抓包相关

什么是抓包？

抓包（packet capture）就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。

抓包的原理

要知道抓包的原理，首先要知道网络中包的传输是什么样子的。
根据网络协议栈的规定，对于报文，即使是目的地是本机，也需要经过本机的网络协议层，所以本机通讯肯定是通过API进入了内核，并且完成了路由选择。当网卡接收到一个网络报文之后，它会遍历系统中所有已经注册的网络协议，例如以太网协议、x25协议处理模块来尝试进行报文的解析处理，这一点和一些文件系统的挂载相似，就是让系统中所有的已经注册的文件系统来进行尝试挂载，如果哪一个认为自己可以处理，那么就完成挂载。
PS.抓包的实现在数据链路层
网络中各个协议，发送包从上往下，接收处理包从下往上：

当抓包模块把自己伪装成一个网络协议的时候，系统在收到报文的时候就会给这个伪协议一次机会，让它来对网卡收到的报文进行一次处理，此时该模块就会趁机对报文进行窥探，也就是把这个报文完完整整的复制一份，假装是自己接收到的报文，汇报给抓包模块。

相关工具

抓取

wireshark、Chales、fiddler等

Charles：

Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的HTTP通讯，设置断点，查看所有的进出Fiddler的数据。 Fiddler 要比其他的网络调试器要更加简单，因为它不仅仅暴露HTTP通讯还提供了一个用户友好的格式。

分析工具

wireshark

网络相关

路由（routing）：是指分组从源到目的地时，决定端到端路径的网络范围的进程 。路由工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议（如TCP/IP、IPX/SPX、AppleTalk等协议），但是在我国绝大多数路由器运行TCP/IP协议。路由器通常连接两个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护路由表来反映当前的网络拓扑，并通过网络上其他路由器交换路由和链路信息来维护路由表。

路由工作包含两个基本的动作：
1、确定最佳路径
2、通过网络传输信息

静态路由（Static routing）：一种路由的方式，路由项（routing entry）由手动配置，而非动态决定。与动态路由不同，静态路由是固定的，不会改变，即使网络状况已经改变或是重新被组态。一般来说，静态路由是由网络管理员逐项加入路由表，是单向的。

配置：
ip router 目的网络 掩码｛网关地址 接口｝
例1： ip router 192.168.1.0 255.255.255.0 s0/0
即：目的网段为1网段的数据包，都从s0接口送出
例2：ip router 192.168.1.0 255.255.255.0 192.168.2.0
即：目的网段为1网段的数据包，必须先经过2网段

1）为什么要有默认路由
路由得查看路由表而决定怎么转发数据包，用静态路由一个个的配置，繁琐易错。如果路由器有个邻居知道怎么前往所有的目的地，可以把路由表匹配的任务交给它，省了很多事。

2）为什么默认路由是0.0.0.0
匹配IP地址时，0表示wildcard, 任何值都可以。所以0.0.0.0和任何目的地址匹配都会成功，造成默认路由要求的效果。

动态路由：动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。当网络中节点或节点间的链路发生故障，或存在其它可用路由时，动态路由可以自行选择最佳的可用路由并继续转发报文。

1）常见的动态路由协议有哪些

• RIP
  路由信息协议（RIP） 是内部网关协议IGP中最先得到广泛使用的协议。RIP是一种分布式的基于距离向量的路由选择协议，是因特网的标准协议，其最大优点就是实现简单，开销较小。
• OSPF
  OSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。
• IS-IS
  IS-IS（Intermediate System-to-Intermediate System，中间系统到中间系统）路由协议最初是ISO（the International Organization for Standardization，国际标准化组织）为CLNP（Connection Less Network Protocol，无连接网络协议）设计的一种动态路由协议。
• BGP
  边界网关协议（BGP）是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议，也是唯一能够妥善处理好不相关路由域间的多路连接的协议。

osi将计算机网络体系结构分为7层，以及各层的作用
物理层: 将数据转换为可通过物理介质传送的电子信号，原始比特流传输。
数据链路层: 物理寻址，在此层将数据分帧，并处理流控制，将比特流转变为逻辑传输线路，决定访问网络介质的方式。
网络层: 控制子网的运行，如路由选择、分组传输、逻辑编址。
传输层: 提供终端到终端的可靠连接，必要时将接受到的上一层数据进行分割。
会话层: 允许用户使用简单易记的名称建立连接，即不同物理设备上的用户之间的建立以及会话管理。
表示层: 协商数据交换格式，如加密解密、压缩解压缩。
应用层: 用户的应用程序和网络之间的接口。

tcpip模型以及每一层
**应用层：**负责程序之间的沟通，HTTP（超文本传输协议）、TFTP（基于udp）、FTP（文件传输协议）、NFS、WAIS、SMTP、Telnet（网络远程访问协议）
**传输层：**为两台主机的应用程序之间提供端对端的数据传输，提供两种不同的服务
**网络层：**提供地址管理，和路由选择。IP、ICMP、ARP（地址解析协议）、RARP（逆地址解析协议）、AKP、UUCP
数据链路层：提供相邻设备之间数据传输，Ethernet（以太网）

防火墙

主要存在于：网络层，传输层，应用层，看具体的防火墙类型。

1、过滤型防火墙
过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

2、应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。

3、复合型
目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；

如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

以上关键词来自百度百科