数据包分析技术

ABOUT THIS

数据包嗅探或协议分析

了解网络特征

查看网络上的通信主体

确认谁或是哪些应用在占用网络带宽

识别网络使用的高峰时间

识别可能的攻击或恶意活动

寻找不安全以及滥用网络资源的应用

工作原理

收集，选定的网卡设置成混杂模式来完成抓包。可以抓取一个网段上所有的网络通信流量，而不仅是发往它的数据包

转换，将捕获的二进制数据转换成可读形式。高级嗅探器就支持到这一步骤，分析工作留给最终用户

分析，数据包嗅探器以捕捉的网络数据作为输入，识别和验证他们的协议，然后，开始分析每个协议的特定属性

关注数据包的几个点：

协商连接参数:通信需要加密吗？加密密钥如何在通信双方进行传输？

数据格式：通信数据在数据包中如何排列？数据达到接收设备以什么顺序进行处理

错误检验与校正：当数据包花了太长的时间时间才到达目的地时如何处理？当客户端暂时无法和服务器建立通信时，该如何恢复连接？

连接终止：一台主机如何告知另一台主机通信已经结束？为了礼貌地终止通信，应该传送什么样的最终信息？

发起连接：是客户端还是服务器发起的连接？真正通信时需要交换哪些信息?

流量分类

广播流量（2层流量广播：MAC地址FF:FF:FF:FF:FF:FF和3层流量广播:最大IP地址被保留作为广播地址使用）

多播流量（224.0.0.0-239.255.255.255）

单播流量

监听网络线路

混杂模式：允许网卡能够查看到所有流经网络线路数据包的驱动模式

其他设备的网卡驱动会识别这个数据包对它们来说没有任何用处，于是选择将数据包丢弃，而不是传递给CPU进行处理。（分层处理，提高网络效率）

但是混杂模式下，网卡将每一个它所看到的数据包都传递给主机的处理器，即数据包一旦经过CPU就可以被数据嗅探软件捕捉并进行分析

嗅探器安置在网络的位置?

在集线器连接的网络中进行嗅探（淘汰）

在交换式网络中进行嗅探（但只可以嗅探本网段的数据）

嗅探的4种方法：端口镜像，集线器接入（hubbing out），使用网络分流器（聚合型和非聚合型：有四根网线），ARP欺骗攻击

在路由网络环境中进行嗅探

在交换网络的所有嗅探技术都对路由网络适用，在处理涉及多个网段与路由器的问题时，你可能需要将你的嗅探器移动到不同的位置上，才能获得一个完整的网络画图

嗅探器监听逻辑：

监听网络线路

if（交换机支持镜像端口=true）{

使用镜像端口

}else if（客户机可以临时下线==true）{

if（能访问一个网络分流器）{

使用网络分流器

}else

{

集线器输出

}

}else{

使用ARP缓存中毒

}

MultiD

公众号ID：Multi_D

关注