Learn more about packet captures

• three main aspects of network analysis: packets, network protocol analyzers, and packet captures.

1. 網路流量分析的重要性

   • 過網路流量可辨識員工發送郵件或惡意行為者嘗試竊取機密資料等行為。
   • 幫助理解網路活動及防範潛在威脅。

2. Packet

   • 資料在發送時被分割成封包。data packet is a basic unit of information
   • 每個封包包含送達目的地所需的資訊（如信封地址）。
   • 封包包含三大組成部分：
     • Header (標頭): 包含來源與目的地 IP 位址、封包長度、協議等路由資訊。
     • Payload (有效負載): 傳送的實際數據。(例如: 上傳影像的檔案內容)
     • Footer (結尾): 提供錯誤檢查資訊，但僅部分協議如 Ethernet 使用。
       例子: 當您上傳圖片到網站時，圖片被分解成多個封包傳遞至目的地，並在傳送後重新組裝。

不同的協議層提供不同的標頭Header

Network protocol analyzers

• 網路協定分析器（packet sniffers）是一種設計用來在網路中捕捉capture和分析analyze數據流量 data traffic的工具，例如 tcpdump、Wireshark 和 TShark。
• 它們可用於monitor監視網路、識別identify可疑活動、收集collect網路統計數據 network statistics（如帶寬bandwidth或速度speed）及排解網路效能slowdowns問題。然而，
• 這些工具也可能被惡意利用，用來截取包含敏感數據的封包，例如帳戶登入資訊。

(網路介面卡, NIC)

第一部分：捕捉網路流量

• 默認狀態下，NIC僅聽取那些專門發送給自己的網路流量，而不會處理其它流量。
• 網路協定分析器透過軟硬體功能捕捉網路流量並將其呈現給安全分析員分析。
• 首先，透過網路介面卡（NIC）從網路中收集封包，並將NIC切換至監聽模式（如監控模式monitoring mode或混雜promiscuous模式），以捕捉所有可見的網路數據封包。
• 混雜模式效果：讓NIC能夠獲取網路上所有可見的資料封包，並不是僅限於特定地址的流量。
• 局限性：儘管切換模式可以捕捉可見封包，但安全分析員仍需將網路協定分析工具設定於適當的網路區段，以便獲得完整的主機間流量。
• 例如分析工具若未設置於核心交換區段，則可能無法捕捉所有關鍵資料。

第二部分：數據解碼與展示

原始數據捕捉格式（Raw Binary Format）：收集到的網路流量以二進位格式呈現，分析器將其轉換為人類可讀的格式，便於安全分析員解讀與分析。

啟用混雜模式可能使設備暴露於潛在攻擊，需謹慎負責地使用混雜模式工具。

Capturing packets

• Packet sniffing 封包嗅探是一種捕捉和檢查網路數據封包的方法，而
• packet capture (p-cap)封包攔截文件（p-cap）則是使用這種方法所生成的文件，該文件包含了從網路介面或網路中截取的數據封包。這些文件可以用來進行進一步的分析和檢視。
• 未經授權使用網路協議分析工具攔截及檢視私人網路通訊在許多地區被視為非法。

P-cap 檔案格式比較表

IP Header & IPv4的結構與內容

TCP/IP模型的結構

TCP/IP模型由四個層級組成，每個層級都有其特定的功能，並且數據在這些層級之間進行傳輸時，遵循由下到上的順序：

1. 網路介面層（Network Interface Layer）

• 功能：負責在物理媒介上傳輸數據。它處理硬體相關的問題，如網路適配器和傳輸媒介（例如以太網、Wi-Fi等）。
• 數據單位：幀（Frame）。

2. 網際層（Internet Layer）

• 功能：負責數據包的尋址和路由。它確保數據能夠從源地址傳送到目的地址，並處理不同網路之間的通訊。
• 數據單位：數據包（Packet）。

3. 傳輸層（Transport Layer）

• 功能：負責數據的可靠傳輸。它提供端到端的通信服務，包括流量控制、錯誤檢測和數據重傳等功能。
• 數據單位：段（Segment）。

4. 應用層（Application Layer）

• 功能：為用戶提供應用程序接口，處理具體的應用數據，如網頁瀏覽、電子郵件等。
• 數據單位：消息（Message）。