Ⅰ 電腦本地連接的屬性里數據包接收和發送是什麼意思
首先我們的internet利用的是包交換(packet switching)的通訊方式,因此就有了數據包。
客戶端與客戶端之間通訊需要相互發送數據包。如果使用面向連接的通訊方式,通訊之前需要發送通訊請求,雙方建立連接後方可通信,比如我們用的QQ。
而使用無連接方式的時候是不需要的,比如你在發送email的時候,你只是把數據包發送給郵件伺服器,這個過程中是數據包的傳遞。
Ⅱ 電腦網路數據包的發送和收到各代表什麼意思
發送的是指你的上網請求,比如說你想打開網路網站,電腦會發送請求到網路上,要求下載網路網站的數據.這個請求表現在數據包上.
收到正好相反,是指從網上發送到你的電腦的數據.這個數據可能是你發送請求後對方的回復數據,也可能是對方主動連接上來發給你的.
Ⅲ winpcap 能不能只捕獲網卡收到的數據包,而不捕獲網卡自己發送的數據包啊
esolutionProtocol)地址解析協議用於將計算機的網路地址(IP地址32位)轉化為物理地址(MAC地址48位)[RFC826]。ARP協議是屬於鏈路層的協議,在乙太網中的數據幀從一個主機到達網內的另一台主機是根據48位的乙太網地址(硬體地址)來確定介面的,而不是根據32位的IP地址。內核(如驅動)必須知道目的端的硬體地址才能發送數據。當然,點對點的連接是不需要ARP協議的。
ARP協議的數據結構:
typedefstructarphdr
{
unsignedshortarp_hrd;/*硬體類型*/
unsignedshortarp_pro;/*協議類型*/
unsignedchararp_hln;/*硬體地址長度*/
unsignedchararp_pln;/*協議地址長度*/
unsignedshortarp_op;/*ARP操作類型*/
unsignedchararp_sha[6];/*發送者的硬體地址*/
unsignedlongarp_spa;/*發送者的協議地址*/
unsignedchararp_tha[6];/*目標的硬體地址*/
unsignedlongarp_tpa;/*目標的協議地址*/
}ARPHDR,*PARPHDR;
為了解釋ARP協議的作用,就必須理解數據在網路上的傳輸過程。這里舉一個簡單的PING例子。
假設我們的計算機IP地址是192.168.1.1,要執行這個命令:ping192.168.1.2。該命令會通過ICMP協議發送ICMP數據包。該過程需要經過下面的步驟:
1、應用程序構造數據包,該示例是產生ICMP包,被提交給內核(網路驅動程序);
2、內核檢查是否能夠轉化該IP地址為MAC地址,也就是在本地的ARP緩存中查看IP-MAC對應表;
3、如果存在該IP-MAC對應關系,那麼跳到步驟9;如果不存在該IP-MAC對應關系,那麼接續下面的步驟;
4、內核進行ARP廣播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令類型為REQUEST(1),其中包含有自己的MAC地址;
5、當192.168.1.2主機接收到該ARP請求後,就發送一個ARP的REPLY(2)命令,其中包含自己的MAC地址;
6、本地獲得192.168.1.2主機的IP-MAC地址對應關系,並保存到ARP緩存中;
7、內核將把IP轉化為MAC地址,然後封裝在乙太網頭結構中,再把數據發送出去;
使用arp-a命令就可以查看本地的ARP緩存內容,所以,執行一個本地的PING命令後,ARP緩存就會存在一個目的IP的記錄了。當然,如果你的數據包是發送到不同網段的目的地,那麼就一定存在一條網關的IP-MAC地址對應的記錄。
知道了ARP協議的作用,就能夠很清楚地知道,數據包的向外傳輸很依靠ARP協議,當然,也就是依賴ARP緩存。要知道,ARP協議的所有操作都是內核自動完成的,同其他的應用程序沒有任何關系。同時需要注意的是,ARP協議只使用於本網路。
ARP協議的利用和相關原理介紹。
一、交換網路的嗅探
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,在上面的假設網路中,B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存,將本地的IP-MAC對應表更換為接收到的數據格式,由於這一切都是A的系統內核自動完成的,A可不知道被偽造了。
ARP欺騙的主要用途就是進行在交換網路中的嗅探。有關交換網路的嗅探不是本文的討論內容。
二、IP地址沖突
我們知道,如果網路中存在相同IP地址的主機的時候,就會報告出IP地址沖突的警告。這是怎麼產生的呢?
比如某主機B規定IP地址為192.168.0.1,如果它處於開機狀態,那麼其他機器A更
改IP地址為192.168.0.1就會造成IP地址沖突。其原理就是:主機A在連接網路(或更改IP地址)的時候就會向網路發送ARP包廣播自己的IP地址,也就是freearp。如果網路中存在相同IP地址的主機B,那麼B就會通過ARP來reply該地址,當A接收到這個reply後,A就會跳出IP地址沖突的警告,當然B也會有警告。
因此用ARP欺騙可以來偽造這個ARPreply,從而使目標一直遭受IP地址沖突警告的困擾。
三、阻止目標的數據包通過網關
比如在一個區域網內通過網關上網,那麼連接外部的計算機上的ARP緩存中就存在網關IP-MAC對應記錄。如果,該記錄被更改,那麼該計算機向外發送的數據包總是發送到了錯誤的網關硬體地址上,這樣,該計算機就不能夠上網了。
這里也主要是通過ARP欺騙進行的。有兩種辦法達到這樣的目的。
1、向目標發送偽造的ARP應答數據包,其中發送方的IP地址為網關的地址,而MAC地址則為一個偽造的地址。當目標接收到該ARP包,那麼就更新自身的ARP緩存。如果該欺騙一直持續下去,那麼目標的網關緩存一直是一個被偽造的錯誤記錄。當然,如果有些了解的人查看ARP-a,就知道問題所在了。
2、這種方法非常狠,欺騙網關。向網關發送偽造的ARP應答數據包,其中發送方的IP地址為目標的IP地址,而MAC地址則為一個偽造的地址。這樣,網關上的目標ARP記錄就是一個錯誤的,網關發送給目標的數據報都是使用了錯誤的MAC地址。這種情況下,目標能夠發送數據到網關,卻不能接收到網關的任何數據。同時,目標自己查看ARP-a卻看不出任何問題來。
四、通過ARP檢測混雜模式節點
在混雜模式中,網卡進行包過濾不同於普通模式。本來在普通模式下,只有本地地址的數據包或者廣播(多播等)才會被網卡提交給系統核心,否則的話,這些數據包就直接被網卡拋棄。現在,混合模式讓所有經過的數據包都傳遞給系統核心,然後被sniffer等程序利用。
通過特殊設計的ARP請求可以用來在一定程度上檢測處於混雜模式的節點,比如對網路中的每個節點都發送MAC地址為FF-FF-FF-FF-FF-FE的ARP請求。對於網卡來說這不是一個廣播地址(FF-FF-FF-FF-FF-FF),所以處於普通模式的節點就會直接拋棄該數據包,但是多數操作系統核心都認為這是一個廣播地址,如果有一般的sniffer程序存在,並設置網卡為混雜模式,那麼系統核心就會作出應答,這樣就可以判斷這些節點是否存在嗅探器了。
可以查看,很多基於ARP的攻擊都是通過ARP欺騙實現的。至於ARP欺騙的防範,還是盡可能使用靜態的ARP。對於WIN,使用arp-s來進行靜態ARP的設置。當然,如果能夠完全使用靜態的IP+MAC對應,就更好了,因為靜態的ARP緩存只是相對的。
當然,可以有一些方法來實現ARP欺騙的檢測。設置一個ARP的嗅探器,其中維護著一個本地網路的IP-MAC地址的靜態對應表,查看所有經過的ARP數據,並檢查其中的IP-MAC對應關系,如果捕獲的IP-MAC對應關系和維護的靜態對應關系對應不上,那麼就表明是一個欺騙的ARP數據包了。
一個ARP數據包發送程序源代碼和編譯好的EXE程序可以參考ARPSender程序。注意:需要先安裝WinPcap。
協議分析六類常見錯誤
協議分析器是網路管理員庫中最強有力的工具之一。它能將難處理、耗時長、讓CEO們感到惱火甚至不得不重啟所有機器的問題轉變為能短時處理、易於在每周例行狀態報告中反映的問題,為公司省下大量的時間與金錢。
然而,就像其它任何復雜工具一樣,它必須被適當運用才能獲得最大的效益。在使用協議分析器診斷網路故障時,應當盡量避免……
錯誤1分析器誤置
正確放置分析器對快速診斷故障具有決定性作用。設想分析器是置於網路中的窗口,猶如建築物窗口一般,視野的改變依賴於從哪個窗口看出去。從南面窗口望去是看不到建築物北面高速公路上交通的擁擠狀況的。在分析置於網路不當位置的分析器時,跟蹤往往要花很長時間。那麼,怎樣正確放置分析器呢?我們可以舉例說明。
以下為幾個可能出現的問題及原因分析:
設想A:一台主機,伺服器A,主機不能與其它任何主機通信。可能的原因:
1)伺服器A沒有正確配置;
2)伺服器A配置的網卡出錯;
3)伺服器A所在區域網出了問題;
4)伺服器A所在區域網段出錯。
設想B:一台主機,伺服器B,主機不能與遠程網X中的任何一台主機通信;且區域網或其它遠程網中的主機無任何故障(這就意味著問題不可能出現在伺服器B或伺服器B所在區域網段上)。
可能原因:
1)伺服器B有關網路X的部分配置錯誤;
2)伺服器B用於連接到網路X的路由器所在網段的連接出了問題;
3)伺服器B所在區域網與網路X的一處或多處鏈接出了問題;
4)網路X用於連接到伺服器B所在網路的路由器所在網段出了問題;
5)網路X出了問題。
設想C:一台主機,伺服器C,主機不能與區域網中另一主機通信,但與網路中其它主機通信正常(這意味著問題不可能出現在伺服器C或伺服器C所在區域網段)。
可能的原因:
1)主機C錯誤配置;
2)主機C網卡出現故障;
3)主機C所在區域網段出了問題。
設想D:一台主機,伺服器D,主機不能與一遠程主機通信,但與伺服器D所在區域網段的其它主機通信正常,到遠程網或遠程網自身的連接亦無故障。
可能原因:
1)主機D錯誤配置;
2)主機D網卡出錯;
3)主機D所在區域網段出了問題。
這些問題當中個別的不用分析器也可診斷或排除。例如:設想A中的第三種情況,就能通過檢查伺服器A所在區域網的其它主機決定故障所在;設想D中的第二和第三種情況亦能通過這種方法確定(假設主機D能與區域網中其它主機通信)。
一台伺服器或主機的錯誤配置通過檢測很容易被發現。但另外一些問題,像網路或網段中的故障,就需要分析器來診斷。
在以上所有可能的設想中,一開始或許會將分析器置於離最有可能出現問題的主機或是懷疑有問題的網路、網段盡可能近的地方,但是如果未發現有意義的問題,得准備好移動分析器,要知道,在出現故障的位置被確定以前,所做的一切都是建立在猜想基礎上的。在以上設想B的第三種情況中,伺服器B所在區域網和網路X中都應該有分析器,至少分析器應該能夠從一端被移動到另一端。
例如,一次故障中,一台伺服器突然停止了工作。人們起初懷疑是站點人員對伺服器實施了誤操作所致,實際上跟蹤器表明,是因為眾多主機向伺服器發送連接請求信息的同時伺服器卻沒有響應,致使伺服器死鎖。
在花了幾天時間來判斷到底伺服器出了什麼問題後,被告知觀察跟蹤器,於是請求站點操作員將跟蹤器從主機所在區域網(這里指設想B中第三種情況的網路X)移到伺服器所在區域網。結果發現訪問控制列表沒有被正確添加到伺服器所在區域網的路由器上,這份錯誤的訪問控制列表過濾了所有來源於客戶端主機所在網路的信息。假若當初多一些懷疑的話,就會發現在伺服器所在區域網中根本就沒見到過連接請求信息。因為沒有同時查看網路兩端的情況,致使站點很多天不能工作。
怎麼知道跟蹤器在網路的哪一端起作用呢?在跟蹤器中,發自客戶端主機的幀信息都具有實客戶端所有的源MAC地址,與此同時,目標MAC地址則存放在路由器中。
不幸的是,問題變得越來越復雜,僅僅知道分析器連接於哪個網路還不夠。當將一個區域網分解成多個部分時,首要的是去找到空閑Hub埠或同軸電纜的分接頭,然而,在網路交換環境下,並不是僅僅將分析器接入交換設備的空閑埠就萬事大吉了。
大多數交換設備都具備將特定埠指定為分接頭或映像埠的能力,只是所用術語因交換設備製造廠商不同而有別。如果所有來自或發往特定埠的通信同樣能發送到映像埠,這時只要將分析器連接到映像埠,所有設置即告完成。
但問題在於有些交換設備不能將兩埠之間的通信發送到映像埠。舉例說,在雙工環境下,作為監控的連接之一部分的兩台主機能同時發送信息,交換機也能接收每幀數據並將其傳輸到鏈接中的另外埠。但對於映像埠,必須對某一數據幀進行緩沖,如果這樣處理了太多幀,緩沖區就會溢出,數據幀就會丟失,跟蹤因此變得不可靠。更糟的是,根本就不知道是在跟蹤不可靠的線索。
某些交換設備支持內部分析器功能,這類交換機本身能夠俘獲傳向被跟蹤對象的數據幀。這種功能部件的可靠性依賴於交換機的緩沖容量。在某些情況下,我們不得不選擇映像埠或是內部分析器方式。但只要有可能,最好是將主機之一和分析器連接到Hub,並將Hub掛到交換機上。
為什麼這么做呢?這是因為即使確信交換機有足夠容量緩存所有數據幀,以至於映像埠或內部分析器不可能丟數據,跟蹤仍然是不可靠的。例如,標准乙太網中,一個處於交換機有故障埠的RJ45連接器每當交換機向伺服器傳輸數據幀時都會創建互動式會話,交換機將此解釋成為一次沖突並停止工作,當嘗試16次之後數據幀就會撤消,但數據幀仍被發送到映像埠,因此跟蹤器發現了數據幀並顯示伺服器響應失敗。另一種情況是:不合規格的配線導致1%的數據幀破壞。如果將分析器與第一種情況(任何位置的數據幀都能傳送)中提到的的主機一起掛到Hub,或者與第二種情況(網路中有被破壞的數據幀)中主機一起掛到Hub,接收交換機的埠會在未將數據幀發往映像埠之前就將它們撤消,跟蹤器沒有任何錯誤指示。當然,每當改變一種方式,都得冒一定風險來糾正可能出現的意外問題。如果RJ45連接器出現故障僅僅是因為沒有在交換機埠將其固定好,那麼只要將連接器重新插入Hub,故障或許也就不存在了,至少問題是得到了解決。
另外需要記住的是,對於交換設備,在其網段內每個埠都是有效的,因此當連接到伺服器的交換埠未發現問題時,應將Hub(或分析器)移動到主機或路由器交換埠。
還有,注意不能將Hub掛到雙工環境。有些分析器能以雙工方式工作,這類分析器有兩個乙太網口和一個功能模塊,功能模塊將通信對分為兩部分,並分別發送到每一乙太網口,之後軟體把從每個乙太網口接收來的數據結合成單一的跟蹤鏈。如果網路是雙工環境,就需要這種分析器。
錯誤2過多的過濾
過濾功能允許協議分析器忽略某些數據幀,從而為感興趣的幀騰出更多的俘獲緩沖空間。如果能過濾來源於較高協議層的數據,如IP地址和埠號以至更高層數據,則分析器幾乎很少需要基於源或目標MAC地址的過濾。然而,實際跟蹤中通常出現的問題是過濾太多。
有一個站點出現過這樣的故障:伺服器與一特定客戶端之間的連接出了問題,莫名其妙地斷開了,其它客戶端都沒有任何問題。由於客戶端與伺服器處在同一子網,一旦發生斷開現象,使客戶端與伺服器恢復連接的唯一辦法是重新啟動伺服器。
這個站點安裝了分析器,同時因為數據量大,配置了過濾器,只允許俘獲兩主機(基於MAC地址)之間的數據幀。前兩天中沒有發現問題,但在第三天問題出現了:跟蹤表明伺服器突然停止了發送多路會話和最後一次會話。當從伺服器端ping客戶端時,跟蹤器顯示伺服器沒有發送任何數據幀。站點操作員得出的結論是:TCP棧或操作系統出了問題。
於是請求另一次跟蹤,這次沒有使用過濾器。一天半以後俘獲了另一事件:跟蹤清楚表明伺服器持續發送數據,而與此同時卻再也沒有得到應答。經過更深層挖掘,發現伺服器數據幀的目標MAC地址突然改變了。
既然目標MAC地址不再與客戶端的相匹配,那麼第一次未使用過濾器的跟蹤就不再俘獲到MAC地址,同時表明伺服器已停止了工作。另外發現就在地址改變之前,伺服器無故收到帶有為客戶端IP地址配置的新MAC地址的ARP信息包,這導致伺服器升級ARP緩存並向錯誤主機發送數據。
通過ARP數據幀的源MAC地址由無故發送ARP的主機向下跟蹤,不知何故,主機居然同時配置了復用於客戶端的靜態IP地址和DHCP地址。當主機啟動時,分配的是靜態地址,這與伺服器相沖突,於是調用DHCP,正確地址才配置上。
基於這一點可得出這樣一個結論:用過濾器看似很有道理,但很多時候問題的根源往往以假象出現在過濾器之外,如果跟蹤器沒有表明問題的起因,過濾器應當關閉,或至少應當擴展一下,直至跟蹤器確實查出原因。僅當所有過濾器都關閉後跟蹤器仍無法查出問題起因,才可以得出結論——對網路已無計可施了。
錯誤3
俘獲時幀太短
前面例子中表明,站點操作員使用過濾器是因為網路中數據量過大。分析器僅能俘獲大約3分鍾時間的數據,這使得站點操作員幾乎不可能發現問題的發生並使分析器及時加以阻止以真正找到問題的起因。分析器能夠俘獲數據幀而沒有將它們填入俘獲緩沖區的時間長短取決於網路的速度、網路中幀的數量、幀的大小以及俘獲緩沖區的大小。
幾乎所有分析器都能控制俘獲數據幀的大小,這在處理連接問題和不太高協議層問題時顯得很有用。在通常情況下,只要俘獲數據的第一個64位元組也就足夠了。因此,如果網路中所有幀都是1024位元組而僅有3分鍾俘獲時間,那麼僅俘獲64位元組將允許有超過30分鍾的俘獲時間。
錯誤4
觸發器安裝不正確
觸發器告訴分析器執行某項操作,比如終止俘獲。當等待問題發生而又不知道將何時發生時,觸發器顯得很有用。
安裝觸發器意味著沒有必要隨時以手動方式來控制分析器。觸發器安裝的最大問題往往是沒有正確定義,這會大大延長解決問題的時間。
當然,應該詳細知道怎樣安裝觸發器,並且,若有可能,在使用之前進行測試。有時可以安裝另一台分析器來發送觸發數據幀,以確認俘獲分析觸發器已正確安裝。
使用觸發器帶來的另一問題是,許多分析器允許設置將被預觸發的俘獲緩沖區的百分比。舉例來說,可以指定50%的緩沖區在觸發之前俘獲,而另外50%的緩沖區在觸發之後俘獲。預觸發的百分比通常是0、25、50、75或100。
如果預觸發值設置不當,就有可能俘獲不到足夠的相關數據幀來診斷問題所在。預觸發值有可能被錯誤設置是因為其默認設置對現行問題往往不適用:也許是因為未將針對前一問題的設置升級,也許是因為粗心的滑鼠操作或錯誤按鍵。無論何種原因,一定要確認觸發器已正確安裝。
那麼怎樣來設置呢?通常是將預觸發百分比設為100%,以知道是什麼原因導致觸發器關閉。
當然,只有當觸發器在觸發某事件時,它才處於關閉狀態。過去使用過特殊的觸發程序,它能測試狀態,然後發送信息包,分析器可將此信息包用作觸發器。測試狀態可以是日誌文件中的錯誤信息,或是上例中無法創建連接的情況。一般整個程序也就一百多行或稍長一些。
錯誤5
日期/時間設置不正確
沒有正確設置分析器上的日期/時間看似一件小事,很多時候可能也確實是這樣。然而,當處理廣域網路中的問題時,有時同時運行兩台分析器,網路每端一台,則正確設置日期/時間是相當有用的。
如果將兩台分析器時鍾設置相同,調整跟蹤會變得更為容易。假定在一個例子中,通過發現通用幀並比較時間,會發現其中一台用了4小時37分,比另一台提前了15.7891秒,如果時鍾設置同步誤差在1到2秒,時間差距計算也就容易多了。
另外,如果需要費勁地隨主機中的事件調整跟蹤,由於基於時間包的同步是不可選的,則設置相同的日期/時間絕對具有實質意義。
錯誤6不理解協議
很多分析器具有「專家分析」功能,指的是它們能保持對信息的追蹤,像序列號、時間信息、顯示重傳信息、凍結窗口、無應答狀態等等。這類分析相當有用,但也有可能造成誤導,尤其在分析器沒有正確報錯時。
舉個例子,有一種情況:從一遠程位置發來的遠程登錄會話無法建立,而發自局域工作站的遠程登錄會話卻沒有問題。於是站點操作人員在遠程登錄伺服器所在的區域網掛一分析器,跟蹤器表明從遠程主機到遠程登錄伺服器的數據幀沒有報錯;於是他們得出結論是操作系統故障。
另一位操作人員查看跟蹤器發現,局域端遠程登錄會話連接到埠2323,而遠程會話連接到埠23。另外,遠程登錄伺服器響應遠程連接請求的信息包包含了RST標志設置。
在這里,站點操作人員沒有仔細查看TCP細節,因此沒有意識到不同埠號和RST包的重要性,他們依賴來源於分析器的診斷信息,既然遠程登錄伺服器的埠23沒有安裝,憑感覺猜想也認為是操作系統出了問題。然而,若站點工作人員了解TCP和遠程登錄,他們就會立即發現問題所在並能在5分鍾內找到一個好的解決辦法。
事實上是,他們等半天時間來安裝跟蹤器,結果失去了遠程網上數目相當可觀的客戶。
Ⅳ 在計算機網路中怎樣抓包
計算機網路里抓包就是將網路傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作,也用來檢查網路安全等等。
以Sniffer軟體為例說明:數據在網路上是以很小的稱為幀(Frame)的單位傳輸的,幀由幾部分組成,不同的部分執行不同的功能。幀通過特定的稱為網路驅動程序的軟體進行成型,然後通過網卡發送到網線上,通過網線到達它們的目的機器,在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀,並告訴操作系統幀已到達,然後對其進行存儲。就是在這個傳輸和接收的過程中,嗅探器會帶來安全方面的問題。每一個在區域網(LAN)上的工作站都有其硬體地址,這些地址惟一地表示了網路上的機器(這一點與Internet地址系統比較相似)。當用戶發送一個數據包時,如果為廣播包,則可達到區域網中的所有機器,如果為單播包,則只能到達處於同一碰撞域中的機器。在一般情況下,網路上所有的機器都可以「聽」到通過的流量,但對不屬於自己的數據包則不予響應(換句話說,工作站A不會捕獲屬於工作站B的數據,而是簡單地忽略這些數據)。如果某個工作站的網路介面處於混雜模式(關於混雜模式的概念會在後面解釋),那麼它就可以捕獲網路上所有的數據包和幀。
Ⅳ 網路數據包捕獲及分析
推薦以下:
sniffer pro 4.70.530漢化注冊版
sniffer pro,NAI公司出品的可能是目前最好的網路協議分析軟體之一了,支持各種平台,性能優越,做為一名合格的網路管理員肯定需要有這么一套好的網路協議分析軟體了,只是有點大請用下載工具下載。SN:SA154-2558Y-255T9-2LASH
Ethereal 0.10.10
·這是一款免費的網路協議分析程序,支持Unix、Linux、Windows, 它可以直接從網路上抓取數據進行分析,也可以對由其他嗅探器抓取後保存在硬碟上的數據進行分析。 你能互動式地瀏覽抓取到的數據包,查看每一個數據包的摘要和詳細信息。Ethereal有多種強大的特徵, 如支持幾乎所有的協議、豐富的過濾語言、易於查看TCP會話經重構後的數據流等。
軟體名稱: Netcap
軟體類型: 國產軟體/免費軟體
軟體語言: 簡體中文
運行環境: Win9X/Win2000/WinXP/
軟體簡介: 網路數據捕獲手,是一款捕獲到達你計算機的所有網路數據包的工具,只要有網路數據包到達你的計算機,它就能捕獲到,並獲得數據包的源地址、源埠、目的地址、目的埠、所使用的協議等等數據,絕對是你的好幫手。免費綠色版,不寫注冊表。
你還可以試試各種XX數據包捕獲器
Ⅵ 如何截獲網路數據包截獲的原理是什麼
網路數據報文的攔截有很多層面的攔截,不知道你想討論的是什麼層面的攔截
1)網卡層面的截獲(截獲和自己同網段的計算機發送的信息,包括送往自己的數據包)
這個攔截過程得從網路數據包發送和接受原理說起
一個網路數據報文的發送過程是這樣的:
a)發送方的應用層將要發送的數據報文,通過Socket調用提交TCP/IP層
b)TCP/IP層經過層層封裝,將這些數據報文封裝成IP數據報文,送往數據鏈路層,一般乙太網用的是802.X的楨結構,封裝成數據禎。
c)乙太網數據鏈路層是使用一個叫做MAC地址的東西來標識網口的,每一網口的MAC地址都是世界唯一的。
d)數據鏈路層將目的方的MAC地址和自己的MAC地址分別填入目標MAC和源MAC的欄位中,發送到物理層(也就是網線上)
網路數據報文的接受過程是這樣的:
每個網卡在收到物理鏈路上發送來的數據楨之後,都會自動檢測收到的這個MAC地址是否和自己的網卡MAC地址相同,如果相同,則接受,否則就丟棄。
這樣就可以實現對於數據包的過濾過程。
而很多網路攔截工具,例如Sniffer或者Ethereal,都將網卡的這個功能給打破了。
他們定義了一個網卡所謂的混雜模式,在這里,網卡不管收到的這個數據包是否是給自己的(目的MAC和自己網卡的MAC是否相同),都往上層送,都能對數據流進行分析。
這個是網路層面攔截的基本原理。
2)應用層和Socket層面的攔截
這個方法主要是通過系統Hook的方式來實現,例如一台計算機打算往網路發送東西,一般情況下應用程序都不會自己開發網路協議層,都會??
其實我的 原理就是 網路無所不能。