局域网数据包解析
1、使用网络嗅探工具,也就是俗称sniffer的工具,这类工具有很多,有专业的 pro,也有iris的抓包工具,还有许多简单点的。这种是通过抓取低层数据包,并根据上层HTTP、FTP、MAIL等协议解码,功能强弱跟软件有关。
2、原理就是将我们的网卡设置为混杂模式。我们知道网卡在链路层通信时的地址是MAC,网卡根据目标的MAC地址来确认是不是发给自己的包。在混杂模式下,网卡会接收所有网络中的数据包,不管是不是发给自己的。这样就可以得到网络中的所有数据了。
3、问题是在交换机环境下,交换机会首先分析MAC地址,然后只把数据包转发到对应的端口去。这样一来,除了广播包和多播包,我们的网卡只能接收到发给自己的数据包了,混杂模式下也无效了。
4、为了解决3这种问题,就分别针对交换机的工作原理和链路层通信的原理提出了不同的解决办法。比如通过发送大量的广播包,造成广播风暴,造成交换机没有更多能力来处理上层数据的分析工作,迫使交换机工作在物理层,相当于成了一个HUB,就会在所有端口中转发所有的数据包。另一种是中间人攻击,即伪造通信双方的MAC同时向双方发信,使双方都把我们误以为是对方,从而将要发到对方的数据包发送给我们,我们在收到的同时再给过处理转发给真正的接受方,这样就得到数据了。如果能够把自己伪装成网关,所有的对外通信就都能拿到了。
5、在无线传输的情况下,电波总是在公共区域传播的,所以必须要对数据进行加密才能保证安全,根据等级和需要可以使用不同的加密方式。这时候也有专门针对无线的sniffer工具,至于能不能解密破解,就需要一点运气了。
6、这是低层的,还可以根据各层协议原理,有针对性的把自己伪装成需要的角色,从而获取到相关信息。比如可以伪装成DNS、邮件服务器等等。
7、道高一尺、魔高一丈,有漏洞就有解决办法。比如对交换机进行专门的设置,在风暴时使用保守的丢包处理方式,或者绑定到IP地址,或者应用层的HTTPS、DNS扩展协议。总是在攻守当中向前发展。
❷ 网吧局域网内机器发送udp数据包问题
此问题分析起来也不难!
1,你得先排除硬件问题,我曾用过一个光口路由器,大量的丢包和地址池阻塞,后来经排查,原来是硬件本身问题!所以你得先确定设备没有任何问题!和设置没有问题之后,再找网速慢的原因!
2,如你所说的,无udp数据包时,qq,网络游戏无法登陆,当然了,QQ和有些游戏默认的全是UDP类型的,如果你不更改成使用TCP,当然无法登陆!而且UDP一定是打开的。网页使用的是TCP协议,当然可以正常使用了!
3,至于UDP发包量,看你工作组流量大小,没有什么归定的数值。不过发包量过大的话,很可能你的工作组中有人使用流量很大的BT 或者P2P软件,你可以将不必要的端口关闭,阻止网吧内有人使用这些东西下载。
4,我不知道你用的什么路由器,你应该看看路由器的参数,再跟据你网吧机器台数,看看此路由器能否承担网速流量大的负担!因为在在网络质量令人不十分满意的环境下,UDP协议数据包丢失会比较严重。但是由于UDP的特性:它不属于连接型协议,因而具有资源消耗小,处理速度快的优点,所以通常音频、视频和普通数据在传送时使用UDP较多,因为它们即使偶尔丢失一两个数据包,也不会对接收结果产生太大影响。比如我们聊天用QQ,你可以验证一下!(凭经验, 一般如果是能上去QQ打不开网页,就是路由器不够用!)
对于1楼和2楼上述所说的病毒或者有人恶意攻击:
常见的个人防火墙程序所谓的“攻击”并不一定是真正的网络攻击,很多防火墙程序会将网络广播等最常见的网络访问当作攻击来提示我们并记录下来(局域网内此类的提示尤其多)。另外的“攻击”则可能是有人在扫描你计算机的端口,或者是其他人中了病毒,病毒在利用染毒的计算机扫描网络上的其他电脑。
一般这种情况,只要你定期更新了系统补丁,这些所谓的“攻击”一般是不会造成任何威胁的。
不过对一台主机发送大量的UDP数据包,就会造成DoS攻击。而造成网络阻塞。现在从各个厂商的硬件防火墙来看,能够实现这种攻击的只有UDP数据包。TCP和SYN数据包大多会被拦截,无法形成攻击。
所以说病毒也许只是原因之一,建议fkxian12你将你说的1号或者10号机或者N号机上检查一下, 看看有没有后门软件,或者BT P2P之类软件。如果有,关闭不必要端口吧.(网吧的还原卡不一定最保险,现在很多软件可以破解还原卡)
没准原因就在于此!
打了这么多, 好累啊,
希望对你有帮助。 祝你好运~~~
❸ 计算机网络通信原理,假设我在局域网中,通过路由上网,每一层的数据包都含有我的计算机mac地址吗
不用没一层都含有的
原理是这样:
首先你想要发一个包,你肯定知道目的IP,就是你想发的主机的IP(上网浏览网页,一般就是dns域名解析和各种链接获得目的IP)
接着查看是否在同一个网段,如果是,那么查找该主机的Mac地址封装(没有就ARP请求,此时一般会丢前一两个包),直接发过去,其中携带自己的源Mac和目的Mac
如果不是同一网段,那么查看自己的默认网关的Mac(这是当你是主机的情况,如果不是主机是路由器,那么直接查找路由下一跳地址和出接口),如果没有,发ARP请求,获得网关的Mac,于是发包向网关,所以目的IP是对端主机,但是目的Mac却是网关的。
事实上,有了IP就知道是要发给谁了,无需Mac的,报文的目的Mac都是下一跳的Mac地址,不是目的主机的Mac地址,下一跳收到了以自己Mac为目的的报文时才会上送到三层,也就是IP层,查找路由表转发到目的IP或直接发往默认网关(没有路由表的主机都是发默认网关的)
这是简单的例子,你说的不属于这种情况。如果你们局域网是使用了路由器的话,那应当用的是一种NAT(地址转换)的技术,在局域网内使用私网地址,在外网所有的主机使用同一个公网IP地址,使用不同的应用层端口来区分不同的用户是常用的方法,当然还有其他许多的方法,如携带option82地理位置信息等等,这样其实节省了公网的地址,但是同时造成无法溯源等诸多问题。
基本就是这样,希望对你有帮助!
❹ 路由器如何把数据包分给局域网内的主机的
内网到外网用的是NAT技术(地址封装)
外网到内网用的是端口映射(PNAT)计算机的端口又内65535(0-65534),你说的那些容有名气的端口大多都是0-1023之间的
你说的这个问题很简单,但首先你要懂得数据是通过端口来传输的,路由器会记住机器用那个地址的那个端口发出去的信息
比如:
192.168.0.2(内网主机地址)----192.168.1.1(内网网关,一般是你路由器的地址)-123.52.1.1(路由器WAN口地址,ISP给你发的一般是临时的)----
123.52.1.2(目标主机IP)
这个时候你的内网主机会自动生成一个大于1023的端口连接到路由器,路由器会记住这个IP和端口,解封装以后,他会把用户IP报文里的ip和端口换成自己的ip和端口(这个端口也是随机的),再把数据转发到目标网络,这样就和目标网络建立了连接,目标网络往回传递信息的时候就会和路由器上的那个端口请求连接,然后路由器看一下自己的映射表,他会发现这个端口是和内网的 那台主机做的 映射,所以就会把数据传给你,这样你就读到了对方的信息
❺ 我在局域网里抓包 发现大量NBNS数据包 全部发生在我的电脑和另一台见 请问是什么原因
NBNS(NetBIOS Name Server)是动抄态DNS的一种,Microsoft的NBNS实现称为袭WINS.
所以楼主不用担心,你没有中ARP病毒之类,这些包是你的计算机跟你的计算机使用的DNS之间通信的数据包,是很正常的(因为你上网经常都会向DNS请求域名解析服务的).