数据包捕获
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
数据包捕获是指捕获数据链路层所收到的数据包,它对我们起到了监视网络的重要作用,甚至可以使我们像使用TCPdump一样来监视自已的网络,同时,它也为黑客窃听网络通讯内容提供了一种方法。目前许多网络安全产品,如网络入侵检测系统,都需要使用数据包捕获技术来收集信息源,对于网关程序,更需要将数据包发送出去,其中还涉及到地址和端口的转换。[1]
数据包捕获的应用[2]
数据包捕获技术是开发网络管理工具软件的重要基础之一,因为许多故障及入侵都是建立在对网络流量或数据的分析基础上。
1.流量分析与统计
通过数据包捕获进行流量分析和统计,分析出单位时间中网络的数据包数目及数据字节数,应用这个特性可以分析出网络中的许多异常情况。例如,当一台主机受到其他主机攻击时,那么进入该主机数据流量会异常高,不可到达报文也会非常多,因此对网络流量的分析可以检测出相应的问题,进行故障定位。
2.协议及数据内容分析
数据包捕获可以设置针对IP地址和协议类别的包过滤器,专门捕获某一协议或某一主机的数据包。对数据进一步分析可以了解该类协议的工作过程及协议内容。
通常,所谓的网络编程是指Socket编程,它是基于IP地址及端口号的应用级编程,而路由器及各种网络设备大多数工作在传输层以下,它要处理网络中IP目的地址不是本身的许多数据包,因此其控制软件必须捕获及修改链路层数据帧,而包捕获正好工作在链路层,可以用来开发此类软件。