抓包分析題網路安全

㈠ 利用WIERSHACK抓包分析網路是否安全

wireshark抓包分析比較復雜，首先需要你要精通tcp/ip協議才可以。否則的話，建議你直接通過第三方軟體來分析，比如WFilter裡面的網路健康度檢測插件。一鍵就可以檢測大部分網路問題。

㈡ 計算機網路，，抓包分析題目，，求具體分析過程。。不知道怎麼看那個表

第一行到08 00之前分別是源MAC和目的MAC，而08 00這兩個位元組是MAC針的類型（2B），後邊就是IP數據報了：

45 00 01 d0
31 2c 40 00
40 06 ba 2d
是IP數據報頭的前三行

接下來：
c0 a8 d2 72 (192.168.210.114)是源IP地址
1b 18 9f 9b（27.24.159.155）是目的IP地址
該數據針的目的MAC是從頭開始的6個位元組： 00 17 df ba 54 00

㈢ 網路抓包原理

本文以App作為例子，實際應用不限於App范圍。

大部分場合都可以通過程序調試來定位問題，但有些場景使用抓包來定位介面問題更准確、更方便，如以下場景：

要實現對App的網路數據抓包，需要監控App與伺服器交互之間的網路節點，監控其中任意一個網路節點（網卡），獲取所有經過網卡中的數據，對這些數據按照網路協議進行解析，這就是抓包的基本原理。

但是中間網路節點，不受我們控制，所以基本無法實現抓包的，只能在客戶端和服務端進行抓包。

通常我們監控本地網卡數據，如下圖：

本地網路 指的是WIFI的路由，如果直接抓路由器的包還是比較麻煩的，因此我們會在 手機 和 本地路由 之間加一層 代理服務 ，這樣只要抓代理服務的網路數據即可：

雖然在 手機 側也可實現抓包，但和 本地路由 一樣，抓包比較麻煩，如果不是沒有辦法，盡量還是不在手機側抓包。但是有一種情況必須在手機端抓包，那就是在4G網路情況下：

4G網路狀態下如何抓包，以及它的劣勢，我們後面章節再細講。

抓包實際上是分析網路協議的一種過程，盡管繁瑣的細節勞動都讓抓包工具做了，但我們還是需要了解下基礎的網路協議，好幫助我們更好的分析問題。

首先需要了解下經典的OSI七層網路模型，以及每層的作用，其次對TCP、HTTP協議簡單了解。

HTTPS是基於HTTP協議的一種改進，在 TCP之上 的會話層增加安全處理。對於應用層來說，HTTPS和HTTP沒有什麼不同，也就是說，HTTPS是保證網路傳輸的安全性，對業務數據無侵入。

簡化理解大概是這個樣子：

SSL和TLS是保證安全傳輸的協議，包括證書認證、加解密和數字簽名。

項目中HTTPS的鏈路：

因此，客戶端與後台，編寫網路介面時，不需要關心SSL或TLS，按照HTTP協議處理即可。

既然HTTPS在網路傳輸是經過加密的，那麼抓包抓到的數據就是密文，不經過解密是無法看到報文的。針對這個問題，如上圖WIFI環境下設置代理的方式可以解決，具體思路是：

所以整個網路鏈路依然是HTTPS在傳輸，但代理服務自己可以獲取到明文數據。

比較常用的抓包工具大概有4個，主要用作互補，配合使用基本所有平台、所有抓包需求都能滿足：

需要說明的是，tcpmp可將數據保存成文件，直接用wireShark打開分析，針對後台或手機抓包使用起來十分方便。

幾個工具間的使用關系：

為什麼要真機抓包？必定是沒有辦法設置代理服務了，如4G網路情況下直接和移動基站鏈接，沒法設置代理服務。凡是非4G網路狀態下，都不建議真機抓包。

iOS 5後，apple引入了RVI remote virtual interface的特性，它只需要將iOS設備使用USB數據線連接到mac上，然後使用rvictl工具以iOS設備的UDID為參數在Mac中建立一個虛擬網路介面rvi，就可以在mac設備上使用tcpmp，wireshark等工具對創建的介面進行抓包分析。

具體步驟：

android是linux系統，和後台一樣可以使用tcpmp命令來抓包，但是需要root許可權，因為一般手機系統不帶有抓包命令 tcpmp ，需要自行安裝。

安裝tcpmp：

使用tcpmp：

這是就已經進入抓包狀態，手機所有的網路請求都會被捕獲，並保存到capture文件中。

導出capture文件：

原文： 網路抓包

㈣ wireshark 抓包數據分析ARP攻擊

明顯是由於內網中有終端中了arp病毒。arp攻擊分為兩種一種是欺騙內網客戶端,即中arp病毒的這台主機以很高的頻率想區域網中不斷地發送錯誤的網關MAC-IP對應關系（向區域網中的其他主機發送廣播說自己是網關）結果區域網中的其他主機將數據包都發向該中毒主機最終導致數據發送不出去而掉線；另一種是欺騙網關，即中毒的這台機器以高頻率持續地向網關發送錯誤的內網客戶端mac-ip對應關系以改變網關的arp表（即告訴網關下面客戶端的mac對應得ip地址都是自己）導致內網發送到公網的數據在返回時都返回到中毒的這台主機上，最終導致內網的客戶端無法接受公網返回的數據而顯示掉線。
目前採用最多的就是雙綁但這只是治標不治本的方法
要想真正實現內網的安全管理光靠硬體設備和綁定是不可能實現的，只有將內網的普通網路提升到「免疫網路」才能真正實現內網的安全可管理。欣向免疫牆路由器採用軟硬體結合徹底解決因乙太網底層協議漏洞出現的arp攻擊等問題！！
免疫網路的主要理念就是自主防禦和管理。

㈤ 請教 在網路上，傳說中的抓包是什麼怎樣抓包

抓包就是將網路傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作，也用來檢查網路安全，但往往被某些無恥之徒用來網游作弊。
英文名稱為Sniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。使用這種工具，可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。當信息以明文的形式在網路上傳輸時，便可以使用網路監聽的方式來進行攻擊。將網路介面設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨幹網路的路由器曾經被黑客攻人，並嗅探到大量的用戶口令。本文將詳細介紹Sniffer的原理和應用。
下面是抓包的方法
1．安裝抓包工具。
目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據目的地址的不同，設置更詳細的過濾參數。
2．配置網路路由。
你的路由器有預設網關嗎？如果有，指向了哪裡？在病毒爆發的時候把預設網關指向另外一台路由器是很危險的（除非你想搞癱這台路由器）。在一些企業網里往往僅指出網內地址段的路由，而不加預設路由，那麼就把預設路由指到抓包主機上吧（它不下地獄誰下地獄？當然這台主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上，所有對外訪問的網路包都會被分析到。
3．開始抓包。
抓包主機已經設置好了，網路里的數據包也已經送過來了，那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來，這些就是被捕獲的數據包（如圖）。 圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求，並且目的埠都是445。
4.找出染毒主機。
從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網路里存在嗎？很可能網路里根本就沒有這些網段。其次，正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎？在毫秒級的時間內發出幾十甚至幾百個連接請求，正常嗎？顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議，該協議存在拒絕服務攻擊的漏洞，連接埠是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。 既然抓到了病毒包，我們看一下這個數據包二進制的解碼內容： 這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息，緊跟著的2位元組指出了數據包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個位元組是封裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭，包括了源、目的埠，TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外，這個包沒有攜帶其他任何的有效數據負荷，所以這是一個TCP要求445埠同步的空包，也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠，便會利用系統漏洞傳播感染。

㈥ 網路抓包的用途何在

主要作用

通過對網路上傳輸的數據進行抓取，可以對其進行分析，對於軟體的Debug很大的幫助。當然也可以通過抓取用戶發送的涉及用戶名和密碼的數據包來獲取用戶的密碼。

（1）網路通訊的真實內容。

（2）網路故障分析。

（3）程序網路介面分析。

（4）木馬通訊數據內容。

(6)抓包分析題網路安全擴展閱讀：

抓包工具

抓包工具是攔截查看網路數據包內容的軟體。通過對抓獲的數據包進行分析，可以得到有用的信息。目前流行的抓包工具有很多，比較出名的有wireshark、sniffer、httpwatch、iptool等。這些抓包工具功能各異，但基本原理相同。

我們的計算機通過向網路上傳和從網路下載一些數據包來實現數據在網路中的傳播。通常這些數據包會由發出或者接受的軟體自行處理，普通用戶並不過問，這些數據包一般也不會一直保存在用戶的計算機上。

抓包工具可以幫助我們將這些數據包保存下來，如果這些數據包是以明文形式進行傳送或者我們能夠知道其加密方法，那麼我們就可以分析出這些數據包的內容以及它們的用途。

目前抓包工具更多的用於網路安全，比如查找感染病毒的計算機。有時也用於獲取網頁的源代碼，以及了解攻擊者所用方法、追查攻擊者的ip地址等。

㈦ 如何用抓包工具wireshark對交換機其中一埠進行抓包分析

可以用PC直連交換機那個口 等方法

㈧ 網路抓包怎麼分析

關於網路抓包的問題，可以使用 ethereal 軟體進行網路上各種信息包的抓取。
但是至於說對抓取到的各種信息包進行詳細的分析，這個必須要精通 TCP/IP 協議族才能夠做到（例如：精通 TCP、IP、UDP、ICMP等協議的幀格式、以及即使在同一個欄位中，不同的數字也代表不同的具體含義，等等）。
否則的話，即使獲取到了各種十六進制的信息包，閱讀這些信息包的感覺就和看天書一樣，無法分析這些信息包的詳細含義。

㈨ 網路安全問題求解答。。。 如圖，請問這是不是網址抓包通過研究內網段可以有入侵伺服器的可能嗎

可能