利用TP-Link TL-SG2005进行网络抓包

最近遇到需要分析某个网络设备的网络请求的需求，而这个设备可以认为是一个黑盒：无法从内部分析这个设备的网络请求，只有从外部的网络连接中想办法。

---

于是乎，搞到了一个TL-SG2005网管交换机去解决这个问题，就是这个东西：

这个交换机既可以当做标准的交换机去使用，也可以用作端口监控。而现在我就要使用它的端口监控功能，它可以让任意的端口收发的数据包都复制一份到指定端口，然后在使用WireShark这类的抓包工具去监听这个端口，我们就能够获取到被监听端口的收发数据啦。

现在我们就来一步一步搭建监听网络，达到抓包目的。

搭建监听网络

插入网线

如图所示，这个交换机有5个RJ45插口，这几个端口的作用都是相同的，所以网络接入任意一个RJ45端口都可以

从左往右依次是1至5号端口，就上图而言：

1. 1号端口插的交换机到那个黑盒设备的网线，该端口也是被监听端口
2. 3号端口插是正常连接到公网的网线，这个黑盒设备通过该网线进行上网
3. 5号端口插是交换机到监控设备（也就是我们的电脑）的网线，也就是监听端口

在这个上面这个图中，1号端口是被监听端口：所有的数据包都会被监听；5号端口是监听端口，它会收到1号端口所有的收发数据。

当然，刚刚说了这5个端口的作用都是相同，所以我们还要对路由器以及监听机器（也就是我们的电脑）进行设置

设置监听设备

交换机

交换机的功能开关切换到Web管理：

电脑

1. 按照说明书，将该接入该网线的网卡获取IP的方式改为使用指定的IP：192.168.0.2，并将子网掩码设置为：255.255.255.0
   

2. 打开交换机管理页面，设置监听端口。按照三根网线各自的功能：

3. 将1号端口设置为被镜像端口（被监听端口），该端口的收发数据将会被监听

4. 将5号端口设置为镜像端口（监听端口） ，该端口将会收到1号端口收发的网络数据
   

好了，现在我们已经配置好我们的监听网络啦，剩下的就是分析抓到的网络数据。

WireShark分析数据

ps：提到WireShark，让我记起了大学教我们计算机网络实验课的张老师了O(∩_∩)O哈哈~

WireShark是一个很强大的网络封包分析软件，有了它就能轻松的分析我们抓到的网络数据，它长这样

为了演示一下我们刚刚搭建的监控设备，我们抓几个网络请求看看：
经过HTTPS加密的网络请求我们是分析不了的，只有抓那种没有加密的HTTP请求。但是现在网络上基本都是使用HTTPS加密传输呢，我去哪里找HTTP请求呢？这时候突然想起了母校。。。母校的主页还是HTTP协议的，看来要经常回母校看看。。

可以看到通过HTTP协议传输的数据，都被这个WireShark网络封包分析工具给截获了。
该请求的HTTP协议传输的内容一览无余：请求头的参数、cookie等等。
要是我们的账号密码通过HTTP协议传输，那么就毫无安全性可言。

看来Google（Chrome）这些互联网企业大力推行HTTPS的普及也是为了用户的信息安全着想。

好啦，通过TP-Link TL-SG2005交换机搭建监听网络，到分析截获的网络数据包的整个过程演示完毕啦！