网络原理
1、那种网络可以抓住数据包
本机环境 :
直接抓包 通过观察本机的网卡检测流量的进出(默认的 软件会绑定一个网卡用于检测进出的流量)
集线器环境:
因为 集线器是一种物理层的设备 他不会识别数据包 只会将接受到的数据包进行防洪法发送出去 抓包软件可以可以通过 网络监视数据包 进行抓包分析
交换机环境
(1)端口镜像方式
交换机的转发数据的模式 是根据它的交换表进行的 一般的情况下是不会被抓取到数据包的 所以要是实现成功的抓取数据包需要获得交换机的控制权限,通过 在交换机上设置 端口镜像的方式,实现将经过该交换机的流量拷贝一份,复制转发到抓包主机网卡上 进行数据分析。
(2)ARP的方式、
1、假如PC2要与PC3实现通信 会事先发送一个广播ARP请求 通过交换机 发送给主机PC3 和PC1 但是PC1会丢弃不处理在这个信息
2使用 ARP攻击软件后 拍出1 主机会接受 这个数据包并且返回数据请求 向pc2解释我才是这个主机 而且会发送不止一个请求 根据 ARP 后到优先的规则 混乱 交换机的MAC地址表从而实现 成功接收数据
3、MAC防洪
PC1 大量发送MAC地址信息 到交换机上 是的交换机的MAC地址表混乱 从而是的主机发送的数据包无法被识别 从而 使用防洪的方式 发送给所有主机
底层原理
抓包的底层架构
win-/libpcap 是wireshark抓包时候依赖的库文件 也就是底层驱动
capture 抓包引擎 利用 libpcap/winpacp从底层抓取数据包,libpcap/winpacp提供了通用的抓包端口(包括以太网,令牌环网,ATM网等)获取数据包
wiretap 包格式支持引擎 从抓取的数据包中 读取解析数据包 支持多种文件格式
core 核心引擎 用于通过各种的函数引用 各种的插件 共同的调度 实现抓包的 过程
GTK1/2 图形化处理工具 处理用户的输入输出显示
