原理
网络原理:
在交换机环境中实现抓取网段中所有包的手段:
- 端口镜像:通过昂贵的路由设备,将其他端口的数据拷贝到目标端口,实现引流
- arp欺骗:在主机进行arp广播的时候,对网关进行arp欺骗
- 泛洪攻击:对网关发出大量的流量包,包含大量的mac地址,将交换机的cam表刷满,当其他主机发出arp请求的时候,会出现凌量泛洪,也就是将其他主机的arp请求直接广播
实现原理:
过滤
1. 分类:
按方法分,有两种:
- 捕捉过滤器
- 显示过滤器
按过滤的凭借分,有两种:
- 通过协议过滤
- 通过内容过率
他们的语法不同
关系:
方法 | 凭借 |
---|---|
捕捉过滤器 | 协议 |
显示过滤器 | 协议、内容 |
2. 语法
捕捉过滤器:
语法 | Protocol | Direction | HOST | Value | Logical Operations | Other expression |
---|---|---|---|---|---|---|
例子 | tcp | dst | 10.1.1.1 | 80 | and | tcp dst 10.2.2.2 3128 |
字段:
- peotocol:协议
- Direction:方向 |常有,dst,src,dst and src, dst or src
- Hosts: 主体 |常有 net,port,host,portrange
- Logical Operations: 逻辑运算 |常有 and,or
显示过滤器:
- 协议过滤
语法 | Protocol | String1 | String2 | Comparison operator | value | logical Operations | Other |
---|---|---|---|---|---|---|---|
例子 | http | request | method | == | “POST” | or | icmp.tyoe |
- 内容过滤
示例:tcp contains “http”