Wireshark 数据包分析学习笔记 Day9

无限网卡的 4 种工作模式：

1、   被管理模式：当无线客户端直接如无线接入点连接时，使用该模式。

2、   Ad-hoc 模式：当网络由互相直连的设备组成时，就可以使用这个模式。

3、   主模式：该模式允许无线网卡使用特制的驱动程序和软件工作，作为其他设备的 WAP。

4、   监听模式：无线网卡和配套驱动程序必须支持监听模式

iwconfig 打开无线扩展程序

Tcpdump 虽然缺少图形特性，但在处理海量的数据包时非常靠谱。可以用管道将它的输出重定向输入给其他命令，比如 linux 的 sed 和 awk。

Scapy 是一个非常强大的 Python 库，允许使用基于命令行脚本的方法创建、修改数据包。简单地说，Scapy 是一款强大、灵活的数据包操纵程序。

Netdude 可以在 linux 下创建、修改数据包。

Colasoft 在 Windows 下可以来用于数据包的创建和修改。

CloudShark 可以在线分享数据包捕获记录。

Pcapr 用于分享 PCAP 文件的 Web 2.0 平台。

NetworkMiner 是一款主要用于网络取证的工具。可以用来捕获数据包，也可以用来解析数据包。

Tcpreplay 专门设计用来回放 PCAP 文件中的数据包。

Ngrep 可以在 PCAP 中执行特定搜索。

Libpcap 是一个用于网络流量捕获的可移植的 C/C++库。Wireshark、TCpdump，以及其他大部分数据包分析工具都在一定层次上依赖与 LIbpcap。

Hping 是一个命令行的数据包操纵和传输工具，支持各种各样的协议。

Domain Dossier 可以查询域名或 IP 地址的注册信息。

二进制数据码是数据信息在最底层的表现形式，1 表示高电平信号，0 表示低电平信号。每一个数字是一位，八位是一字节。我们通常将二进制转换为十六进制。

十六进制是常用的数据包表示形式，两个字符表示一个字节，即八位。字节中的每个字符是一个半字节(4 位)，左侧的是高位(半)字节，右侧是低位(半)字节。

数据包中，字节的地址使用偏移量表示法表达，从 0 开始。在表示一个长度大于一字节的地址时，地址占用的字节数在一个冒号之后使用数值表示。