网络工程师
IT行业,跨平台,98年开源许可证
网络工程师可以对网路故障进行基本的排错,
安全工程师通过渗透攻击可以进行快速定位
1.分析网络底层协议
2.解决网络故障问题
3.寻找网络安全问题
支持平台基本都支持
https://www.wireshark.org/
http://www.wiresharkbook.com/
https://wiki.wireshark.org/
科来网络分析系统
1.电脑通信流量到互联网,互联网返回流量到网关,wireshark在网关处进行抓包
2.集线器,物理层,接收数据包后,向其他端口泛洪
3.交换机环境(链路层)
交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
(1)端口镜像进行抓包
如果pc2和pc3进行通信,pc1是接收不到数据包的,所以我们在交换机上做一个SPAN的端口镜像,
(2)ARP欺骗非正常抓包
相当于我们没有权限在交换机上做一个span镜像端口技术,但是我们又想获取到一个本地局域网的流量,通过arp欺骗攻击去窃取到局域网的流量,流量劫持
(3)MAC泛洪(非正常抓包)流量劫持
到流量经过wireshark,它是怎么处理的
win/libpcap是 wireshark抓包时依赖的库文件驱动文件
capture抓包引擎,利用win/linpcap提供通用的抓包接口,能从不同类别的网络接口进行抓包
抓到的包都是1和0的字节流
Harddisk根据不同的协议将字节流封装成数据包
core核心引擎,里面放了很多插件,将其他引擎调用在一起
gtk1/2图像化处理界面
ip.addr192.168.1.15显示IP源地址和目的地址所有的数据包
ip.src显示ip所有的源地址
ip.dst==显示ip所有的目的地址
查找本机的物理地址所含有的数据包
抓包过滤器 BPF语法
ether host 70-85-C2-F8-AC-84
ether src host 70-85-C2-F8-AC-84
ether dst host 70-85-C2-F8-AC-84
src host 192.168.1.15
port 80
! port 80
dst port 80
src port 80
arp icmp
src host 192.168.1.15 && dst port 80 ||或
显示过滤器
比较操作符
!=不等于、
过滤协议
arp、tcp、udp、icmp
tcp.flags.syn == 1 or tcp.flags.ack == 1
高级功能
数据流跟踪
功能
将tcp、udp、ssl等数据流进行重组并完整呈现出来
路径 analyze----follow tcpstream
tcp流
udp流
ssl流
如果这些小于百分之5,肯定是有问题的
arp一般长度42字节
icmp一般100以上
dns
以太网14个字节
ip头部20个字节udp至少8个字节
dns200字节
数据帧比较大的包说明有可能在看视频
控制端口一般是21,传输端口不一定是20,tcp.port == 21 or tcp.port == 23
23 运程终端服务器(TELNET)
25stmp
80http
一般网上的 帧大小
58字节
以太网14个字节
ip头部20个字节
udp至少8个字节
tcp头部信息
