wireshark抓包工具学习——重新思考各种协议

之前只是书面的了解各种协议但是实际中还是没有感觉他的存在，用了wireshark结合分析问题后开始重新思路各种协议
一、ARP协议：
这是一种在局域网中的协议，主要作用就是ip地址转化mac地址，会在局域网中通过广播方式寻找相对应得mac地址，形成ip和mac得对应缓存地址表方便传输。通过wireshark很容易看到这一个过程，同时也可以看到一些arp攻击的现象，比如伪造网关不停的发假mac地址给攻击对象造成断网，或者伪造自己成文中间人窃取数据。主要甄别就是看整个过程一来一回有没强行给一个地址发mac，同时可以根据mac去找到伪装网关的坏家伙或者有大量的mac发送请求
二、http协议：
非常重要的web协议，请求方式一般get/post/多 ,回复200，ok等；使用wireshark分析能很好的展示其过程，一般的一些个人信息都会在post请求中暴露，也通常和tcp一起用先是tcp三次握手建立连接后，开始请求。一些网络的邮件也是通过这个协议传输附件，因此也可以抓到一些附件的蛛丝马迹，然后观察数据包大小，查看是否有分片传输迹象，然后用winhex重组各个分片的16进制还原附件。甚至有md5加密的情况的密码，还可以用一些手段把原密码还原出来（尽管md5不能逆推，但是可以匹配核对结合大数据找出密码）。
三、tcp协议：
个人觉得是非常重要的一个协议，大佬林的分析中，这个协议占得比很重，三次握手，四次挥手以前对于tcp就了解就到这里，但是深入以后发现可以值得玩味的地方非常的多，握手时候ack，seq编号的确定，传输数据时候ack、seq、len的关系了解了这些才能看到什么是乱序，win窗口以及遇到各种问题时候关于wind窗口的提示，mss的分片，ttl时间64(多个路由器之间)和128（windos servser），根据ttl减少来确定网络架构中走过了多少设备，这些东西都是分析网络的性能甚至造个各种服务器问题，还可以进一步去推出一些逆向的的产品设计原理。以前做通信的时候人家问我这么提高网速，我无法回答，但是现在至少明白可以用抓包先做一下分析把整个交互过程弄明白再找问题的存在。
总结：零零散散写了一些东西，算不上很好的知识归纳，更像读后感，通过wireshark要能还原出整个事件是怎么发生的，中间发什么了什么，关注时间，以及一些不合理的现象从而发现问题。这只是我初读一遍后脑袋里能回忆的东西，但是实际玩味的东西还非常多需要我总结完善。这篇文章也代表我技术博客之路的开始，我会坚持持续更新自己的东西，也逐步完善归闹各种学的的知识，这是给自己定的一个目标必须要坚持写下去。
未完待续，持续更新