ARP嗅探和抓包学习

计算机网络协议基础

七层协议
1. 物理层
2. 数据链路层 ARP协议
3. 网络层 IP
4. 传输层 TCP UDP
5. 表示层
6. 会话层
7. 应用层 HTTP DHCP

交换式网络嗅探的方式

• 端口镜像 （配路由 插线）
• 集线器输出 （很少见的网络了，可以买一个集线器）
• 网络分流器 （插设备）
• ARP欺骗
• mac地址泛洪攻击（mac 错误后会流量防洪，广播式发送）

ARP欺骗工具

ARP欺骗是在第二层数据链路层实现的，这里使用Cain&abel软件实现的
- 通过广播大量发送自己mac地址的表协议，刷新ARP表 回来的信息就会发到自己这里，本地嗅探，需要修改成混杂网卡模式

抓包工具wireshark

基本选项

• cature 捕获
• filter 过滤
  
  • 抓捕过滤
  • 显示过滤
• statistics统计报表
• 名字解析 网络名字解析，传输名字解析
• 数据包操作
  
  • 导出
  • 导入
• 抓包设置选项
• 选网卡项
• 过滤器（BPF 语法）
  
  • 协议 方向 地址
• 数据流追踪
  
  • tcp udp ssl 等 碎片包重组

数据协议的理解

• 第二层 ARP协议
  **负责处理单一网络通信**

  无偿的ARP 广播发送后会导致ARP表进行更新
  几个域 ：
  1. 硬件类型
  2. 协议类型
  3. 协议长度， 响应请求等 0x001 /0x002
  4. 发送地址， 目的地址

• 第三层 互联网协议 IP协议

  **负责跨网络通信的地址 逻辑寻址**

  两个部分逻辑地址和主机地址 由网络掩码决定位数
  IP分片：主要基于第二层数据链路层MTU大小
  以太网1500，这其中会有一些标记，more fragment Fragment offset等

• 第四层 传输层协议TCP
  **最终目的是为了数据的可靠传输**

  
  1. 源端口 目的端口
  2. 序列号 tcp 片段
  3. 标记类型
     
     1. ACK（确认）
     2. PSH
     3. RST
     4. SYN（握手信号）
     5. FIN（结束）
  4. 握手过程
     
     1. a-b发送TCP数据包除了头不含任何数据（syn类型）
     2. b-a发送SYN和ACK标志
     3. a-b发送最后一个ACK数据包
  5. tcp终止 (FIN/ACK)
  6. tcp重连（RST/ACK）

• 应用层 DHCP /HTTP/DNS
  DHCP续租过程(这个协议作用是动态分配IP)：

  1. DORA
  2. DHCP 服务器 通常和网关是一个

  DNS （域名解析服务）：递归查询标记位
  HTTP （超文本传输协议）：是WWW.的传输机制 web服务器
  监听TCP80端口
  POST信息在 line-based.text data
  302 重定向

—-