学习使用Wireshark的读书笔记
嗅探数据包的一个关键决策时在哪里防止数据包嗅探器。由于网络上的3种主要设备(集线器、交换机、路由器)对网络流量的处理方式都不同,因此你必须非常清楚你所分析的网络使用的是哪种设备。
现在的网卡一般都支持混杂模式,也就是说允许网卡能够查看所有流经网络线路数据包。
在集线器连接的网络中进行嗅探
因为流经集线器的所有网络数据包都是广播方式传播,因此这种网络对任何数据包分析师来说都是一个梦想。在集线器网络中嗅探将提供一个不受限制的可视范围。
集线器网络嗅探
在交换式网络中进行嗅探
因为交换机的工作方式,使得在交换式网络上可视范围仅限于你所接入的端口。但是,还是有4中基本方法可以从一个目标设备捕获数据流量。
端口镜像
Paste_Image.png
要启用端口镜像,你需要发出一个命令,来强制交换机将一个端口上的所有通信都镜像到另一个端口上。
集线器接出
在许多交换机网络中所使用的交换机,是不具有可网管功能的。
Paste_Image.png
使用这种技巧,你需要将目标设备和分析系统分段到同一网络段中,然后把它们直接插入到一个集线器。
使用网络分流器
Paste_Image.png
网络分流器是一个硬件设备,你可以将它放置在网络布线系统的两个端点之间,来捕获这两个端点之间的数据包。
ARP欺骗攻击
ARP欺骗,有时候也被称为ARP缓存中毒,是通过发送包含虚假MAC地址的ARP消息,以劫持其他计算机流量的过程。
ARP欺骗
在路由网络环境中进行嗅探
所有在交换式网络环境中用来监听网络线路的技术在路由网络环境中都同样适用,唯一需要重点考虑的是:当你调试一个涉及多个网络分段的故障时,如何安置你的嗅探器?因为一个设备的广播域一直延伸,直到到达一个路由器,在这个点上,网络流量将会被转发个上游路由器。
我是咕咕鸡,一个还在不停学习的全栈工程师。
热爱生活,喜欢跑步,家庭是我不断向前进步的动力。
