wireshark&网络技术&网络协议&数据分析学习笔记-----------------------------1.1

Wireshark软件在网络安全与取证分析方面具有重要作用
wireshark也是一个通用化的网络数据嗅探器与协议分析器，在网络运行管理、网络故障诊断、网络应用开发与调试等各个方面都作为基本手头工具
所有的网络问题都源于数据包层次，即使是有着最漂亮外表的应用程序，它们也可能是”金玉其外”但”败絮其中”，有着混乱的设计与糟糕的实现，又或是看起来是可信的，但背地里在搞些恶意的行为。
数据包分析，通常也被称为数据包嗅探或协议分析，指的是捕获和解析网络上在线传输数据的过程，通常目的是为了能更好地了解网络上正在发生的事情。数据包分析过程通常由数据包嗅探器来执行。而数据包嗅探器则是一种用来在网络媒介上捕获原始传输数据的工具。
数据包分析技术可以通过以下方法来达到目标。
了解网络特征。
查看网络上的通信主体。
确认谁或是哪些应用在占用网络带宽。
识别网络使用的高峰时间。
识别可能的攻击或恶意活动。
寻找不安全以及滥用网络资源的应用。
目前市面上有着多种类型的数据包嗅探器，包括免费的和商业的。每个软件的设计目标都会有一些差异。流行的数据包分析软件包括tcpdump、OmniPeek和Wireshark
tcpdump是个命令行程序，而Wireshark和OmniPeek都拥有图形用户界面（GUI）。
当你需要选择一款数据包嗅探器时,需要考虑的因素
支持的协议：数据包嗅探器对协议解析的支持范围各不相同，大部分通常都能解析常见的网络协议（如IPv4和ICMP）、传输层协议（如TCP和UDP），甚至一些应用层协议（如DNS和HTTP）。然而，它们可能并不支持一些非传统协议或新协议（如IPv6、SMBv2、SIP等）。在选择一款嗅探器时，需要确保它能够支持你所要用到的协议。
组合使用多种数据包嗅探器软件将更有助于适应特定的应用场景。
在评估技术支持时，你可以寻找开发人员文档、公众论坛和邮件列表。使用者和贡献者社区会提供一些讨论区、维基、博客，来帮助你获得更多关于数据包嗅探器的使用方法。
并不是所有的数据包嗅探器都支持所有的操作系统平台。
数据包嗅探过程中涉及到软件和硬件之间的协作。这个过程可以分为成3个步骤。
第一步：收集，数据包嗅探器从网络线缆上收集原始二进制数据。通常情况下，通过将选定的网卡设置成混杂模式来完成抓包。在这种模式下，网卡将抓取一个网段上所有的网络通信流量，而不仅是发往它的数据包。
第二步：转换，将捕获的二进制数据转换成可读形式。高级的命令行数据包嗅探器就支持到这一步骤。到这步，网络上的数据包将以一种非常基础的解析方式进行显示，而将大部分的分析工作留给最终用户。
第三步，也是最后一步：分析，对捕获和转换后的数据进行真正的深入分析。数据包嗅探器以捕获的网络数据作为输入，识别和验证它们的协议，然后开始分析每个协议的特定属性。