Linux Sniffer能捕获的数据类型
一、按数据包协议类型分类
Linux Sniffer可捕获多种网络协议的原始数据包,覆盖从链路层到应用层的关键协议,具体包括:
- 链路层协议:以太网协议(Ethernet,用于局域网帧封装)、ARP协议(Address Resolution Protocol,实现IP地址与MAC地址转换);
- 网络层协议:IP协议(Internet Protocol,处理路由与寻址)、ICMP协议(Internet Control Message Protocol,用于网络诊断如ping/traceroute)、IGMP协议(Internet Group Management Protocol,管理组播成员);
- 传输层协议:TCP协议(Transmission Control Protocol,提供可靠端到端传输)、UDP协议(User Datagram Protocol,支持无连接快速传输);
- 应用层协议:HTTP/HTTPS(Web请求与响应)、FTP(文件传输)、DNS(域名解析)、SMTP/POP3/IMAP(邮件收发)、SSH(远程登录)、SNMP(网络管理)等。
二、按数据包属性分类
- 单播帧(Unicast):目标MAC地址为本地设备的网络数据包,是局域网中最常见的流量类型,Sniffer可捕获所有经过网卡的此类帧;
- 广播帧(Broadcast):目标MAC地址为全1(如
ff:ff:ff:ff:ff:ff)的数据包,用于向局域网内所有设备发送信息(如DHCP请求),Sniffer能捕获此类广播流量;
- 多播帧(Multicast):目标MAC地址为特定多播组地址的数据包(如视频会议流量),部分Sniffer可通过配置捕获此类流量。
三、按数据包内容分类
- 明文数据包:未加密的应用层协议数据(如HTTP请求/响应、FTP文件传输的明文内容、DNS查询/应答),Sniffer可直接解析并查看具体内容(如网页表单提交的用户名、密码);
- 加密数据包:使用SSL/TLS、WEP/WPA/WPA2等加密协议封装的数据包(如HTTPS流量、Wi-Fi加密流量),Sniffer可捕获其密文流量,但无法直接查看明文内容(需通过解密工具或密钥还原)。
四、特殊场景数据包
- 无线网络数据包:支持Wi-Fi嗅探的Sniffer(如Wireshark配合无线网卡)可捕获802.11a/b/g/n/ac等无线标准的流量,包括无线接入点(AP)与客户端之间的通信(如SSID、信号强度、加密方式);
- 混杂模式捕获:通过将网卡设置为混杂模式,Sniffer可捕获经过网卡的所有流量(无论目标MAC地址是否为本地设备),适用于监控整个局域网的通信(如交换机镜像端口流量)。