wireshark数据包分析实战 总结

网上基本资料：  http://openmaniak.com/cn/wireshark.php

个人读书残留：

一、

路由：3层   FF:FF:FF:FF:FF:FF

交换：2层 一般为最大ip地址

广播域：广播数据能够到达的区域（不经过路由器）

ctrl + F  ->  ctrl  + N/B  查找

ctrl + M -> shift + ctrl + N/B 标记

过滤器 

1、捕获过滤   ： BPF 语法

2、显示过滤

二、

互联网本身就是由无数局域网和路由器所组成的一个集合。

OSI 模型中第3层协议的主要目的就是使得网络间 能够相互通信。MAC地址被用来在第2层处理单一网络中的通信。

ARP(Address Resolution protocol) 

IP

无类型域间选路 CIDR ( Classless Inter-Domain Routing )  10.10.10.22/16

TTlL  (Time To Live )  每经过一个路由，TTL数值减 1

MTU (Maximum Transmission Unit ,)  MTU 默认为1500字节    导致  IP分片

TCP(Transmission Control Protocl) 

1~1023  标准端口组

1024~65535  临时端口

建立 ：  syn syn/ack  ack  三次握手

终止： FIN/ACK

重置：rst

UDP(User Datagram Protocol)

ICMP(Inter Control Message Protocol)  ping 命令

DHCP(Dynamic Host Configuration Protocol)

DNS(Domain Name System)

HTTP(Hypetext Transfer Protoocol)

MITM(Man-in -the-middle)

IDS设备（intrusion detection system）入侵检测系统

其它工具：tcpdump windump 

cain  www.oxid.it/cain.html

scapy(python库)强大