读<Wireshark数据包分析实战-第3版;之流量分类

Posted 流离

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了读<Wireshark数据包分析实战-第3版;之流量分类相关的知识,希望对你有一定的参考价值。

目录

广播流量

广播流量是指在计算机网络中,发送者将数据包(通常是单播)传输给局域网内所有设备的通信方式。广播流量数据包具有特殊的目标地址,即“广播地址”,这使得接收到该数据包的所有设备都必须处理它。

广播主要用于在局域网内实现一些关键功能,如请求IP地址、寻找其他设备等。然而,过多的广播流量可能导致网络性能下降,因为每台设备都需要处理这些数据包,增加了CPU和带宽的负担。

为了减少广播流量对网络性能的影响,网络管理员会采取一些措施,例如使用交换机替代集线器(交换机可以根据MAC地址将数据包转发到特定设备,从而减少广播),或者通过子网划分来限制广播范围。

广播流量在各个网络层的地址是?

广播流量在各个网络层的地址表示如下:

  1. 数据链路层(第二层):在以太网中,MAC(媒体访问控制)地址全为FF-FF-FF-FF-FF-FF的帧表示数据链路层的广播。当一个设备发送到这个MAC地址的帧时,所有连接到同一局域网内的设备都会接收并处理该帧。

  2. 网络层(第三层):在IPv4网络中,广播地址由子网掩码和IP地址计算得出。例如,在一个192.168.0.xxx IP范围的网络中,子网掩码为255.255.255.0,广播地址为192.168.0.255。向该地址发送的数据包将被网络上的所有设备接收。在IPv6中,有多种广播形式,如组播和任播,但没有专门的广播地址。

其他网络层通常不涉及广播概念。传输层(第四层)和应用层(第七层)等较高层次的协议使用端口号来标识特定的服务和应用,而不直接处理广播流量。但是,某些特殊情况下,这些层次可能会间接地参与广播通信,例如通过组播或对等网络中的泛洪机制。

对广播地址一直发送数据包,会导致整个局域网网络堵塞吗?

向广播地址192.168.0.255持续发送数据包会对局域网内的设备产生影响。因为广播地址被用于向网络中的所有设备发送信息,所以当一个设备向广播地址发送数据包时,所有连接到该网络的设备都需要处理这些数据包。这可能导致以下问题:

  1. 带宽消耗:大量广播流量占据了网络带宽,降低了其他正常通信的性能。
  2. 设备资源消耗:每个设备在接收到广播数据包时都需要对其进行处理,这会增加设备CPU和内存的负担,影响其正常工作。

然而,实际情况取决于多种因素,如网络设备的性能、发送数据包的速率等。如果广播数据包的发送速率较低,那么对整个局域网的影响也相对较小,反之则可能导致局域网的堵塞。为避免此类问题,可以采取限制广播流量的措施,例如使用交换机、VLAN技术或子网划分。

组播流量

组播流量是一种网络通信方式,它允许源节点将数据包发送给多个目标节点,而无需为每个目标节点单独发送数据包。组播在某些特定场景中非常有效,例如流媒体传输、IPTV、视频会议和多点数据分发等。

在IPv4中,组播地址范围是224.0.0.0到239.255.255.255。利用这个特殊的IP地址范围,数据包可同时发送给加入该组播组的所有设备。IPv6也支持组播,其组播地址以"FF"开头。

要实现组播功能,需要以下组件:

  1. 组播源:发送组播数据包的设备。
  2. 组播组:具有特定组播IP地址的一组设备,它们都希望接收来自组播源的数据包。
  3. 网络设备:路由器和交换机等设备需要支持IGMP(Internet Group Management Protocol,互联网组管理协议)和PIM(Protocol Independent Multicast,协议无关组播),以便正确地转发组播数据包。

与广播相比,组播更加高效,因为只有加入组播组的设备才会接收和处理这些数据包,从而降低了网络堵塞和设备负担。

单播流量

单播流量是一种网络通信方式,指的是源节点将数据包发送到一个特定的目标节点。在单播通信中,每个数据包都有一个唯一的源IP地址和目标IP地址。单播用于大多数网络中的常规通信,例如浏览网页、发送电子邮件、文件传输等。

与广播和组播相比,单播更加针对性,因为它只在源节点和目标节点之间传输数据,不会影响其他不相关设备的性能。然而,在需要将相同数据发送到多个接收者的场景下,单播可能效率较低,因为需要为每个目标节点单独发送数据包。这时候使用组播或广播可能更适合。

wireshark实战之局域网抓包分析

Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?

第一ARP嗅探,劫持网关,再本地抓包.

第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到指定机子端口.
第三Ap一个无线,让他们连接,然后再抓包.
第一种方法不用考虑,第二种方法因为企业级路由才有镜像端口功能,我等屌丝用的TP-LINK无这个功能.所以只能考虑第三种方法.
  首先建立一个WIFI热点,懒得用WIN7自带的虚拟WIFI功能.(PS:window 7有一个“Microsoft Virtual WiFi Miniport Adapter”功能,我理解为“虚拟WIFI”。也就是说而Windows 7 可以在一块真实无线网卡基础上再虚拟出一块无线网卡,支持网络共享,让电脑变身wifi热点。) 直接用360卫士的免费WIFI建立一个和路由发射出来的信号一模一样的热点.

 

 

本人在另一个电脑上连接上wifi

 自己打开360wifi

这是另一个台电脑的登录界面

技术分享图片

 

 

显示目标已经上钩

技术分享图片

 

最后,了解HTTP协议。

HTTP报文流内,包含一个个HTTP请求和响应对,新版的Wireshark会对HTTP对使用箭头进行标示。

由于帐号和密码都是在客户端输入,然后向服务器发送,因此,这些信息应该在上行报文中查找。

 

正常情况下根据DNS分析,可获取网站相关的域名等,由于不是本文分析重点,因此略过。

登录操作过程产生了数个HTTP对,包括GET和POST,一般上送数据的过程更可能在POST中,因此先看POST,如果需要,再看GET。

 

 

下面抓包后过滤

 技术分享图片

 

 

然后显示密码如下

 

技术分享图片

你也可以右键,追踪流,TCP流

也可以看到密码

 




以上是关于读<Wireshark数据包分析实战-第3版;之流量分类的主要内容,如果未能解决你的问题,请参考以下文章

《Wireshark数据包分析实战》(三)地址解析协议(ARP)

wireshark数据包分析实战 第二章

wireshark实战之局域网抓包分析

Wireshark网络分析实战笔记显示过滤器

Wireshark网络分析实战笔记ARP和IP

Wireshark网络分析实战笔记ARP和IP