Wireshark 数据包分析学习笔记 Day13

中间人攻击又被简称为 NITM 攻击，这是一种很有意思的攻击方式。攻击者会把自己的设备放置在网络连接的两台设备中间，以此来监听它们之间的通信，当然这个中间位置是逻辑上的而不是物理位置。

ARP 请求数据帧中的前面 4 项硬件类型（Hardware type）、协议类型（Protocol type）、硬件地址长度（Hardware size）、协议地址长度（Protocol size）是固定的。

•如果希望得到 ARP 的请求，可以使用“arp.opcode==0x0001”。

•如果希望得到 ARP 的应答，可以使用“arp.opcode==0x0002”。

如果同时出现了大量的 ARP 数据包，通常是由以下 3 种情况造成的。

•有攻击者在利用 ARP 请求对网络主机进行扫描。

•有计算机感染了 ARP 病毒并在破坏网络的通信。

•有攻击者在利用 ARP 欺骗在发动中间人攻击。

Wireshark 中的专家系统信息保存在解析器中，专家信息将网络中不正常的数据包分成如下的 4 种。

•Errors：数据包或者解析器错误，用红色表示。

•Warnings：来自 application/transport 的异常响应，用黄色表示。

•Notes：来自 application/transport 的异常响应，用浅蓝色表示。

•Chats：关于工作流的信息，用蓝色表示。

考虑到中间人攻击时通常篡改的都是网关的地址，所以需要将其 IP 地址和 MAC 地址绑定。

针对 IP 协议的攻击方法，主要有伪造 IP 地址和发送畸形数据包两种方式。泪滴攻击就属于发送畸形数据包这种方式。

这种攻击的实现原理是向目标主机发送异常的数据包碎片，使得 IP 数据包碎片在重组的过程中有重合的部分，从而导致目标系统无法对其进行重组，进一步导致系统崩溃而停止服务的恶性攻击。

样本数据包网址：https://wiki.wireshark.org/ SampleCaptures/

以太网传输电气方面的限制，以太网帧的大小都有限制每个以太网帧最小也要 64Bytes，最大不能超过 1518bytes。刨去以太网帧的帧头（DMAC 目的地址 MAC48bit=6Bytes+SMAC，源 MAC 地址 48bit=6Bytes+Type 域 2bytes）14Bytes 和帧尾 CRC 校验部分 4Bytes（这个部分有时候也被称作 FCS）。

同一个数据包的各个分片的标识是一样的，目的端会根据这个标识来判断 IP 分片是否属于同一个 IP 数据报。

泪滴（teardrop）攻击是基于数据分片传送进行的攻击手段。在 IP 报头中有一个偏移字段和一个分片标志（MF），如果 MF 标志设置为 1，则表明这个 IP 包是一个大 IP 包的片断，其中偏移字段指出了这个片断在整个 IP 包中的位置。