wireshark分析攻击流量的简单尝试

合集 - 基本漏洞原理(25)

1.基本漏洞原理及防御（1）-sql注入2022-03-032.sqlmap入门（1）2022-03-043.基本漏洞原理及防御（3）-DOM XSS2022-03-164.其他漏洞原理及防御(2) -逻辑漏洞2022-03-105.其他漏洞原理及防御（1）-反序列化漏洞2022-03-066.基本漏洞原理及防御（2）XSS（3）DOM XSS2022-03-057.传统防火墙，WAF，IPS/IDS的原理与异同2022-04-108.代理与反向代理2022-04-099.基本漏洞原理及防御-（5）XXE（6）-文件包含2022-03-1710.基本漏洞原理及防御（5）-XXE2022-03-1511.mysql与sql语句的基本操作（3部分）2022-03-1412.云；云计算；云安全2022-03-0913.基本漏洞原理及防御（4）-CSRF2022-03-0814.WAF详解，检测与一些绕过方法2022-03-0715.基本漏洞原理及防御（11）-DOS：CC攻击2022-04-0816.基本漏洞原理及防御（10）-DOS：反射型Dos2022-04-0617.基本漏洞原理及防御（9）-DOS：基于资源耗尽的拒绝服务2022-04-0518.wireshark分析攻击流量的简单尝试2022-03-21

19.wireshark分析攻击流量的简单尝试2022-03-21

20.基本漏洞原理及防御（8）-DOS：基于内核处理的停止服务2022-03-2021.常见协议功能和端口2022-03-1922.基本漏洞原理及防御（7）-网站挂马2022-03-1823.github访问困难/缓慢的问题解决2022-03-1324.什么是堡垒机2022-03-1225.访问请求的后台操作、ip和域名（详解）2022-03-11

收起

今天在学习wireshark抓包分析攻击流量的时候。我尝试利用kali作为攻击机，将windows的主机作为靶机，然后在靶机上用wireshark去分析这些攻击包的特征。本文将记录这一尝试过程，并且解决这一学习过程中产生的问题。

1.公私有ip与mac#

　　当我产生如上想法的时候，显然要搞清楚攻击机和靶机的ip才可以，因为无论是漏扫，还是其他攻击，首先靶机ip要能够ping通。然后我在我靶机上使用ipconfig命令查看的ip地址和我利用搜索引擎的搜索的ip地址却不匹配，我对此产生疑问

 

　　因为ipv4的地址数量是有限的，大约不到40亿个，如果任何一个网络设备都拥有一个ipv4地址，那么显然是不够分配的。所以就诞生了公私有ip。

私有ip：一个局域网内有很多台终端，这些终端都有各自的本地ip地址，也就是我们利用ipconfig查询到的ip地址，我们会发现他们总是192.168..的格式，这种地址被称为私有地址。被用于在一个局域网内标识终端，完成交互通信。

公有ip：一个局域网内大家拥有各自的私有地址来相互标识，那么当需要突破局域网，接入互联网时呢？这时候一个局域网将采用同一个ip地址去接入互联网。这个所用的ip地址就是共有ip，也是搜索引擎搜到的ip地址，这样的排布规则，有助于缓解ipv4数量紧缺的问题。

　　原本在局域网中，我们相互通信只需要不同就可以了，为什么要采用192.168的起始头部呢？这是因为RFC 1918规定了用于组建局域网的IP地址：192.168..前16位是网络号,共65,536个地址 C:192.168.0.0~192.168.255.255 包含在这个范围中的, 都成为私有IP

特殊的ip：（1）将IP地址中的主机地址全部设为0, 就成为了网络号, 代表这个局域网;

　　　　   （2）将IP地址中的主机地址全部设为1, 就成为了广播地址, 用于给同一个链路中相互连接的所有主机发送数据包;

　　既然本地主机在局域网中交互的时候使用的是私有ip，而接入互联网又公用公有ip，那么互联网中请求的信息返回时，如何精准的找到处于同一个公有ip中的特定的终端呢？这个详见NAT技术。

mac地址：IP地址是在网络层和以上各层使用的地址，是一种逻辑地址。相对的，MAC地址是物理地址，MAC地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址，MAC地址是不可变的，网卡从生产出来，它就是固定的。不同于ip地址是在网络层被封装，mac地址存在于数据链路层的mac子层。

 2.kali#