wireshark数据包分析实战 第二章
1,监听网络线路:即嗅探器的位置确定。
2,混杂模式:将网卡设置成混杂模式,网卡可以接受经过网卡的所有数据报,包括目的地址不是本网卡的数据报。这些数据都会发送给cpu处理,这样,wireshark就能收集、转换、分析对应的数据。
3,
只要集线器有多余端口就行,因为集线器的数据是所有主机都会接受数据,所以可视范围是一个广播域。但目前集线器已经很少使用了。试想客户的生产环境应该很少有使用集线器来组织网络拓扑结构的。并且如右上图,当两个或多个设备同时通信,则会发生冲突。
4,在交换机中嗅探:端口镜像、网络分流器、集线器输出、arp欺诈
端口镜像:
原理:要嗅探计算机B的流量,只要将计算机B与交换机连接的端口比如端口1的所有流量,镜像到交换机的一个空闲端口。然后将嗅探器与该空闲端口相连。
端口镜像的优缺点:
优点:不需要短暂地将计算机B与交换机断开。
缺点:需要交换机支持端口镜像功能,并且需要交换机有空闲端口。
5,集线器输出:
原理:利用集线器的流量广播特点。
优点:没啥特殊优点。
缺点:需要将计算机B与交换机短暂断开。并且市面上很难买到集线器了。
6,网络分流器:
原理:网络分流器的in端与被嗅探的机器相连,out端与交换机相连,monitor端与嗅探器相连。使用专门的网络分流器进行嗅探。(聚合型)
非聚合型只是可以有两个端口分别为monitorA、monitorB与嗅探器相连。嗅探器需要两个网卡。这样可以其中一个网卡获取从计算机到分流器的流量,一个网卡获取分流器到计算机的流量。
网络分流器的优点:专业。
缺点:需要单独买个设备。需要短暂断开被嗅探设备与交换机的连接。
7,ARP欺诈:
这个暂时没有应用成功。书本是使用Cain&Abel软件在window系统进行ARP欺诈,但我没应用成功。希望大牛指点!
8,在路由网络中嗅探,需要将嗅探器安插到不同的网段来得到一个更加清晰的网络结构,从而帮助判断问题出在哪里。
9,嗅探准则