Wireshark?
Wireshark 是一款开源的、跨平台的网络数据包分析器(Network Packet Analyzer)。它能够实时地从网络接口捕获数据包,并尽可能详细地显示捕获到的数据内容,让用户深入检查网络通信的每一个细节。
OSI 模型
| 层数 (7→1) | 名称 | 作用 | 实例 |
|---|---|---|---|
| 7 | 应用层 | 应用服务 | HTTP、DNS、FTP |
| 6 | 表示层 | 加密/压缩 | TLS/SSL |
| 5 | 会话层 | 建立会话 | RPC、SQL 会话 |
| 4 | 传输层 | 可靠传输 | TCP、UDP |
| 3 | 网络层 | 路由与 IP | IP、ICMP |
| 2 | 数据链路层 | Mac、交换 | ARP、Ethernet |
| 1 | 实体层 | 电信号 | 纤维、电缆 |
容易混淆:
- SSL/TLS 属于 第 6 层(表示层)
- TCP/UDP 属于 第 4 层
- ARP 属于 第 2 层(链路层)
TCP/IP 四层模型
| TCP/IP | 对应 OSI | 协议 |
|---|---|---|
| 应用层 | OSI 5~7 | HTTP、DNS |
| 传输层 | OSI 4 | TCP、UDP |
| 网际层 | OSI 3 | IP、ICMP |
| 网络接口层 | OSI 1~2 | Ethernet、ARP |
考试会问: TCP/IP 的应用层包含 OSI 5~7 层。
TCP 三次握手
建立连接:
- 客户端 → SYN
- 伺服器 → SYN/ACK
- 客户端 → ACK
断线:四次挥手
- FIN
- ACK
- FIN
- ACK
- SYN Flood 是 DoS 攻击
- 半开连接(Half-open)来源就是 SYN Flood
常见协议介绍(攻防必备)
| 协议 | 端口 | 层级 | 功能 | 漏洞风险 |
|---|---|---|---|---|
| HTTP | 80 | L7 | 网站 | 明文传输 |
| HTTPS | 443 | L7 | 加密 Web | SSL 攻击 |
| DNS | 53 | L7 | 域名解析 | DNS Spoofing |
| FTP | 21 | L7 | 文件传输 | 明文密码 |
| SSH | 22 | L7 | 安全远端 | 爆破 |
| SMB | 445 | L7 | Windows 分享 | EternalBlue 漏洞 |
ARP Spoofing(L2)
攻击者伪造 MAC,让受害者误以为攻击者是默认网关 → 可进行 MITM
DNS Spoofing(L7)
把受害者导向恶意 IP(钓鱼)
SYN Flood(L4)
疯狂发送 SYN,让服务器资源爆满 → 常见 DoS
ICMP Flood
利用 ping 流量瘫痪服务
Wireshark
抓包
选择网络卡(Wi-Fi 或 Ethernet) 点击 Start Capturing Packets
常用过滤器
| 功能 | 过滤器 |
|---|---|
| 只看 HTTP | http |
| 只看 DNS | dns |
| 只看 TCP | tcp |
| 只看 SYN 封包 | tcp.flags.syn == 1 |
| 查看来自某 IP | ip.src == 192.168.1.1 |
| 查看发往某 IP | ip.dst == 8.8.8.8 |
📌 练习:找到你的 DNS Query 过滤:
dns && udp
找到类似:
Standard Query A www.google.com
1. TCP 属于哪一层?
A. 表示层 B. 传输层 C. 网络层 D. 应用层 → B
2. ARP 属于哪一层?
A. 应用层 B. 网络层 C. 数据链路层 D. 传输层 → C
3. SYN Flood 属于什么攻击?
A. 加密破解 B. DoS C. 欺骗攻击 D. 钓鱼攻击 → B
4. 哪个协议用于域名解析?
A. FTP B. DNS C. ICMP D. SSH → B
5. DNS Spoofing 的目的是?
A. 拦截并修改封包 B. 将用户导向恶意网站 C. 加密网络 D. 阻断流量 → B
6. UDP 的特性为:
A. 可靠、三次握手 B. 不可靠、无握手 C. 一定加密 D. 包含 SSL → B
7. TCP 三次握手中第二步是什么?
A. FIN B. ACK C. SYN D. SYN/ACK → D
8. Wireshark 过滤 HTTP 的语法?
→ http
9. OSI 的哪一层负责路由?
→ 网络层(L3)
10. 下列哪个协议使用 22 端口?
→ SSH
