抓着寒假的尾巴,2.28,更新一波。
抓包原理分为网络原理和底层原理
1.网络原理:
1)本机环境-直接抓本机网卡进出的流量:直接在终端安装ws,然后ws抓本机网卡的与互联网通信的流量。
2)集线器环境(老网络)-集线器:向其他所有端口都会泛洪,抓整个局域网里面的包。
*集线器-(hub)(多端口的信号放大设备)属于纯硬件网络底层设备,基本上不具有类似于交换机的"智能记忆"能力和"学习"能力。它也不具备交换机所具有的MAC地址表,所以它发送数据时都是没有针对性的,而是采用广播方式发送。也就是说当它要向某节点发送数据时,不是直接把数据发送到目的节点,而是把数据包发送到与集线器相连的所有节点。
3)交换机环境:
*端口镜像(安全):SPAN技术,复制其他端口的数据包到特定端口。
**ARP欺骗(攻击):需安装arp欺骗软件,错位欺骗,如图,PC1会不断发送欺骗,毒化PC2的arp表,会产生错的绑定,交换机根据mac表就会把数据包乖乖丢给PC1。
***MAC泛洪:泛洪大量垃圾包,产生大量的mac地址,改变了交换机原有的mac地址表,如图,这样流量就泛洪给F1了。
2.底层原理:wireshark底层抓包工具。
以上就是此种抓包工具的架构。
学习资源:来自陈鑫杰的《Wireshark协议分析从入门到精通》。
第一节完。