wireshark分析实战

数据包嗅探包括三个步骤

第一，收集，将网卡设置成混杂模式，收集所有的原始二进制数据

第二，转换，将捕获的二进制文件转换为可读形式

第三，分析，识别和验证所用协议

 

 

 

网络通信原理

1 协议   

传输控制协议TCP

互联网协议 IP

地址解析协议 ARP

动态主机配置协议 DHCP

2 七层OSI参考模型

    7 应用层（访问网络资源的实际程序，用户唯一看到）协议HTTP,SMTP,FTP,Telnet

        |

    6表示层（接收的数据转换为应用层可读取的格式,加密和解密）协议ASCII,MPEG,JPEG,MIDI

        |

    5会话层（管理对话，全双工或半双工创建和关闭连接）协议NetBIOS,SAP,SDP,NWLink

        |

    4 传输层（确保端到端的无差别传输）协议TCP,UDP,SPX

        |

    3网络层 （负责数据在物理网络中转发，网络主机的逻辑寻址，处理数据包分片和错误检测)(路由器工作在这一层）协议IP,IPX

        |

    2数据链接层（提供物理网络传输数据的方法，提供一个寻址方案，确定物理设备（MAC地址)）（网桥和交换机在这一层）协议Ethernet,Token Ring,FDDI,Apple Talk

    |

1 物理层（实际的网络数据传播）

 

3数据封装

发送时，将创建一个协议数据单元（PDU），包括正在发送的网络数据，以及所增加的头部和尾部协议信息

接收到PDU后，逐层剥去协议头部和尾部，数据到达OSI最上层的时候，只剩下原始传输数据

 

举例：

浏览网站时，使用HTTP协议，TCP HTTP -> IP TCP HTTP ->以太网 IP TCP HTTP

 

客户端

HTTP等应用层协议提供了特定服务，依靠TCP协议保证服务可交付，

（DNS协议构架于UDP上，TCP构架于IP上）

TCP协议将数据包交给IP协议，在第三层创建一个包含逻辑寻址信息的头部

将数据包传递给数据链层上的以太网，以太网物理地址会被添加和存储在以太网帧头中

最后传给物理层

 

服务器

为了响应客户端发过来的数据包，服务器会发回一个TCP确认数据包，客户端可等待index.html文件内容

 

4网络硬件

集线器：

一般提供多个RJ-45端口机盒，仅在双半工模式下运行（不能同一时间发送和接收数据）

 

交换机：

将数据发送到目的计算机连接的端口上，交换机必须能通过MAC唯一地址来识别设备，必须工作在OSI的数据链接层上

将每个设备的第二层地址都存在一个CAM（content Addressable Memory）

数据传输时，交换机读取数据包第二层协议头部信息，用CAM作为参考，决定发给哪个端口或者哪些端口

 

路由器：

在OSI的网络层上，通常使用第三层（如IP地址）来唯一识别网络上的设备

 

流量分类

网络流量分为：广播，多播，单播

 

1广播流量

广播数据包会被发送到一个网络上的所有端口，有两种方式：

第二层广播流量：MAC地址FF:FF:FF:FF:FF:FF是保留的广播地址,任何发送到这个地址的流量将会被广播到整个网络。

一个IP网络中的最大的IP地址是被人保留作为广播地址使用的。一个配置了192.168.0.XXX的IP范围，以及子网掩码是255.255.255.0的地址网络中，广播IP地址是192.169.0.255

每一个广播域会一直延伸到路由器，而广播数据包只能在他特定的广播域中传播

2多播流量

将单一来源的数据包同时传送给多个目标的通信方式

将数据接受者加入多播组的编址方案

3单播流量

数据包直接从一台计算机传到另一台计算机

 

 

 

 

 

 

 

 

 

监听网络线路

 

1混杂模式（能够允许网卡查看所有流经网络线路数据包的驱动模式）

网卡会将所有看见的数据包传递给主机的CPU

2在集线器连接的网络中进行嗅探

流经集线器的所有网络数据包都会被发送到每一个集线器连接的端口，要分析一台连接到集线器上的电脑的网络通信，就是将数据包嗅探器连接到集线器任意一个空闲的端口上，对本地网络的可视范围是不受限制的。

 

3在交换式网络中进行嗅探

基本有四种方法：端口镜像，集线器接出（hubbing out），使用网络分流器，ARP欺骗攻击

 

a端口镜像：

通过命令行或者Web管理界面来访问目标设备所连接的交换机，交换机必须支持端口镜 像功能，以及有一个空闲端口

发出命令，强制交换机将一个端口上的所有通信都镜像到另一个端口上。

 

b集线器输出：

将目标设备和分析系统分段到同一网络段中，然后把它们直接插到一个集线器上

  1.找到目标设备所连接的交换机，将目标设备连接网线从交换机上拔掉

  2.将目标设备的网线插入到自己的集线器上

  3.使用另一根网线，将嗅探分析器连接到嗅探器上

  4将集线器连接到交换机上，将集线器连接到网络上

  制造商       命令

  思科         set span< source port><destination port>

  凯创         set port mirroring create<source port><<destination port>

  北电         port-mirroring mode mirror-port<source port>monitor-port<destination port>

所有从目标设备流入流出的网络流量都将在集线器中广播，大多数情况下，集线器会使目标设备的全双工转为半双工。

 

C使用网络分流器

将其放置在网络布线系统的两个端点之间，在网络上放置一个专门为网络分析而设计的特殊硬件以捕获所需要的数据包。

网络分流器分为两种基本类型：聚合和非聚合

 

非聚合的网络分流器有四个端口，聚合分流器有三个端口。

聚合的网络分流器：

只有一个物理的流量监听口，来对双向通信进行嗅探。

  1，从目标交换器上拔下目标电脑的网线。

  2，将连接目标电脑网线的另一端插入到网络分流器的in端口。

  3，将另一根网线的一端插入网络分流器的out端口，并将另一端插入到网络交换机。

  4