51Testing软件测试论坛

标题: 如何截获网络数据包？截获的原理是什么？ [打印本页]

作者: 7265695 时间: 2008-6-11 11:48
标题: 如何截获网络数据包？截获的原理是什么？
如何截获网络数据包？截获的原理是什么？估计要想明白截获的原理，必须知道传送的原理是什么？

作者: whitelotus 时间: 2008-6-11 17:13
网络数据报文的拦截有很多层面的拦截，不知道你想讨论的是什么层面的拦截

1）网卡层面的截获（截获和自己同网段的计算机发送的信息，包括送往自己的数据包）
这个拦截过程得从网络数据包发送和接受原理说起
一个网络数据报文的发送过程是这样的：
a）发送方的应用层将要发送的数据报文，通过Socket调用提交TCP/IP层
b）TCP/IP层经过层层封装，将这些数据报文封装成IP数据报文，送往数据链路层，一般以太网用的是802.X的桢结构，封装成数据祯。
c）以太网数据链路层是使用一个叫做MAC地址的东西来标识网口的，每一网口的MAC地址都是世界唯一的。
d）数据链路层将目的方的MAC地址和自己的MAC地址分别填入目标MAC和源MAC的字段中，发送到物理层（也就是网线上）
网络数据报文的接受过程是这样的：
每个网卡在收到物理链路上发送来的数据桢之后，都会自动检测收到的这个MAC地址是否和自己的网卡MAC地址相同，如果相同，则接受，否则就丢弃。
这样就可以实现对于数据包的过滤过程。

而很多网络拦截工具，例如Sniffer或者Ethereal，都将网卡的这个功能给打破了。
他们定义了一个网卡所谓的混杂模式，在这里，网卡不管收到的这个数据包是否是给自己的(目的MAC和自己网卡的MAC是否相同)，都往上层送，都能对数据流进行分析。
这个是网络层面拦截的基本原理。

2）应用层和Socket层面的拦截
这个方法主要是通过系统Hook的方式来实现，例如一台计算机打算往网络发送东西，一般情况下应用程序都不会自己开发网络协议层，都会�

作者: whitelotus 时间: 2008-6-11 17:14
网络数据报文的拦截有很多层面的拦截，不知道你想讨论的是什么层面的拦截

1）网卡层面的截获（截获和自己同网段的计算机发送的信息，包括送往自己的数据包）
这个拦截过程得从网络数据包发送和接受原理说起
一个网络数据报文的发送过程是这样的：
a）发送方的应用层将要发送的数据报文，通过Socket调用提交TCP/IP层
b）TCP/IP层经过层层封装，将这些数据报文封装成IP数据报文，送往数据链路层，一般以太网用的是802.X的桢结构，封装成数据祯。
c）以太网数据链路层是使用一个叫做MAC地址的东西来标识网口的，每一网口的MAC地址都是世界唯一的。
d）数据链路层将目的方的MAC地址和自己的MAC地址分别填入目标MAC和源MAC的字段中，发送到物理层（也就是网线上）
网络数据报文的接受过程是这样的：
每个网卡在收到物理链路上发送来的数据桢之后，都会自动检测收到的这个MAC地址是否和自己的网卡MAC地址相同，如果相同，则接受，否则就丢弃。
这样就可以实现对于数据包的过滤过程。

而很多网络拦截工具，例如Sniffer或者Ethereal，都将网卡的这个功能给打破了。
他们定义了一个网卡所谓的混杂模式，在这里，网卡不管收到的这个数据包是否是给自己的(目的MAC和自己网卡的MAC是否相同)，都往上层送，都能对数据流进行分析。
这个是网络层面拦截的基本原理。

2）应用层和Socket层面的拦截
这个方法主要是通过系统Hook的方式来实现，例如一台计算机打算往网络发送东西，一般情况下应用程序都不会自己开发网络协议层，都会调用操作系统提供的socket套件来实现（TCP/IP）。
很多测试工具都设置了系统Hook，当应用程序调用了socket套件的时候就会将相应的动作记录下来，录制成教本，以便回放。
这个方面的拦截是指网络数据包还没有出源计算机的情况。

作者: 7265695 时间: 2008-6-25 14:39
标题: 在Internet上怎么截获数据包？
在Internet上怎么截获数据包？

作者: btpx003 时间: 2010-2-22 14:24
有没有免费截包工具呢？

作者: dennyqiang 时间: 2010-4-22 21:35
wireshark

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)