利用Cain+wireshark进行协议分析

Cain抓包指南

1、简介：

在开发测试工作中经常有捕抓设备间通信报文的需求，但有时候被抓包的设备并不直接和进行抓包的主机或设备进行通信，因此会达不到想要的效果。解决该问题的常见方法有：

（1）、为被抓包的设备设置代理，即将数据包重定向到代理机上，代理机再转发到目标机，然后在代理机上抓包。优点：设置简单，捕抓的数据有针对性，易于分析。缺点：很多应用不支持代理功能。

（2）、使用HUB，即抓包机器和目标机器连接在同一HUB上，通过混杂模式进行抓包。优点：设置简单。缺点：需要硬件成本支持，HUB已被淘汰不易购买使用。

（3）、使用特定的软件将局域网内的通信流量强制导向抓包机。优点：通用性强，适应更多场景。缺点：当局域网流量较大时可能会造成网络堵塞。

本文主要针对第3点的使用方法进行阐述。

2、工作原理：

正常工作时的通信流量：

启动软件后，将目标机的通信流量强制导向到抓包主机，达到“嗅探”的目的。

3、实施步骤：

3.1、在抓包机上下载安装Cain（本文不提供地址）。

3.2、启动Cain，打开嗅探器，如下图所示：

3.3、在主机tab上点击右键，选择“扫描MAC地址”，此时软件会探测所有在局域网内的存活主机，如下图所示：

3.4、选中“APR”标签，同时选中“嗅探器”标签的空白区域，紧接着点击“+”按钮，如图所示：

3.5、在弹出的对话框对要劫持的流量进行设置。可以选择监控某台设备和其它一台和多台设备之间的通信流量，设置样例如下图所示：

3.6、启动数据包嗅探，此时状态栏改变，一旦嗅探启动，意味着被监听的目标主机的数据包已开始被强制导向抓包机，如图所示：

3.7、启动wireshark即可捕抓到被监听的目标设备的通信报文。

4、注意事项：

4.1、本软件带一定的黑客性质，可能会带来一定的风险（比如网络拥塞、泄漏隐私和引发病毒报警等），使用者应对使用环境进行合理评估，尽量减少对环境的影响。

4.2、若软件被杀毒软件查杀，可在杀毒软件中设置例外，更推荐的做法是在虚拟机中运行该软件，避免存在恶意代码的风险。