Wireshark 数据包分析学习笔记 Day18
本机 ARP 缓存是有生存期的,默认 ARP 缓存表的有效期是 120 秒。当超过该有效期后,将再次重复上面的过程。
一个完整的 ARP 会话包括 ARP 请求和 ARP 响应两个包。
如果攻击者向目标主机发送大量 ARP 请求报文,将导致其主机无法正常响应及崩溃,导致 ARP 请求风暴攻击。
勾选 Detect ARP request storms 复选框,可以用来探测 ARP 请求风暴,进而发现 ARP 攻击。
Number of requests to detect during period:在探测期间内发送的 ARP 请求包数。
Detection period(in ms):探测多长时间内发送的 ARP 请求包。默认设置表示探测到 100 毫秒内发送 30 个 ARP 请求包,则属于 ARP 请求风暴。因为正常情况下,主机是不会频繁地发送 ARP 请求包。
DHCP 使用 UDP 协议工作,常用的端口有两个,分别是 67(DHCP server)和 68(DHCP client)。
DHCP 协议主要是为客户端分配 IP 地址。在该过程中将包括 4 个包,分别是 DHCP 发现、DHCP 响应、DHCP 请求和 DHCP 确认包。
LISTENING:正在监听。
ESTABLISHED:已创建连接,正在传输数据。
SYN_SENT:尝试创建连接。
SYN_RECV:接收到请求,等待确认。
FIN_WAIT1:socket 连接关闭。
FIN_WAIT2:socket 连接关闭,等待远端关闭。
TIME_WAIT:等待处理的请求。
CLOSED:无连接。
CLOSE_WAIT:远端关闭,等待 socket 关闭。
LAST_ACK:远端关闭,等待反馈。
CLOSING:两边都已关闭。
UNKNOWN:未知状态
TCP 连接重置就是断开之前的连接,并且释放连接占用的所有资源。当流经防火墙的流量不对称时,可能导致 TCP 连接重置。
每个防火墙都有一个 TCP 超时时间,目前设置为半小时。对于通过防火墙的所有 TCP 连接,如果在半小时内没有任何活动,那么就会被防火墙拆除,这样就会导致连接中断。在拆除连接时,也不会向连接的两端发送任何数据通知连接已经被拆除。
吞吐量是指每秒接收到的不包括控制数据在内的比特数。当没有帧时,设备会降低最大速率;有效的吞吐量是指单位时间内发到 DUT/SUT 正确目标接口的比特数。如果减少了,就丢弃或者重传。
对于 UDP 协议,通常需要对报文同时传往多个接收者,所以通常会应用多播。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/b20c072f729e5bd72c9f9ea99】。文章转载请联系作者。
评论