中国领先的IT技术网站
|
|

1.4.2 何为Wireshark

《精通Wireshark》第1章欢迎来到Wireshark数据包分析的世界,在这一章里,我们会介绍TCP/IP模型的基本概念,并在帮助读者熟悉Wireshark GUI界面的同时,向读者展示一个抓包的实例。本节为大家介绍何为Wireshark。

作者:YESLAB工作室 译来源:人民邮电出版社|2017-10-27 17:58

CTO训练营 | 12月3-5日,深圳,是时候成为优秀的技术管理者了


1.4.2 何为Wireshark

Wireshark是一款数据包嗅探软件。全世界的IT从业者都可以用这款软件来对网络进行分析。读者可以从下面的站点免费下载到Wireshark:https://www.wireshark.org/download.html

很多平台上都可以安装Wireshark,其中包括Linux、Mac和(大多数版本的)Windows系统。Wireshark是一款开源软件,也就是说这款软件的代码和必需的库都可以在我们之前刚刚提到的那个站点中下载到。

使用数据包嗅探软件时,有一个关键因素需要考虑,那就是要将数据包嗅探软件部署在物理网络的什么位置,才能在最大程度上利用这个软件。人们在提到数据包嗅探软件的时候,常常说这是一种插入到线缆中的软件。

既然是插入到线缆中,那么使用这类软件就不能只是在系统中安装Wireshark;在使用数据包嗅探软件之前,管理员还有一些内容应该知道。比如,要把嗅探软件部署在企业基础设施的什么位置才算合理,管理员也要了解不同类型的网络设备,因为不同的网络设备(集线器、交换机、路由器和防火墙)在工作方式上也各不相同。管理员应该知道这些设备分别如何工作,不同类型的网络设备如何处理网络流量。把嗅探软件部署在合理的位置,可以对管理员的数据包分析体验产生深度的影响。如果选择的位置正确,可以显著影响数据包分析的结果。

在部署了数据包嗅探软件之后,管理员要确认这台设备的NIC(网络接口卡)可以支持杂合的工作方式。在启用了杂合的工作方式之后,这个网络接口卡就不仅可以学习到以这台设备作为最终目的地的数据包,而且可以学习那些穿越这台设备的数据包了。网络中的每台客户端都可以抓取并且分析网络中的广播流量。网络设备可以通过广播的方式发送很多类型的流量,支持杂合模式的接口都可以监听得到这些流量。

ARP协议的流量也是通过广播发送的。地址解析协议的作用是将MAC地址解析为IP地址,反之亦然。像交换机这样的设备会向所有设备发送ARP数据包,希望它请求的设备用自己的MAC地址作出响应。通过这种方式,交换机会渐渐地获得一个MAC地址列表,以及这些MAC地址对应的IP地址,这个表称为CAM表(全称为内容可寻址存储器表)。现在,只要主机希望通过局域网和其他设备进行通信,就会由交换机将所需的信息发送给发给方。所以,不同设备的IP地址、MAC地址等信息都可以通过抓取ARP流量进行查看和记录。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论2群:365934973

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

视频课程+更多

跟老谭玩转Eclipse视频教程

跟老谭玩转Eclipse视频教程

讲师:谭岚213135人学习过

JSP+MVC+jQuery 在线商城系统 [实战视频]

JSP+MVC+jQuery 在线商城系统 [实战视频]

讲师:大头娃152883人学习过

C语言程序设计

C语言程序设计

讲师:谭科53398人学习过

读 书 +更多

计算机网络原理与实践标准教程

本书深入浅出地阐述了计算机网络技术的基本原理,介绍了当前常用的先进网络技术以及网络的实际应用知识。全书主要内容包括计算机网络概述、...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× Phthon,最神奇好玩的编程语言