一款純圖形化的網(wǎng)絡(luò)流量分析工具，既是圖形界面，所以系統(tǒng)中務(wù)必要有各類圖形庫(kù)支持才行

很多數(shù)時(shí)候，我們可能只是想簡(jiǎn)單的看看數(shù)據(jù)流向，了解總體數(shù)據(jù)流向或某單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)狀況，并不想關(guān)心數(shù)據(jù)包里面到底是什么東西

此時(shí)，etherape 則無(wú)疑是個(gè)比較不錯(cuò)的選擇，另外，它對(duì)各個(gè)協(xié)議的支持相對(duì)還算比較到位

當(dāng)然，缺點(diǎn)也是有的，畢竟是實(shí)時(shí)分析，如果流量瞬間激增，很容易把程序卡崩掉［不知道是有點(diǎn)兒溢出，還是io跟不上］，也正常，畢竟只是個(gè)小工具肯定沒(méi)商業(yè)工具那么完善

0x02 環(huán)境：

kali ip： 192.168.3.30

centos6.9_x64 ip： 192.168.3.16 ［eth1］ 192.168.3.19 ［eth0］

win2008R2cnip： 192.178.3.23

win7cnip： 192.168.3.2

0x03 開(kāi)始在centos6.9_x64上安裝etherape，它同樣依賴于libpcap庫(kù)進(jìn)行數(shù)據(jù)捕獲，所以，如果你是自行編譯安裝的，請(qǐng)務(wù)必先裝好所依賴的各種圖形環(huán)境，具體請(qǐng)參考其官方說(shuō)明， http://etherape.sourceforge.net/download.shtml#sources 這里就暫以kali平臺(tái)進(jìn)行演示，Ubuntu 下其實(shí)也是一樣的，不再贅述

# apt-get install etherape -y

# etherape -i eth0

0x04 下面是 etherape 所支持的各種數(shù)據(jù)捕獲模式，如，鏈路模式，ip模式，tcp模式，我們最常用的可能就是ip模式了，非常的直觀明了

0x05 選擇要進(jìn)行捕獲的網(wǎng)卡接口，如果你的機(jī)器同時(shí)有幾塊網(wǎng)卡，分別連接著不同的vlan，可以選擇對(duì)指定的vlan進(jìn)行數(shù)據(jù)捕獲

0x06 接著，我們就用etherape來(lái)簡(jiǎn)單觀察一些典型的網(wǎng)絡(luò)行為，當(dāng)然，本身用途絕非僅限于此，對(duì)于我們來(lái)講，用的更多的，可能還是分析各種入侵攻擊流量，幫助快速定位攻擊源，此處要再次強(qiáng)調(diào)，它只適合用在流量較小的一些內(nèi)網(wǎng)環(huán)境下，個(gè)人覺(jué)得，已經(jīng)很難應(yīng)用于如今的辦公場(chǎng)景，不過(guò)，作為學(xué)習(xí)還是非常有價(jià)值的

在win7cn上嘗試用迅雷進(jìn)行正常的數(shù)據(jù)下載，注意，不同的顏色代表左側(cè)對(duì)應(yīng)顏色的協(xié)議，捕獲期間可以隨時(shí)暫停或直接停止，方便人為進(jìn)一步分析

在win7cn上用瀏覽器進(jìn)行正常的web訪問(wèn)

在centos6.9_x64上用超大數(shù)據(jù)包ping百度

在kali上對(duì)win2008r2cn的rdp使用hydra默認(rèn)線程進(jìn)行爆破

在kali上對(duì)win2008r2cn的smb使用hydra默認(rèn)線程進(jìn)行爆破

在centos6.9_x64上利用hping3快速發(fā)送隨機(jī)源ip的icmp數(shù)據(jù)包，本來(lái)想直接發(fā)flood的，因?yàn)樗俣冗^(guò)快，直接把etherape卡崩了，所以不得已才用的–fast選項(xiàng)

小結(jié)：

除了滲透之用，它也一樣可以用來(lái)幫我們快速定位網(wǎng)絡(luò)中的各種故障，對(duì)于一些網(wǎng)絡(luò)初學(xué)者來(lái)講，更是非常的友好，可以很直觀的把各種抽象的網(wǎng)絡(luò)邏輯用最直觀的實(shí)時(shí)動(dòng)態(tài)繪圖表現(xiàn)出來(lái)，極易理解，這里就不多啰嗦了，大家有興趣可以多自行嘗試…雖然是個(gè)小工具，但不乏大作為 ^_^