ARP嗅探和抓包学习

计算机网络协议基础

七层协议
1. 物理层
2. 数据链路层 ARP协议
3. 网络层 IP
4. 传输层 TCP UDP
5. 表示层
6. 会话层
7. 应用层 HTTP DHCP

交换式网络嗅探的方式

  • 端口镜像 (配路由 插线)
  • 集线器输出 (很少见的网络了,可以买一个集线器)
  • 网络分流器 (插设备)
  • ARP欺骗
  • mac地址泛洪攻击(mac 错误后会流量防洪,广播式发送)

ARP欺骗工具

ARP欺骗是在第二层数据链路层实现的,这里使用Cain&abel软件实现的
- 通过广播大量发送自己mac地址的表协议,刷新ARP表 回来的信息就会发到自己这里,本地嗅探,需要修改成混杂网卡模式

抓包工具wireshark

基本选项

  • cature 捕获
  • filter 过滤
    • 抓捕过滤
    • 显示过滤
  • statistics统计报表
  • 名字解析 网络名字解析,传输名字解析
  • 数据包操作
    • 导出
    • 导入
  • 抓包设置选项
  • 选网卡项
  • 过滤器(BPF 语法)
    • 协议 方向 地址
  • 数据流追踪
    • tcp udp ssl 等 碎片包重组

数据协议的理解

  • 第二层 ARP协议
    **负责处理单一网络通信**

    无偿的ARP 广播发送后会导致ARP表进行更新
    几个域 :
    1. 硬件类型
    2. 协议类型
    3. 协议长度, 响应请求等 0x001 /0x002
    4. 发送地址, 目的地址
  • 第三层 互联网协议 IP协议

    **负责跨网络通信的地址 逻辑寻址**

    两个部分逻辑地址和主机地址 由网络掩码决定位数
    IP分片:主要基于第二层数据链路层MTU大小
    以太网1500,这其中会有一些标记,more fragment Fragment offset等

  • 第四层 传输层协议TCP
    **最终目的是为了数据的可靠传输**

    1. 源端口 目的端口
    2. 序列号 tcp 片段
    3. 标记类型
      1. ACK(确认)
      2. PSH
      3. RST
      4. SYN(握手信号)
      5. FIN(结束)
    4. 握手过程
      1. a-b发送TCP数据包除了头不含任何数据(syn类型)
      2. b-a发送SYN和ACK标志
      3. a-b发送最后一个ACK数据包
    5. tcp终止 (FIN/ACK)
    6. tcp重连(RST/ACK)
  • 应用层 DHCP /HTTP/DNS
    DHCP续租过程(这个协议作用是动态分配IP):

    1. DORA
    2. DHCP 服务器 通常和网关是一个

    DNS (域名解析服务):递归查询标记位
    HTTP (超文本传输协议):是WWW.的传输机制 web服务器
    监听TCP80端口
    POST信息在 line-based.text data
    302 重定向

—-ARP嗅探和抓包学习_第1张图片

你可能感兴趣的:(ARP嗅探和抓包学习)