1.網(wǎng)絡(luò )原理：

1）本機環(huán)境-直接抓本機網(wǎng)卡進(jìn)出的流量：直接在終端安裝ws，然后ws抓本機網(wǎng)卡的與互聯(lián)網(wǎng)通信的流量。

2）集線(xiàn)器環(huán)境（老網(wǎng)絡(luò )）-集線(xiàn)器：向其他所有端口都會(huì )泛洪，抓整個(gè)局域網(wǎng)里面的包。

*集線(xiàn)器-（hub）（多端口的信號放大設備）屬于純硬件網(wǎng)絡(luò )底層設備，基本上不具有類(lèi)似于交換機的"智能記憶"能力和"學(xué)習"能力。它也不具備交換機所具有的MAC地址表，所以它發(fā)送數據時(shí)都是沒(méi)有針對性的，而是采用廣播方式發(fā)送。也就是說(shuō)當它要向某節點(diǎn)發(fā)送數據時(shí)，不是直接把數據發(fā)送到目的節點(diǎn)，而是把數據包發(fā)送到與集線(xiàn)器相連的所有節點(diǎn)。

3）交換機環(huán)境：

*端口鏡像（安全）：SPAN技術(shù)，復制其他端口的數據包到特定端口。

**ARP欺騙（攻擊）：需安裝arp欺騙軟件，錯位欺騙，如圖，PC1會(huì )不斷發(fā)送欺騙,毒化PC2的arp表，會(huì )產(chǎn)生錯的綁定，交換機根據mac表就會(huì )把數據包乖乖丟給PC1。

***MAC泛洪：泛洪大量垃圾包，產(chǎn)生大量的mac地址，改變了交換機原有的mac地址表，如圖，這樣流量就泛洪給F1了。

2.底層原理：wireshark底層抓包工具。

以上就是此種抓包工具的架構。