數據包分析技術

ABOUT THIS

數據包嗅探或協議分析

了解網路特徵

查看網路上的通信主體

確認誰或是哪些應用在佔用網路帶寬

識別網路使用的高峰時間

識別可能的攻擊或惡意活動

尋找不安全以及濫用網路資源的應用

工作原理

收集，選定的網卡設置成混雜模式來完成抓包。可以抓取一個網段上所有的網路通信流量，而不僅是發往它的數據包

轉換，將捕獲的二進位數據轉換成可讀形式。高級嗅探器就支持到這一步驟，分析工作留給最終用戶

分析，數據包嗅探器以捕捉的網路數據作為輸入，識別和驗證他們的協議，然後，開始分析每個協議的特定屬性

關注數據包的幾個點：

協商連接參數:通信需要加密嗎？加密密鑰如何在通信雙方進行傳輸？

數據格式：通信數據在數據包中如何排列？數據達到接收設備以什麼順序進行處理

錯誤檢驗與校正：當數據包花了太長的時間時間才到達目的地時如何處理？當客戶端暫時無法和伺服器建立通信時，該如何恢復連接？

連接終止：一台主機如何告知另一台主機通信已經結束？為了禮貌地終止通信，應該傳送什麼樣的最終信息？

發起連接：是客戶端還是伺服器發起的連接？真正通信時需要交換哪些信息?

流量分類

廣播流量（2層流量廣播：MAC地址FF:FF:FF:FF:FF:FF和3層流量廣播:最大IP地址被保留作為廣播地址使用）

多播流量（224.0.0.0-239.255.255.255）

單播流量

監聽網路線路

混雜模式：允許網卡能夠查看到所有流經網路線路數據包的驅動模式

其他設備的網卡驅動會識別這個數據包對它們來說沒有任何用處，於是選擇將數據包丟棄，而不是傳遞給CPU進行處理。（分層處理，提高網路效率）

但是混雜模式下，網卡將每一個它所看到的數據包都傳遞給主機的處理器，即數據包一旦經過CPU就可以被數據嗅探軟體捕捉並進行分析

嗅探器安置在網路的位置?

在集線器連接的網路中進行嗅探（淘汰）

在交換式網路中進行嗅探（但只可以嗅探本網段的數據）

嗅探的4種方法：埠鏡像，集線器接入（hubbing out），使用網路分流器（聚合型和非聚合型：有四根網線），ARP欺騙攻擊

在路由網路環境中進行嗅探

在交換網路的所有嗅探技術都對路由網路適用，在處理涉及多個網段與路由器的問題時，你可能需要將你的嗅探器移動到不同的位置上，才能獲得一個完整的網路畫圖

嗅探器監聽邏輯：

監聽網路線路

if（交換機支持鏡像埠=true）{

使用鏡像埠

}else if（客戶機可以臨時下線==true）{

if（能訪問一個網路分流器）{

使用網路分流器

}else

{

集線器輸出

}

}else{

使用ARP緩存中毒

}

MultiD

公眾號ID：Multi_D

關注

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！