一:网络原理(情况)
- 本机环境:直接抓包本机网卡进出流量
- 集线器环境:流量防洪,同一突破
- 交换机环境:
a.端口镜像,通过交换器的其他接口流量COPY一份;
欺骗(arp特性后到优先,错误绑定地址);
泛洪,在没有权限,不能使用端口镜像时,泛洪垃圾包产生大量MAC地址去冲击MAC地址表,使其改变,
把其他的MAC地址挤出MAC表,按交换机的处理原理,收到的数据报如果是未知真的话,就会对外泛洪
二:底层原理(底层架构)结构从下到上 1-5
(5) GTK1/2:图像处理工具,处理用户的输入输出显示
(4)Core:核心引擎,通过函数调用将其他模块连接在一起,起到联动调度的作用
(3)Wiretap:格式支持,从抓包文件中读取数据包,支持多种文件格式
(2)Capture:捕包引擎,利用libcap/WinPcap从底层抓取网络数据报包,libpcap/WinPcap提供了通用的抓包接口,能从不同类型的网络接口获取数据包
(1)Win-/libpcap:wireshark抓包是依赖的库文件