网络协议分析期末复习专题(二)

期末重点
1.过滤器:区分显示过滤器和捕获过滤器;表达式写监听端口和报文.
2.嗅探:通过集线器，交换机或其他设备进行嗅探;以及嗅探器的位置;网卡可以进行嗅探的原因(混杂模式).
3.网络协议分析:IP头,TCP报文结构,各种网络协议报头域功能,ARP,IP,ICMP,三次握手四次挥手,DNS,HTTP.
4.实验报文的分析:查看实验报告进行分析.
网络嗅探
定义:网络嗅探是指利用计算机的网络接口截获其他计算机的数据报文的一种手段.
嗅探原理:通常在一个网段的所有网络接口都可以访问在网络媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址.在硬件地址和IP地址间使用ARP和RARP协议进行相互转换.
在正常情况下，一个网络接口应该只响应以下两种数据帧:
1.与自己硬件地址相匹配的数据帧
2.发现所有机器的广播数据帧
在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接受数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接受模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就阶段了，计算机根本不知道.CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序地址调用程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理.而对网卡来说一般有四种接收模式:

• 广播方式:该模式下的网卡能够接收网络中的广播信息.
• 组播方式:设置在该模式下的网卡能够接收主播数据.
• 直接方式:在这种模式下，只有目的网卡才能接收该数据.
• 混杂模式:在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的.
  ⛄⛄⛄总结:在以太网中是基于广播方式传送数据的，也就是说，所有的信号都要经过我的机器.其次，网卡可以设置为混杂模式(promiscous),在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是它.这实际上就是Sniff工作的基本原理:让网卡接收一切所能接收的数据.
  积极意义:
  网络嗅探需要用到嗅探器，其最早是为网络管理人员配备的额工具，有了嗅探网络管理员可以随时掌握网络的实际请款，查找漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源.嗅探器也是很多程序人员在编写网络程序时抓包测试的额工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的.
  网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对数据的捕获的，这种方式和入侵系统相同，因此被称为网络嗅探.网络嗅探是网络监控系统的实现基础.
  积极意义:
  会话劫持和IP欺骗.首先把网络置于混杂模式，在通过欺骗抓包的方式来获取目标主机的pass包，当然得在同一个交换环境下，也就是要先去的目标服务器的同一网段的一台服务器.ARP就是IP地址与MAC地址之间的转换，在传输数时，IP包里就有源IP地址，源MAC地址，目标IP地址，如果在ARP表中有相对应的MAC地址，则直接访问，反之则广播出去，对方的IP地址和所发的IP地址相同，则对方则将MAC地址广播出去.ARP欺骗就在此，侵略者若接听到你发送的IP地址，则可以冒仿目标主机的IP地址然后把自己当额MAC地址返回给源主机.因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表中又没有
  目标IP地址和目标MAC地址的对应表.所以容易产生ARP欺骗.我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据，于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C，这样就可以保证B,C的通信不被中断。 以上也是基于ARP欺骗的嗅探基本原理。
  集线器Hub，交换机，路由器的差异
• ⛅⛅⛅集线器
  集线器是指将多条以太网双绞线或光纤集合连接在同一段望理解之下的设备，集线器是运作在OSI模型中的物理层.它可以视作多端口的中继器，若它侦测到碰撞，它会提交阻塞信号.由于集线器会把收到的任何数字信号，经过再生或放大，再从集线器的所有端口提交，这回造成信号之间碰撞的机会很大，而且信号也可能被窃听，并且这代表所有连接到集线器的设备，都是属于同一个碰撞域以及广播域名，因此大部分集线器已被交换机取代.
• ⛅⛅⛅交换机
• 叫花鸡是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称.交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机.交换机工作于OSI参考模型的第二层，即数据链路层.交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表，而不是所有的段溃口.因此，交换机可用于划分数据链路层广播，即冲突与，但不能划分网络层广播，即广播域.
• ⛅⛅⛅路由器
  路由器是连接因特网中各局域网，广域网的设备，它会根据信道的请款自动选择和蛇形路由，以最佳路径，按前后顺序发送型号.路由器是互联网络的枢纽，“交通警察”.路由器又称网关设备是用于链接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网.当数据从一个子网传输到另一个子网时，可通过路由器的路由功能来完成.因此，路由器具有判断网络地址和选择IP路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法接连个种子网，路由器只接受源站或者其他路由的信息，属于网络层的一种互联设备.
  路由器，交换机，集线器的区别