network
network
叶常落
一朝眉羽成,钻破亦在我
展开
-
oui unknown中的oui是什么?
说实话,每天都能遇到很多以前不曾了解的姿势。oui是个缩写,英文全称是organization unique identifierhttp://standards-oui.ieee.org/oui/oui.txt今天使用tcpdump抓包的时候,遇到了oui Unknown。我很好奇,oui到底是什么?然后有时候抓包可以获取到厂商的相关信息。...原创 2021-07-22 22:55:17 · 5204 阅读 · 0 评论 -
DNS协议
todo今天抓包碰到了DNS协议,感觉是我知识的盲点,影响了我的判断,现在争取把这个盲点给补充上。《TCP/IP详解》第14章详细介绍了dns相关知识几个问题dns缓存时间是多少?dns服务器是干什么的?dns的报文长什么样?dns的流程是怎么样子的?先走hosts,如果hosts里面没有,会去查dns服务器dns报文使用的端口?53号端口dns使用udp还是tcp?dns的查询和响应通常要经过广域网dns报文格式...原创 2021-07-22 22:25:53 · 272 阅读 · 0 评论 -
中间人攻击
参考百度百科:中间人攻击看了微博上的某个瓜:下面以DWL进行代指。这个刘某就厉害了,直接扮演了中间人的角色。D,W两台主机之间本来是隔离的,但是这个这个L,首先嗅探D的信息,获得W的联系方式,冒充D向W发起连接,建立LW通信,再冒充W向D发起连接,建立LD通信,不但把信息被窃取了,而且信息还被篡改了。中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到如今还具有极大的扩展空间。信息窃取、信息篡改是中间人的手段。攻击方式嗅探代理欺骗防御方式:减少信息泄露建立可靠连接增加认证原创 2021-07-22 22:09:00 · 146 阅读 · 0 评论 -
使用scapy回放wireshark抓到的包
流量回放是我很感兴趣的一个领域,我一直在想如果我能够使用wireshark抓包,那么能不能把这个包个回放呢?wireshark抓包后保存为pcap文件。当然也可以使用tcpdump抓包保存为pcap文件什么是pcap文件?pcap可以理解为一种用来存储报文的格式。scapy中的rdpcap函数可以读取pcap文件。scapy读取完pcap后,其实只是对这个文件的解析,如果想把这个报文发送出去,还要使用sendp函数进行发送。scapy send vs sendp?...原创 2021-07-21 21:49:30 · 2728 阅读 · 1 评论 -
使用nmap发现家庭wifi下的存活设备
第一步:要查看下网络的属性已知:本机ip:192.168.1.6,路由器ip:192.168.1.1,子网掩码255.255.255.0第二步:使用nmap扫描nmap -v -sn 192.168.1.1/24这里-sn的意思就是ping scan子网掩码是24位,所以对应有256个可能主机扫描结果:发现局域网内的存活设备。有7个ip,对应了3台电脑和3台手机,还有一个路由器。第三部:详细的扫描每一台设备手机设备很难有突破,主要是扫pc设备扫描TCP开放端口sudo nmap原创 2021-07-20 21:35:53 · 3001 阅读 · 4 评论 -
scapy能干点啥?
https://scapy.readthedocs.io/en/latest/usage.html如果说wireshark是一个学习网络协议的利器,那么scapy就是另一个利器。scapy 如何实现arp欺骗?scapy如何发布UDP广播?原创 2021-07-20 20:10:47 · 121 阅读 · 0 评论 -
抓包引发的遐想
今天使用wireshark抓包,突发奇想,我是否能够抓取到局域网内其他同事的电脑报文呢?后来我想了想,这里涉及一个概念,就是报文在局域网内是怎么传输的?如果所有的网络报文,都是广播的,那么你是可以抓到其他人的包的。但是如果网络报文本身就是点对点的传播的,那么很难从旁路进行抓包。引入了两个概念,集线器和路由器。下面看一下其他网络协议arparp广播是什么样的?arp请求和arp响应对不存在的主机发送arp会怎么样?icmpTTL是什么?tcp或者udp端口为什么要和进程绑定?端口其原创 2021-07-20 19:28:33 · 115 阅读 · 0 评论 -
udp组播的应用场景
局域网内设备发现:通过udp组播,一对多传递数据。Teacher:Student1Student2Student3原创 2021-07-16 18:27:09 · 1183 阅读 · 1 评论 -
四次分手抓包实战篇
我对四次分手的理解就是,我抓包能观察到四次分手,但是我不清楚原理。其实tcp断开连接有多种情况,例如我直接拔掉网线和我优雅的杀死进程,tcp的处理是截然不同的。一般来讲拔掉客户端的网线,客户端是没有办法发出包来的。但是优雅的杀死客户端进程的时候,客户端是可以发送包的。以华为手机为例,我去关掉一个应用,假如在关闭之前还有tcp连接,那么当我优雅的关闭进程的那一刻,其实有四次分手的。我观察到如下报文,No.18-No.22fin + ackackfin + ackack我们知道,三次握手是原创 2021-05-28 19:37:00 · 144 阅读 · 0 评论 -
TCP三次握手抓包观察实战篇
使用wireshark进行抓包,发现三个包有非常明显的三次握手的特征,synsyn + ackack但是还不能确定。所以打算通过seq num和ack num进行验证。通过以下三步基本可以认定为三次握手。第一步:先看图中No.1229,为syn包,seq num是 3700911821第二步:看No.1330,为syn+ack包, seq num是3914942061, ack num是3700911822。ack num正是第一步中的seq num +1第三步:看No.1331,为.原创 2021-05-28 19:07:18 · 391 阅读 · 0 评论 -
网络相关的基础知识
本文涉及概念如下arpicmpdnsiptcpmacdnsdns完成了域名到ip的映射arparp广播,如果你是这个ip地址的拥有者,请你回答你的硬件地址arp应答,目的主机的arp层收到这份广播后,识别出这是发送端在询问它的ip地址,于是发送一个arp应答,这个arp应答包含ip地址和对应的硬件地址。arp高速缓存: arp -a 可以查看映射关系相关实践:局域网IP被抢占后如何强制夺回?恶意抢占局域网iparpingicmppingtraceroutetracero原创 2021-05-25 21:58:27 · 157 阅读 · 0 评论 -
电脑既有本地有线网络也有无线网络,那么到底使用哪个网络呢?
我发现我的网络知识太薄弱了,所以我打算新开一个标签,就叫做网络。言归正传,有多个网络接口的时候,到底走那条路?去目的地走哪条路应该去看路由表。如何replay一个wireshark抓到的报文?wireshark真乃神器也智慧课堂场景下,教师授课客户端,学生平板Pad,通过tcp协议进行通讯,开发人员基于tcp协议实现了一种私有的协议,用来实现教师端和学生端数据交换。但到底是如何交换数据的呢?我一直好奇数据的格式是怎么样的?直到我使用了神器wireshark,报文赤裸裸的展现在我的面前,真爽啊。原创 2021-05-25 19:20:17 · 370 阅读 · 0 评论