網絡協議分析期末複習專題(二)

期末重點
1.過濾器:區分顯示過濾器和捕獲過濾器;表達式寫監聽端口和報文.
2.嗅探:通過集線器，交換機或其他設備進行嗅探;以及嗅探器的位置;網卡可以進行嗅探的原因(混雜模式).
3.網絡協議分析:IP頭,TCP報文結構,各種網絡協議報頭域功能,ARP,IP,ICMP,三次握手四次揮手,DNS,HTTP.
4.實驗報文的分析:查看實驗報告進行分析.
網絡嗅探
定義:網絡嗅探是指利用計算機的網絡接口截獲其他計算機的數據報文的一種手段.
嗅探原理:通常在一個網段的所有網絡接口都可以訪問在網絡媒體上傳輸的所有數據，而每一個網絡接口都有一個唯一的硬件地址，這個硬件地址就是網卡的MAC地址，大多數系統使用48比特的地址，這個地址用來表示網絡中的每一個設備，一般來說每一塊網卡的MAC地址都是不同的，每個網卡廠家得到一段地址，然後用這段地址分配給其生產的每個網卡一個地址.在硬件地址和IP地址間使用ARP和RARP協議進行相互轉換.
在正常情況下，一個網絡接口應該只響應以下兩種數據幀:
1.與自己硬件地址相匹配的數據幀
2.發現所有機器的廣播數據幀
在一個實際的系統中，數據的收發是由網卡來完成的，網卡接收到傳輸來的數據，網卡內的單片程序接受數據幀的目的MAC地址，根據計算機上的網卡驅動程序設置的接受模式判斷該不該接收，認爲該接收就接收後產生中斷信號通知CPU，認爲不該接收就丟掉不管，所以不該接收的數據網卡就階段了，計算機根本不知道.CPU得到中斷信號產生中斷，操作系統就根據網卡的驅動程序地址調用程序接收數據，驅動程序接收數據後放入信號堆棧讓操作系統處理.而對網卡來說一般有四種接收模式:

• 廣播方式:該模式下的網卡能夠接收網絡中的廣播信息.
• 組播方式:設置在該模式下的網卡能夠接收主播數據.
• 直接方式:在這種模式下，只有目的網卡才能接收該數據.
• 混雜模式:在這種模式下的網卡能夠接收一切通過它的數據，而不管該數據是否是傳給它的.
  ⛄⛄⛄總結:在以太網中是基於廣播方式傳送數據的，也就是說，所有的信號都要經過我的機器.其次，網卡可以設置爲混雜模式(promiscous),在這種模式下工作的網卡能夠接收到一切通過它的數據，而不管實際上數據的目的地址是不是它.這實際上就是Sniff工作的基本原理:讓網卡接收一切所能接收的數據.
  積極意義:
  網絡嗅探需要用到嗅探器，其最早是爲網絡管理人員配備的額工具，有了嗅探網絡管理員可以隨時掌握網絡的實際請款，查找漏洞和檢測網絡性能，當網絡性能急劇下降的時候，可以通過嗅探器分析網絡流量，找出網絡阻塞的來源.嗅探器也是很多程序人員在編寫網絡程序時抓包測試的額工具，因爲我們知道網絡程序都是以數據包的形式在網絡中進行傳輸的，因此難免有協議頭定義不對的.
  網絡嗅探的基礎是數據捕獲，網絡嗅探系統是並接在網絡中來實現對數據的捕獲的，這種方式和入侵系統相同，因此被稱爲網絡嗅探.網絡嗅探是網絡監控系統的實現基礎.
  積極意義:
  會話劫持和IP欺騙.首先把網絡置於混雜模式，在通過欺騙抓包的方式來獲取目標主機的pass包，當然得在同一個交換環境下，也就是要先去的目標服務器的同一網段的一臺服務器.ARP就是IP地址與MAC地址之間的轉換，在傳輸數時，IP包裏就有源IP地址，源MAC地址，目標IP地址，如果在ARP表中有相對應的MAC地址，則直接訪問，反之則廣播出去，對方的IP地址和所發的IP地址相同，則對方則將MAC地址廣播出去.ARP欺騙就在此，侵略者若接聽到你發送的IP地址，則可以冒仿目標主機的IP地址然後把自己當額MAC地址返回給源主機.因爲源主機發送的IP包沒有包括目標主機的MAC地址，而ARP表中又沒有
  目標IP地址和目標MAC地址的對應表.所以容易產生ARP欺騙.我們假設有三臺主機A,B,C位於同一個交換式局域網中，監聽者處於主機A，而主機B,C正在通信。現在A希望能嗅探到B->C的數據，於是A就可以僞裝成C對B做ARP欺騙——向B發送僞造的ARP應答包，應答包中IP地址爲C的IP地址而MAC地址爲A的MAC地址。這個應答包會刷新B的ARP緩存，讓B認爲A就是C，說詳細點，就是讓B認爲C的IP地址映射到的MAC地址爲主機A的MAC地址。這樣，B想要發送給C的數據實際上卻發送給了A，就達到了嗅探的目的。我們在嗅探到數據後，還必須將此數據轉發給C，這樣就可以保證B,C的通信不被中斷。 以上也是基於ARP欺騙的嗅探基本原理。
  集線器Hub，交換機，路由器的差異
• ⛅⛅⛅集線器
  集線器是指將多條以太網雙絞線或光纖集合連接在同一段望理解之下的設備，集線器是運作在OSI模型中的物理層.它可以視作多端口的中繼器，若它偵測到碰撞，它會提交阻塞信號.由於集線器會把收到的任何數字信號，經過再生或放大，再從集線器的所有端口提交，這回造成信號之間碰撞的機會很大，而且信號也可能被竊聽，並且這代表所有連接到集線器的設備，都是屬於同一個碰撞域以及廣播域名，因此大部分集線器已被交換機取代.
• ⛅⛅⛅交換機
• 叫花雞是按照通信兩端傳輸信息的需要，用人工或設備自動完成的方法，把要傳輸的信息送到符合要求的相應路由上的技術的統稱.交換機根據工作位置的不同，可以分爲廣域網交換機和局域網交換機.交換機工作於OSI參考模型的第二層，即數據鏈路層.交換機內部的CPU會在每個端口成功連接時，通過將MAC地址和端口對應，形成一張MAC表，而不是所有的段潰口.因此，交換機可用於劃分數據鏈路層廣播，即衝突與，但不能劃分網絡層廣播，即廣播域.
• ⛅⛅⛅路由器
  路由器是連接因特網中各局域網，廣域網的設備，它會根據信道的請款自動選擇和蛇形路由，以最佳路徑，按前後順序發送型號.路由器是互聯網絡的樞紐，“交通警察”.路由器又稱網關設備是用於鏈接多個邏輯上分開的網絡，所謂邏輯網絡是代表一個單獨的網絡或者一個子網.當數據從一個子網傳輸到另一個子網時，可通過路由器的路由功能來完成.因此，路由器具有判斷網絡地址和選擇IP路徑的功能，它能在多網絡互聯環境中，建立靈活的連接，可用完全不同的數據分組和介質訪問方法接連個種子網，路由器只接受源站或者其他路由的信息，屬於網絡層的一種互聯設備.
  路由器，交換機，集線器的區別