數據包分析技術
ABOUT THIS
數據包嗅探或協議分析
了解網路特徵
查看網路上的通信主體
確認誰或是哪些應用在佔用網路帶寬
識別網路使用的高峰時間
識別可能的攻擊或惡意活動
尋找不安全以及濫用網路資源的應用
工作原理
收集,選定的網卡設置成混雜模式來完成抓包。可以抓取一個網段上所有的網路通信流量,而不僅是發往它的數據包
轉換,將捕獲的二進位數據轉換成可讀形式。高級嗅探器就支持到這一步驟,分析工作留給最終用戶
分析,數據包嗅探器以捕捉的網路數據作為輸入,識別和驗證他們的協議,然後,開始分析每個協議的特定屬性
關注數據包的幾個點:
協商連接參數:通信需要加密嗎?加密密鑰如何在通信雙方進行傳輸?
數據格式:通信數據在數據包中如何排列?數據達到接收設備以什麼順序進行處理
錯誤檢驗與校正:當數據包花了太長的時間時間才到達目的地時如何處理?當客戶端暫時無法和伺服器建立通信時,該如何恢復連接?
連接終止:一台主機如何告知另一台主機通信已經結束?為了禮貌地終止通信,應該傳送什麼樣的最終信息?
發起連接:是客戶端還是伺服器發起的連接?真正通信時需要交換哪些信息?
流量分類
廣播流量(2層流量廣播:MAC地址FF:FF:FF:FF:FF:FF和3層流量廣播:最大IP地址被保留作為廣播地址使用)
多播流量(224.0.0.0-239.255.255.255)
單播流量
監聽網路線路
混雜模式:允許網卡能夠查看到所有流經網路線路數據包的驅動模式
其他設備的網卡驅動會識別這個數據包對它們來說沒有任何用處,於是選擇將數據包丟棄,而不是傳遞給CPU進行處理。(分層處理,提高網路效率)
但是混雜模式下,網卡將每一個它所看到的數據包都傳遞給主機的處理器,即數據包一旦經過CPU就可以被數據嗅探軟體捕捉並進行分析
嗅探器安置在網路的位置?
在集線器連接的網路中進行嗅探(淘汰)
在交換式網路中進行嗅探(但只可以嗅探本網段的數據)
嗅探的4種方法:埠鏡像,集線器接入(hubbing out),使用網路分流器(聚合型和非聚合型:有四根網線),ARP欺騙攻擊
在路由網路環境中進行嗅探
在交換網路的所有嗅探技術都對路由網路適用,在處理涉及多個網段與路由器的問題時,你可能需要將你的嗅探器移動到不同的位置上,才能獲得一個完整的網路畫圖
嗅探器監聽邏輯:
監聽網路線路
if(交換機支持鏡像埠=true){
使用鏡像埠
}else if(客戶機可以臨時下線==true){
if(能訪問一個網路分流器){
使用網路分流器
}else
{
集線器輸出
}
}else{
使用ARP緩存中毒
}
MultiD
公眾號ID:Multi_D
關注
TAG:MultiD |