1.2 抓包原理 l 哪种网络可以抓到包? 本机环境:抓到的是本机网卡进出的流量 集线器环境:集线器是一个冲突域,这样可以抓到整个局域网的流量 交换机环境: * 端口镜像:如下图,当PC2和PC3通信时,PC1是无法抓到他们通信的流量的。使用端口镜像(SPAN)技术,可以将交换机的流量复制一份,这样PC1就可以抓到整个局域网的流量 * ARP欺骗:假如PC2想给PC3发送帧,使用ARP协议来得知PC3的MAC地址,ARP请求广播整个局域网,PC3进行ARP回复,PC1安装了cain&Abel软件也进行了ARP回复。这样PC2的ARP表中,IP3对应的MAC地址就是PC1的,于是本来发给PC3的帧发给了PC1。通过这种方式来抓整个局域网的包 * MAC泛洪:PC1泛洪垃圾包,使得交换机中MAC表爆表 l 抓包的底层架构 1.3 简单操作l 增加列,删除列,修改列的名称 l 调整时间格式 l 开启名词(IP地址、MAC地址等)解析: 在统计选项中,有一个已解析的地址 l 标记数据包、注释数据包、合并数据包、导出标记或者选择的数据包 l 设置多少个分组或者设置占用多大内存或者设置每隔多长时间 建立一个抓包文件(在文件那里可以填写所建立的文件名) 这样方便在大网络中抓包,否则软件很容易爆表 l 定时器 l 抓包过滤器: 语法: 例子: 显示过滤器(当网络流量不会很大时,利用显示过滤器可以对所有的数据包进行分析,然后依次过滤): 语法: 例子: 1.4 高级功能1.4.1 数据流追踪 把两个主机之间的通信显示出来 1.4.2 专家信息通过专家信息,可以得到错误包,被警告包,需要注意的包,从而可以判断网络的稳定性等(在分析一栏中) 重点看前三项 1.4.3 捕获文件属性(在统计一栏中) 1.4.4 协议分层统计(在统计一栏中) 1.4.5 网络节点和会话统计(在统计一栏中) 网络会话(conversations):统计通信会话之间接收和发送的数据包和字节(源到目的地) 网络节点(endpoint):统计通信会话中每个节点之间接收和发送的数据包和字节 1.4.6 数据包长度统计(在统计一栏中) 1.4.6 图表分析l IO图表:对网络中吞吐流量进行实时显示 l 数据流图: 2 协议分析(进阶)3 网络故障分析(高级) |