网络协议分析(仅供参考,后面的wireshark抓包内容最好自己看书研究)
- 必须掌握ARP协议的格式、工作原理和过程、功能,arp命令主要参数等
Arp协议被称为地址解析协议,功能是在同一局域网中,进行mac寻址完成ip到mac的映射,因为局域网中,信息的交流要通过mac地址确定,在同一局域网内,发送方如果自身mac表里没有接收方mac地址缓存,则会发送一个arp广播,用于寻找接收方的mac地址,接收方收到后,将自己的mac地址通过单播的形式返回(发送方不会验证,这也是arp欺骗的原理);arp命令通常如下
arp -a查看系统中所有arp缓存,arp -s 添加条目
- TCP/IP协议簇的层次及OSI/RM模型的网络层次及各层的主要作用及各层的主要协议
Osi模型分为七层,自顶向下名称功能作用分别为
应用层(smtp,http,https,pop,dns,ftp,ssh,ssl,telnet等)功能主要是提供网络任意端上应用程序之间的接口。
会话层和表示层基本已经弱化,归到应用层当中
传输层(tcp,udp)功能是实现端到端即进程和进程间的通信.
网络层(ip)功能是实现两个端系统之间的数据透明传送,具体功能包括寻址和路由选择、连接的建立、保持和终止等
数据链路层(ppp,pppoe)功能是帧编码和误差纠正,流量控制
物理层(RS-232、RS-449)功能是传输比特流
Tcp/ip协议组则分成4层
将物理层和数据链路层合为链路层,剩下分别为网络层,传输层,应用层(将会话层和表示层合并)
- 面向连接、无连接的最主要区别;哪些协议是面向连接的?哪些协议是无连接的?
面向连接需要先建立连接,然后再发送信息,最后再释放连接,并且要保证通信数据的顺序以及可靠交付,无连接则不用,没有连接的建立,信息直接发送,也不保证到达顺序,以及可靠交付,tcp面向连接,udp面向无连接,http面向连接(运输层协议tcp),dns无连接(运输层协议udp)
- 熟悉TCP协议首部各字段含义及作用(比如RTT、RST、DF、MF等)
MF=1表示后面还有分段的数据包,MF=0表示没有更多分片(即最后一个分片)。DF=1表示路由器不能对该数据包分段,DF=0表示数据包可以被分段。RTT:客户到服务器往返所花时间(Round-Rrip Time),TCP含有动态估算RTT的算法,它受网络传输拥塞程序的变化而变化。
RTO:重传超时时间(retransamission timeout),发送数据包时,启动重传定时器,当重传定时器超过RTO后,重传数据包。
RST:复位标志,用于重建一个已经混乱的连接;
5. TCP的特点及工作原理
Tcp是面向连接的,是一种全双工协议(双方可以同时通信),通过ARQ(重复请求),重传,流量拥塞控制,套接字保证了端到端之间可靠的通信;工作原理及三次握手建立连接,四次挥手释放连接(详细流程需要的话搜索)
- 记住IP报文首部信息各字段及各字段的作用
IHL是头部长度 Tos服务类型字段 (DS区分服务字段,ENC拥塞通知字段)TTL生存周期
7. OSI参考模型中,各层的数据传输单元
应用层,会话层,表示层为报文 传输层tcp为报文段udp为用户数据报 网络层为数据包 链路层为帧 物理层为比特流
8.tracert命令工作原理及与ICMP的关系,掌握ICMP协议的作用
Tracert命令通过icmp报文头部的ttl值来追踪报文转发的路径,icmp为控制信息协议
9.必须掌握UDP协议首部格式及各字段的位置及作用,能根据给出的首部十六进制值来说明各字段的值代表的具体含义,从而分析出UDP报文的作用。
UDP首部有8个字节,由4个字段构成,每个字段都是两个字节,
1.源端口号: 可有可无,需要对方回信时选用,不需要时全部置0。
2.目的端口号:必须有,在终点交付报文的时候需要用到。
3.长度:UDP的数据报的长度(包括首部和数据)其最小值为8字节(只有首部)。
4.校验和:检测UDP数据报在传输中是否有错,有错则丢弃。
该字段是可选的,当源主机不想计算校验和,则直接令该字段全为0。
当传输层从IP层收到UDP数据报时,就根据首部中的目的端口,把UDP数据报通过相应的端口,上交给应用进程。
如果接收方UDP发现收到的报文中的目的端口号不正确(不存在对应端口号的应用进程0,),就丢弃该报文,并由ICMP发送“端口不可达”差错报文给对方。
10.网络地址、子网掩码的计算方法;子网广播地址、网关等概念
网络地址即ip地址,用于表示在internet上的计算机,子网掩码将网络前缀全部变成1,主机号全部写0即可,子网广播地址极为子网地址中,主机号全为1的地址,网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求.这是百度标准解释,网关作用于应用层,功能有许多,最主要的还是和路由器进行区分,他们功能看上去很像,一句话,路由器可以做网关,pc,三层交换机也可以做网关
11、 IPv4协议的校验和
Internet校验和是一个16位的数字和,以相当高的概率确认接收消息中部分与发送是否匹配。
过程大致如下首先将数据报的校验和字段设置位0,然后对头部计算16位二进制反码和。如果消正确,计算出来的值为0,不正确则不为0
12、PPP协议包括哪两个协议;
Lcp链路控制协议 ncp网络控制协议
13、IPv4特点
Ipv4是32位,不区分网络主机和设备,能支持的最大IP数较少,并且安全性不牢靠.
14、Ping与ICMP
Ping用来探测主机间的通信是否连通,它使用icmp协议,协议规定,目的主机需要返回icmp报文给发送的主机,如果一段时间内收到回复,则认为通信联通,icmp报文封装在ip报文中,ping的过程中,寻址的时候,采用了arp协议.
15、了解TCP与流量控制
Tcp是面向连接的,可靠的全双工通信协议,它实现了端到端(进程和进程)间的通信
16. TCP和UDP常用的熟知端口号
80,21,22,23,25等
17、SYN,ACK,RST,URG等的使用
18、常见端口号及对应的协议
21端口ftp服务 22端口ssh服务 23端口telnet服务 25端口smtp服务 53端口dns服务 80端口http服务 389ladp服务 443端口https服务 445端口smb服务 3306端口mysql服务 3389端口rdp服务
19、熟悉FTP、DNS、Telnet、电子邮件
ftp文件传输协议,dns域名解析协议,telnet远程控制,电子邮件及smtp协议
20、网络分流器的分类
网络分流器的类型主要有四种,一种是千兆的网络分流器,还有一种是10G的网络分流器,一种40G的网络分流器,最后一种就是100G的网络分流器
21、 物理地址的分类、端口地址、逻辑地址,广播地址
物理地址就是mac地址,MAC 地址采用十六进制数表示,共 6 个字节(48 位),长度为 48bit(字节)。整个地址可以分为前 24 位和后 24 位,代表不同的含义。前 24 位称为组织唯一标识符(Organizationally Unique Identifier,OUI),是由 IEEE 的注册管理机构给不同厂家分配的代码,区分了不同的厂家。后 24 位是由厂家自己分配的,称为扩展标识符。同一个厂家生产的网卡中 MAC 地址后 24 位是不同的。端口地址是每个ip所拥有的,范围从0-65535,前1023被分配给了知名服务,还分有私有端口等, 逻辑地址是指在计算机体系结构中是指应用程序角度看到的内存单元、存储单元、网络主机,的地址往往不同于物理地址,通过地址翻译器,或映射函数可以把逻辑地址转化为物理地址。
22、交换式网络中捕获网络流量的基本方法
(1)端口镜像
必须可以访问目标设备所连接的交换机,这个交换机也必须支持端口镜像的功能,以及一个空闲的端口,把端口镜像复制到另外一个端口
(2)集线器接出
将目标设备和分析系统分段到同一网络段中,然后把他们直接插在一个集线器上
连上两台电脑,看这两台电脑是否能嗅探对方与网络其他设备之间的网络通信
(3)使用网络分流器
在目标设备和交换机中间加一个网络分流器
(4)ARP欺骗攻击
23、传输层可靠性的保障机制
校验和,面向连接,序号和,确认序号,确认应答机制,超时重传机制,流量控制,拥塞避免
24、 以太网帧的最大帧长
1518位
25、因特网使用了不同类型的地址概念,比如:邮件地址,还有哪些地址?
域名地址,ip地址,mac地址等
26. 三个私有地址块。
A类 10.0.0.0 – 10.255.255.255
B类 172.16.0.0 -172.31.255.255
C类 192.168.0.0- 192.168.255.255
27. 以太网帧的最大传输单元MTU
1500位
28. 什么是“网络地图”及在网络协议分析的作用?
网络地图就是网络拓扑图,是一个显示了网络中所有技术资源及他们之间连接关系的图形表示。
29. 在交换式网络环境中进行数据包嗅探的指导准则
Arp缓存,镜像,直接部署.
30、网络协议通常可以用来解决哪些问题?
网络协议是网络之间的桥梁,只有具有相同网络协议的计算机才能进行通信和信息交换。这就像人际交往中使用的各种语言一样。只有使用同一种语言,我们才能正常顺畅地交流。从专业的角度来看,定义网络协议是计算机在网络中实现通信时必须遵守的协议,即通信协议。主要规定信息传输速率、传输码、码结构、传输控制步骤、差错控制等,并制定标准。
31、DHCP协议格式首部,用图表给出各个字段名称和长度。
32、TCP协议格式首部,用图表给出各个字段名称和长度。
33、选择一款数据包嗅探器时,需要考虑哪些因素。并简述每个因素。
支持的协议:常见的嗅探器一般支持主流的大部分协议,与用户的契合度,是否指令操作简单方便
34、决定用来捕获流量的最佳方法的流程图
35、列出OSI参考模型各个层次上的一些常见网络协议
前面有介绍
36、通过在Wireshark的Packet Details面板中对捕获的IP协议头数据包进行分析
37、通过在Wireshark的Packet Details面板中对捕获的ICMP请求与响应数据包进行分析
前面有过分析
38、通过在Wireshark的Packet Details面板中对捕获的HTTP协议数据包进行分析
http报文分为三部分 请求行(传参方式,get,post,put,hhtp版本)
请求头(一些头部字段,比如user-agent代表用户代理,记录了用户浏览器信息等)
请求体(请求体中是请求的内容,需要和请求头空一行)
返回包分为
响应码:(分为五大类型1开头表示正在处理,2开头表示请求成功,3开头表示重定向,4开头表示客户端错误,5开头表示服务器端错误
响应头:(一些信息,有兴趣百度)
响应体(响应的内容)
39、通过在Wireshark的Packet Details面板中对捕获的DHCP协议各阶段数据包进行分析
大致分为以下几个流程DHCP Discover-->DHCP Offer-->DHCP Request-->DHCP Ack
40、通过在Wireshark的Packet Details面板中对捕获的DNS协议各阶段数据包进行分析
偷个懒:https://www.jianshu.com/p/a669e6c29b6c
网络协议分析(仅供参考,后面的wireshark抓包内容最好自己看书研究)相关推荐
- 网络基本功(二十四):Wireshark抓包实例分析TCP重传
转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese 介绍 前文论述了TCP基础知识,从本节开始,通过TCP抓包实例来诊断TCP常见问题 ...
- 从中国历年人口数据简单分析未来房价走势(本分析仅供参考)
以下数据来自中国统计局官方网站 如上图可以看到,从1981 - 1997 的连续17年,中国每年人口净出生人口都在2000万以上.然后从1998年开始,逐年减少,从2001年开始至2017年,每年净出 ...
- PYTHON黑帽编程1.5 使用WIRESHARK练习网络协议分析
Python黑帽编程1.5 使用Wireshark练习网络协议分析 1.5.0.1 本系列教程说明 本系列教程,采用的大纲母本为<Understanding Network Hacks At ...
- Unix网络协议分析
网络已经是无处不在,很多时候我们都会利用网络与不同主机进行通信,包括网络内部和外部的.大多数情况下这不会遇到问题,但是有时您需要仔细检查您的网络以查明问题原因. 仔细检查网络流量内容的原因有很多.其中 ...
- 计算机网络实验 ——wireshark抓包简要分析TCP、UDP协议
[计算机网络实验 --wireshark抓包简要分析TCP.UDP协议] (1)分析 TCPheader: Source Port:16bit源端口,数据发起者的端口号: Destination Po ...
- TCP/IP详解卷1 - wireshark抓包分析
TCP/IP详解卷1 - 系列文 TCP/IP详解卷1 - 思维导图(1) TCP/IP详解卷1 - wireshark抓包分析 引言 在初学TCP/IP协议时,会觉得协议是一种很抽象的东西,通过wi ...
- 网络面经总结-仅供参考
网络面经总结-仅供参考 1 服务器如何判断客户端连接不上了 1.1 recv 1.2 服务器一段时间内没接收到客户端心跳包反馈 1.3 struct tcp_info info 1.4[保活参数](h ...
- 关于springboot访问不到static里面的js文件解决方法(仅供参考)
关于springboot访问不到static里面的js文件解决方法(仅供参考) 遇到的问题 1.在html页面中引入jQuery文件后使用$符号会提示未被定义 2.静态资源无法访问 解决方法 1.$符 ...
- 中国高校与研究院所计算机学科分专业点评(本贴内容仅供参考!)
[2014/4/13:近5年来中科院系统经历了一些较大的变化,如人员流动,实验室更名等,以下部分内容未能因此更新,故可能失效甚至有较大误导,请大家自己注意辨别,有问题请向现任版主和中科院学生了解.时间 ...
最新文章
- 实现主成分分析和白化
- Postman 使用 “status“: 415, “error“: “Unsupported Media Type“, “message“: “Content type ‘app
- Jquery 对话框确认
- 转码java,java转码
- jquery实现输入框动态增减
- 【模板】字符串hash
- 性能优化的常见模式及趋势
- SecureCRT 64位 破解版v8.1.4
- Tcl学习2——Tcl语言语法
- 阿里云mysql读写分离实现_MySQL-Proxy实现MySQL读写分离
- 一文介绍解银行卡验证api接口详情
- winscp是什么软件_文件传输软件WinSCP的使用
- GNSS连续运行单参考站解决方案
- 一条宽带多人共享违法?
- 服务器显示屏开机之后显示超频,电脑开机显示超频怎么办
- ubuntu13.04(pear 8) 几个比较好用的软件
- AF---下一代防火墙
- tomcat的宏观架构
- Android adt 集成,比较集成开发环境Eclipse ADT与Android Studio的差异。
- CA周记 - Build 2022 上开发者最应关注的七大方向主要技术更新