家里Wi-Fi有陌生IP大量通信，可能被入侵了。

任务：

• 打开Wireshark，输入ip.addr == 你的电脑IP（如192.168.1.100），抓包5分钟，记录看到的协议类型（如TCP、UDP）。
• 用“协议分布”功能，看看你网络中HTTP流量占多少百分比。

第三部分：嗅探实践与分析

学习内容：

• 模拟嗅探场景
• 分析HTTP明文数据
• 安全思考

详细讲解：

1 模拟嗅探场景

◦ 打开Wireshark，选择Wi-Fi网卡，开始抓包。
◦ 在浏览器访问一个未加密的网站（http://开头的，比如http://testphp.vulnweb.com）。
◦ 停止抓包，找到HTTP数据包。

2 分析HTTP明文数据

◦ 在数据包详情中，找“HTTP”部分，可能看到网页请求的URL、表单数据等。
◦ 如果网站未用HTTPS，你甚至可能看到用户名或密码（测试网站可能有模拟数据）。
◦ 举例：你访问登录页面，输入“test/test123”，Wireshark可能会显示这些明文。

3 安全思考

◦ 明文传输有多危险？（答案：非常危险，任何人都能偷看。）
◦ 如何防范？（答案：用HTTPS加密，使用VPN。）

任务：

• 抓包并找到一条HTTP数据包，截图记录URL或请求内容。
• 回答问题：如果你的银行网站用HTTP不用HTTPS，会怎样？写下你的推理。

总结

• 理论： 你了解了嗅探的定义、正反作用，以及Wireshark的进阶用法。
• 实践： 你用过滤器筛选数据包，分析了HTTP明文流量。
• 复习建议： 睡前回顾过滤器语法（ip.addr、http等），想象嗅探可能偷到哪些信息。