windows计算机网络参考模型、流量抓取wireshark、ARP欺骗

一、计算机网络参考模型

• 理解TCP/IP五层参考模型（四层）
• OSI七层参考模型(自下而上）
  • 物理层：将二进制数转换成传输的电信号或光信号（建立、维护、断开物理链接），相当于网卡
  • 数据链路层：建立逻辑链接，进行硬件地址（MAC地址)寻址、差错校验
  • 网络层：进行逻辑地址（IP地址）寻址，实现不同网络之间路径的选择
  • 传输层：定义传输数据的协议端口号，流量控制、差错校验
  • 会话层：会话的建立、管理、中止
  • 表示层：数据的表示，加密、压缩等
  • 应用层：网络服务与最终用户的一个接口（将原始的数据转换成电脑能识别的二进制数）
• 应用层协议及端口号：
• 应用层:在应用层，TCP/IP 定义了许多协议，如 HTTP (超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)DNS(域名系统)等。TELNET(TCP/23) 、SSH (TCP/22) 、HTTPS (TCP/443) 、TFTP (UDP/69) 、NTP (UDP/123) 、POP3(TCP/110) 、IMAP (TCP/T43) 、SMTP (TCP/25) 、RDP (TCP/3389) 、SMB (TCP/139、445) 、DNS(TCP/53)UDP/53) 、FTP (TCP/21、20) 、MYSQL (TCP/3306)

二、协议

TCP/IP协议簇

• 网络接口层(没有特定的协议) PPPOE
  • 物理层
  • 数据链路层
• 网络层: IP (v4/v6) ARP (地址解析协议) RARPIGMPICMP (Internet控制报文协议)
• 传输层: TCP (传输控制协议) UDP (用户数据报协议)
• 应用层:都是基于传输层协议的端口，总共端口0~655350-1023HTTP---tcp80HTTPS-----TCP443
  • DHCP
  • DNS
  • HTTP
  • HTTPS
  • FTP
  • SMTP
  • POP3
  • IMAP

• 数据的封装与解封装：

二进制基础

• 进制计算:十进制转二进制
• 一、子网划分

进制转换练习

• 根据下面的IP地址计算对应的网络地址和广播地址

        1、23.89.102.88/24

        网络地址：23.89.102.0；广播地址：23.89.102.255

        2、192.168.8.102/16

        网络地址：192.168.0.0广播地址：192.168.255.255

        3、10.23.89.60/20

        网络地址：10.23.80.0广播地址：10.23.95.255

        4、172.16.199.63/28

        网络地址：172.16.199.48广播地址：172.16.199.63

        5、24.56.99.24/18

        网络地址：24.56.64.0 广播地址：172.16.191.255

        6、101.89.24.35/26

        网络地址：101.89.24.0 广播地址：101.89.24.63

三、传输介质

• 同轴电缆
• 双绞线：屏蔽双绞线（STP)、非屏蔽双绞线（UTP）
  • 局域网使用的传输介质基本上都是双绞线，传输速率高、应用广泛、技术成熟、成本低廉

流量抓取工具 (wireshark)

一、网卡

wireshark是对主机网卡上的数据流量进行抓取

1、网卡模式

• 混杂模式:不管目的是否是自己，都接收
• 非混杂模式;默认情况下，主机的网卡处于此模式，不会接收目的非自己的数据

2、界面认识

3、两种过滤器

。捕获过滤:在抓包之前先进行过滤(只抓某种类型的包或者不抓某些类型的包)

显示过滤器:抓包前后抓包后都可以进行过滤，但是不会影响抓取的包(会抓取所有的包，只不过在查看的时候只显示某些包)

4、过滤器

• 捕获过滤器
  • 语法
    • 类型: host net port
    • 方向: src dst
    • 协议: ether ip tcp udp http ftp.........
    • 逻辑运算符: &&与 || 或 ！非
  • 举例
    • 抓取源IP为192.168.18.14并且目标端口为80的报文

                src host 192.168.18.14 && dst port 80

• 抓取IP为192.168.18.14或者IP地址为192.168.18.1

               host 192.168.18.14 || host 192.168.18.1

• 不抓取广播包

        ! broadcast

• 抓取源IP为192.168.18.14或者源192.168.18.0/24，目的TCP端口号在200到1000之间，并目目的位于129.0.0.0/8

(src host 192.168.18.14 1 src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net119.0.0.0/8)

• 显示过滤器
  • 语法
    • 比较操作符: == (eg) 等于 ; ！= (neq) 不等于 ; > 大于(gt) ; 小于(lt) ; >= 大于等于 (ge) ; 小于等于 (le)
    • 逻辑操作符: and (&&)与 or (||) not
    • IP地址过滤: ip.addr   ip.src   ip.dst
    • 端口过滤: tcp.port    tcp.flag.syn    tcp.flag.ack    udp.port    tcp.dstport
    • 协议过滤: arp    ip    http   icmp    udp    tcp
  • 举例
    • 显示源IP等于192.168.18.14并且tcp端口为443

ip.src==192.168.18.14 and tcp.port==443

• • • 显示源不为192.168.18.14或者目的不为202.98.96.68的

ip.src !=192.168.18.14 or ip.dst !=202.98.96.68

ARP协议 (地址解析协议)

一、ARP协议

• 将一个已知的IP地址解析为MAC地址，从而进行二层数据交互
• 是一个三层的协议，但是工作在二层，是一个2.5层协议

二、ARP缓存

• 主要的目的是为了避免重复去发送ARP请求
• 在Windows操作系统中使用ARP命令
  • arp-a
  • arp -d

三、ARP攻击及ARP欺骗

1、ARP攻击

• 伪造ARP应答报文，向被攻击主机响应虚假的MAC地址
• 当被攻击主机进行网络通信时，会将数据交给虚假的MAC地址进行转发，由于虚假的MAC地址不存在，所以造成被攻击主机无法访问网络

2、ARP欺骗

• 欺骗网关
  • 伪造ARP应答报文，向被攻击主机和网关响应真实的MAC地址
  • 当被攻击主机进行网络通信时，会将数据交给真实MAC地址进行转发，从而来截获被攻击主机的数据，这时被攻击主机是可以进行网络通信的
• 欺骗主机
  • 伪造ARP应答报文，向被攻击主机和通信的主机响应真实的MAC地址
  • 当被攻击主机向通信主机发送数据时，会将数据交给真实MAC地址进行转发，从而来截获被攻击主机的数据，这时被攻击主机是可以进行网络通信的