Wireshark 数据包分析学习笔记 Day12

判断这个访问的服务器与我们所使用的主机是否在同一个局域网中。这个判断需要由操作系统完成。

在局域网内部是无法使用 IP 地址进行通信的，因为局域网中的交换机只能识别 MAC 地址。如果你仅仅告诉交换机 IP 地址，交换机是不能将其转发到网关的。所以现在我们需要一种可以将 IP 地址转换成 MAC 地址的机制，在网络协议中就提供了一个专门完成这个任务的协议：ARP。

客户端所发送的 TCP 数据包和 HTTP 之间的间隔就是应用程序产生所花费的时间。

要精确到纳秒级别的话，就需要考虑网卡是否支持。如果使用一个不支持纳秒的设备捕获数据包的话，而我们又在这里设置了精度为纳秒的话，最后面的 3 位就会显示全部为 0。

•Relative time：这个选项用来显示当前数据包距离捕获第一个数据包的时间间隔。

•Delta time：这个选项用来显示当前数据包距离上一个数据包的时间间隔。

•Delta time displayed：这个选项用来显示当前数据包距离上一个数据包（在使用了显示过滤的情况下）的时间间隔。

网络延迟包括网络传输延迟、客户端应用程序引起的延迟和服务器应用程序引起的延迟。

网络传输延迟包括：

•从客户端到服务端的时间；

•服务端操作系统接收 TCP 3 次握手的 syn 请求，并回应一个（syn，ack）回应；

•从服务端到客户端的时间。

推荐使用一个更好的工具 PingPlotter，这个工具要远远比系统自带的工具要强大，你可以从 PingPlotter 官网下载一个免费的版本。这个工具相对 traceroute 最大的优势在于可以指定发送数据包的大小。

MAC 泛洪攻击就是由攻击者通过工具产生大量的数据帧，这些数据帧中的源 MAC 地址都是伪造的，而且并且不断变化。因而交换机将在攻击主机所连接的端口上产生大量的 MAC 地址表条目，从而在短时间内将交换机的 CAM 地址表填满，直到再无法接收新的条目。当交换机 CAM 表爆满，就会退化成集线器。

CAM 表采用了动态的更新方式，表中的每一个记录都被设定了一个自动老化时间，如果某个 MAC 地址在一定时间（例如 300 秒）不再出现，那么交换机将自动把该 MAC 地址从地址表中清除。当该 MAC 地址再次出现时，将会被当作新地址处理，从而使交换机可以维护一个精确而有用的 CAM 地址表。交换机档次越低，交换机的缓存也就越小，能够记住的 MAC 地址数也就越少。

攻击者可以伪造出大量的数据包来攻击交换机，但是由于攻击者的数据包只能从交换机的某一个端口进入，所以可以限制每一个端口对应的 MAC 地址数量即可。