《Wireshark数据包分析实战》读书笔记

1、OSI参考模型中的特殊功能：

表示层（第六层）：进行用来保护数据的多种加密和解密操作。

会话层（第五层）：负责以全双工或者半双工的方式来创建会话和关闭连接。

传输层（第四层）：提供面向连接和无连接的网络协议，某些防火墙和代理服务器也工作在这一层。

网络层（第三层）：数据在物理网络中的路由转发，路由器工作在这一层。

数据链路层（第二层）：提供通过物理网络传输数据的方法，网桥和交换机工作在这一层。

2、基本概念

    OSI中的每一层只能和直接的上层和下层进行通信

协议栈中的每层协议都负责在传输数据上增加/剥离一个协议头或者协议尾

协议数据单元（PDU）=正在发送的网络数据+增加的头部协议信息+增加的尾部协议信息

数据包指的是完整的PDU，包括所有层次协议信息

路由器在网络间引导数据包流向的过程叫做路由

3、流量分类

广播数据包会被发送到一个网段上的所有端口，第二层中MAC地址为FF: FF: FF: FF: FF: FF是保留的广播地址，第三层中一个IP网络范围中最大的IP地址是被保留作为广播地址使用

多播将单一来源数据包同时传输给多个目标的通信方式，通过避免数据包的大量复制来减少网络带宽

单播数据包从一台计算机直接传输到另一台计算机

4、混杂模式

允许网卡能够查看到所有流经网络线路数据包的驱动模式

可视范围是数据包嗅探器中能够看到通信流量的主机的范围

5、交换式网络

在一个交换式网络中从一个目标设备捕获网络流量的基本方法有四种

（1）端口镜像

必须可以访问目标设备所连接的交换机，这个交换机也必须支持端口镜像的功能，以及一个空闲的端口，把端口镜像复制到另外一个端口

（2）集线器接出

将目标设备和分析系统分段到同一网络段中，然后把他们直接插在一个集线器上

连上两台电脑，看这两台电脑是否能嗅探对方与网络其他设备之间的网络通信

（3）使用网络分流器

    在目标设备和交换机中间加一个网络分流器

（4）ARP欺骗攻击

Cain&Abel软件

利用这项技术来对网络流量进行重路由的时候，素有的流量都必须经过你的嗅探分析系统，所以你的嗅探分析系统就是整个链路的瓶颈，这种流量重路由会对你的系统造成一种拒绝服务攻击式的影响

6、着色规则

    View-ColoringRules可以调整着色规则

7、查找数据包

找到满足条件的数据包，Ctrl-N找到下一个匹配的数据包，Ctrl-B找到上一个匹配的数据包

用Ctrl-M标记数据包，再摁Ctrl-M就可以取消

View-TimeDisplayFormat

8、数据包的相对参考时间

将一个数据包设为时间参考，要先选定这个数据包，然后选择Edit-SetTimeReference，取消选择也是

9、修改内核缓冲区大小

    Capture-Options可以设定在写入磁盘之前可以存储在内核缓冲区内所捕获数据的大小

10、捕获文件设定

把数据储存在文件集中需要勾选MultipleFiles选项

勾选Next File Every选项，上面是基于文件大小的触发器，下面的是基于时间的触发器，输入条件就可以设定捕获文件的触发器

11、显示选项

    Update List ofPackets in Real Time和AutomaticScrolling in Live Capture都被选中并且捕获一定数据包时，将会对处理器产生相当大的负担，除非一定要实时查看数据包，否则将这两个选项都取消

12、显示过滤器

逻辑操作符：and（两个条件同时满足）、or（其中一个条件被满足）、xor（有且仅有一个条件被满足）、not（没有条件被满足）

13、常用显示过滤器

排除RDP流量→!tcp.port==3389

排除ARP流量→!arp

所有HTTP流量→http

文本email流量→smtp||pop||imap

文本管理流量→tcp.port==23||tcp.port==21

具有SYN标志位的TCP数据包→tcp.flags.syn==1

具有RST标志位的TCP数据包→tcp.flags.rst==1

14、保存过滤器

（保存捕获过滤器规则）Capture→Capture Filters→New→在FiltersString中输入一个实际的过滤器表达式→Save

（保存显示过滤器规则）Analyze→DisplayFilter→New→在FiltersString中输入一个实际的过滤器表达式→Save

15、查看端点

    Statistics