1.學習方法**自http://blog.chinaunix.net/u1/33167/showart_463501.html
)2.協議分析工具集合
一、抓包並儲存
linux下最方便就是tcpdump,ethreal帶的命令列工具沒有試過;
tcpdump採集的包可以用-w儲存(注意先用-s引數設定snaplen)
當需要支援正規表示式匹配的時候, 可以考慮ngrep這個grep的網路版替代tcpdump
二、轉換包格式
ethreal的包格式轉換功能比較好,可以轉換libcap、sniffer等各種格式
三、分析資料報
ethreal分析協議的功能很強大(注意它還有一定的統計分析功能),並且跨平台、支援格式多,貼近開發者
sniffer也不錯
四、修改包和發包
sniffer中修改包比較方便,發包也不錯
國內出了個科來資料報生成器,支援ip/icmp/tcp/udp,windows版,比較簡便,可惜模板不夠開放擴充套件不方便
linux下最好發包工具的是sendip命令列工具
nessus也用的比較多(nessus主要是用於安全掃瞄)
測試一般可採用sendip 和sniffer 相結合
五、回放資料報工具
tcpreplay可以回放tcpdump抓的包,有了這個工具,測試就具有基準
六、特殊包構造類工具
hping2能傳送自定義的icmp/udp/tcp包到目標位址並且顯示包的響應情況。它有乙個方便的traceroute模式,並且支援ip分片。這個工具在traceroute、ping和探測防火牆後的主機時特別有用。
nemesis是乙個很好的測試防火牆、入侵檢測系統、路由器的工具。nemesis和hping2兩者補相互之不足。
fragroute能夠擷取、修改和重寫向外傳送的報文,實現了大部分的ids攻擊功能。其規則設定語言可模擬實現延遲、複製、丟棄、碎片、重疊、列印、重排、分割、源路由或其他一些向目標主機傳送資料報的攻擊。
dsniff 包括一套小巧好用的小工具,進行網路滲透測試,工具包中的arpspoof,macof等工具可以令人滿意的捕獲交換機環境下的主機敏感資料。
七、包檔案.cap操作
tcpslice可對cap檔案進行分割、合併等操作(如依據時間)。
八、應用協議工具,這一類就比較多了,比如
http協議的:httpwatch
voip協議的:rtptools
一些協議**器
另外netcat(網路瑞士軍刀)也可用於應用層的除錯
tcp udp收發包的機制
tcpudp 傳送安全送達 只管傳送 接收與建立連線 是 三次握手 否 有資料報,無需連線 資料大小 無限制每個資料報64k 可靠性可靠 不可靠速度 慢 三次握手才能完成連線 快 無需連線 應用流 qq 握手次數 具體情況 1建立連線時,客戶端傳送同步序列編號到伺服器,並進入傳送狀態,等待伺服器確認...
網絡卡收發包的offload總結
網絡卡的offload是指將cpu對資料報的一些處理操作轉到硬體網絡卡上進行,由此釋放出cpu的計算資源。offload也被稱為硬體解除安裝。從2012年起,offload技術開始在網絡卡上使用。發展至今,網絡卡上已經支援多種形式的offload。目前,在收發方向上,網絡卡各自支援不同的offloa...
盒子裝置介面收發包的思考1
目前在處理盒子產品時,發現wan口和lan口收發報文時還在走核心路由邏輯,因為從wan口進來的包如果 只能從lan口 出去,所以此時路由查詢是個多餘動作!此處應該是乙個可以優化點,來試一試吧!mark,也不想不通為啥乙個產品這麼多年都沒有人去思考這些!工作中還是要多想一想為什麼?不要隨波逐流的接受!...