網路流量分析的重要性
Packet
標頭名稱 | 層級 | 功能 |
---|---|---|
乙太網標頭 | 資料鏈路層Data Link Layer | 包含來源和目的地的MAC地址,以及資料類型等信息,用於在局域網(LAN)中傳送資料。 |
IP標頭 | 網際網路層 Internet Layer | 提供來源和目的地的IP地址,協助路由器在不同的網路之間進行數據的轉發和路由選擇。 |
TCP標頭 | 傳輸層Transport Layer | 包含序列號、確認號以及控制位等信息,用於控制資料流的連接管理,確保資料以正確順序到達且無誤。 |
主題 | 定義/內容 | 應用/功能 |
---|---|---|
封包 (Packet) | 資料被分段並附加路由資訊進行傳輸。 | 允許數據在網路上流動。 |
Header (標頭) | 含協定名稱、IP位址、端口等資訊,類似信封上的地址。 | 確保數據被正確路由到指定裝置。 |
Payload (負載) | 封包的核心內容(如信件的內容)。 | 承載實際的數據,與需求相關的資訊。 |
Footer (trailer) | 是用來作為錯誤檢查的一部分。以太網協議Ethernet protocol使用footer來檢查數據是否損毀,但有些網路封包在分析時,可能因為網路配置而不顯示footer資訊。此外,大多數協議,如網際網路協議(IP),並不使用footer。 | 確保封包完整性。 |
Packet Capture (P-cap) | 擷取的封包數據文件,能詳細記錄網路上的封包流動。 | 幫助重建具體事件,檢測威脅或異常流量。 |
Packet Sniffer工具 | 攔截與分析網路上的流量工具資,安分析師利用此工具檢視封包以察覺威脅跡象(Indicators of Compromise)。例: Wireshark。 | 偵測與分析異常行為,用於威脅檢測及系統故障排查。 |
工具 | 類型 | 功能與特點 | 優點 | 缺點 |
---|---|---|---|---|
tcpdump | 命令列工具 (CLI) | - 用於即時捕獲與分析封包數據。- 可過濾封包,僅捕獲特定協議或來源的封包。 | - 輕量、高效,適合快速分析。- 支援腳本化操作,能與其他工具結合使用。 | - 僅限於命令列操作,對新手不友好。- 缺乏圖形化介面,無法直觀查看封包內容。 |
Wireshark | 圖形化工具 (GUI) | - 功能強大的協議分析工具,支援即時捕獲與離線分析。- 直觀的圖形化介面,顯示封包的詳細資訊。 | - 易於使用,適合詳細分析。- 支援多種協議,功能強大。 | - 資源需求較高(CPU 和記憶體)。- 不適合僅進行快速捕捉。 |
TShark | Wireshark 的命令列版本 (CLI) | - 提供與 Wireshark 相同的協議分析功能,但以命令列方式操作。 | - 輕量,適合腳本化分析。- 支援自動化處理大批量封包數據。 | - 缺乏 GUI,對新手較不友好。- 部分功能需要額外學習命令參數。 |
原始數據捕捉格式(Raw Binary Format):收集到的網路流量以二進位格式呈現,分析器將其轉換為人類可讀的格式,便於安全分析員解讀與分析。
啟用混雜模式可能使設備暴露於潛在攻擊,需謹慎負責地使用混雜模式工具。
檔案格式 | 支援的操作系統 | 特點 |
---|---|---|
Libpcap | Unix-like (Linux, MacOS) | 默認格式,廣泛使用於網路分析工具(如 tcpdump) |
WinPcap | Windows | 較舊的格式,使用率下降 |
Npcap | Windows | 現代化設計,與 Nmap 整合 |
PCAPng | 多平台 | 同時捕捉封包和儲存數據,為“下一代”格式 |
TCP/IP模型由四個層級組成,每個層級都有其特定的功能,並且數據在這些層級之間進行傳輸時,遵循由下到上的順序:
字段名稱 | 功能定義 | 比喻/舉例 |
---|---|---|
Version | 指定IP版本 (如IPv4或IPv6)。 | 郵件類別 (優先郵件、快捷郵件、普通郵件)。 |
IHL | Internet Header Length:指定IP頭部長度,若包含選項則長度增加。 | 無對應比喻。 |
ToS (Type of Service) | 表示是否需要照特殊標準對封包處理。 | 包裹上的“易碎”標籤。 |
Total Length | 封包的總長度,包括標頭與數據部分。 | 信封的長寬與重量。 |
Identification, Flags, Fragment Offset | 和IP封包的分段 (Fragmentation) 有關,標記如何分段與重組。 | 信件經過多重路由 (例如郵箱、轉運中心、卡車等)。 |
TTL (Time to Live) | 控制封包有效期限,防止封包無限循環。 | 信件的預期送達日期類似概念。 |
Protocol | 指定使用哪個協議 (例如TCP/UDP),用數值表示。 | 地址中的房號,確認投遞對象。 |
Header Checksum | 儲存效驗碼,確保傳輸過程中沒有發生頭部字段的錯誤。 | 無對應比喻。 |
Source Address, Destination Address | 源地址和目標地址。 | 信封上的寄件人與收件人地址。 |
Options | 非必要字段,通常用於網路故障排除,如果使用則會增加頭部長度。 | 信件的保險服務,非必要附加項目。 |
Packet Data | 存儲實際數據的部分,例如郵件正文內容。 | 信封中的信件。 |