协议分析——出征前秣马厉兵

        众所周知，抓包是很简单的一件事，像专业的wireshark，或者人性化的360天眼系统，只要安装软件，开启混杂模式就可以抓包。而在猎物中能否抓出违法者，确实很复杂很复杂的事情。

        通过学习安全牛的渗透课程，在这里进行一个总结，以便后面学习和查看。

        抓包的局限性，是由于我们分析工作的前提，是抓包软件对网络传输中的0、1串已经进行翻译，如果流量已经进行了加密，软件和人都无法进行解读，抓包分析工作就进入了窘境。所以抓包只能解决大多数情景下的简单情况/

        打开Wireshark，进行相应的设置：

对抓包软件的结果分析时，不建议使用wireshark，因为它很不人性化。使用Windows平台下的OmniPeek，这是一个很不错的选择。现在破解版的OmniPeek已经有了11版本，具体还需要大家自行百度.

如果面临大量的数据包，那么可以进行抽样来减少工作量。先细工，再提高效率。

Network视图查看流量情况，查看建立大流量会话的ip、流量实时情况、协议类型等等。可以应对网络流量问题。

Nodes视图可以看到流量发送最多的ip，用于定位异常ip。接着查看其数据包就可以了。

Protocols可以查看协议，首先进行协议的筛选，把一些没有必要分析的数据全部剔除。比如重点关注Internet里面的数据包时，一些无关的数据包都可以丢弃。而对于SMTP、HTTP Proxy、syslog、FTP Data、SNMP、MSN Messenger、DNS、TNDSHTTP、TCP、UDP、FTP Control等协议数据包，是有价值而且有能力分析的。

回到nodes视图，可以把组播地址屏蔽掉。

summary可以查看流量统计信息。

进入专家系统，查看数据包中的五元组，及相应的payload等，大量的具体信息都在右键菜单里。

Request视图下，可以查看各种请求包。

针对具体的应用，有具体的分析。尤其是面对网络攻击，更是可以显出奇迹特效。