(ARP数据包简要分析)
Script:源地址
Dst:目的地址
type:上层协议类型(网络结构的上层为视图的下层)
Destination:目的机器MAC
Soure:源机器MAC
ARP包头解析
Protocol type:协议类型
Hardware size:头长度
Protocol type :协议长度
Total长度
每次传递数据包的大小
Flags:是否分段
Ttl值:(win128,linux64,ulinux245)
Protocol:三层往上四层协议(UDP(17)、TCP(6)、ICMP(1)、IGMP(2) …)
Header checksum:IP头的校验值(包头修改会显示错误数值)
Source:IP源地址
Destination:IP目的地址(与三层协议相反)
Options段:(TCP(面向链接)、UDP(面向无链接)一般没有这个段)
TCP数据包
TCP建立连接过程:三次握手
第一包:主机IP发送(SYN)
第二包:接收端回复确认(SYN,ACK)
第三包:接收端回复自己确认完毕(ACK)
DNS(应用层协议)
protocol:协议(UDP)
scr port:ip源端口(53)
dst port:ip目的端口(55234)
HTTP
FTP
功能使用:
查看数据流(IP上右键->Follw TCP…(数据流) ->TCP))
协议分布:统计(Statistics)->协议分级(Protocol Hierarchy)
包的长度:统计(Statistics)->分组长度(Packet Lengths)
会话链接:统计(Statistics)->对话(Conversations)
解码方式:右键IP地址->解码(Decode AS)
专家系统:分析(Analyze)->专家信息(Expert Info)
抓包对比nc、ncat加密与不加密的流量
企业抓包布署方案
Sniffer
Cace / riverbed
Casead pilot