一、关于受损的数据帧
在wireshark中,我们能抓取到的数据包是主机上的,而不是网卡上的。然而对于已经受损的以太网数据帧已经在网卡校验未通过的时候被丢弃,所以在wireshark上面抓包是看不到受损的以太网数据帧的。数据帧的结尾处FCS(帧校验序列),当网卡收到一个数据帧的时候,网卡会去检验这个FCS是否正确,如果校验不通过那么就会直接丢弃这个数据帧。所以在wireshark上面是抓取不到已经受损的数据帧的。那么我们如何是否有数据帧损坏了呢? 在Linux系统中可以使用指令netstat -i查看。这个指令会输出各种网络错误的统计情况,其中有个参数就是FSC RX就是指的受损的帧的数据,显然,这个方法只是统计受损的帧数据量。
经验总结:在本书中提到,作者有抓取到数据帧受损的数据包,并根据数据包的大小进行详细的分析,结果表明是因为,两个数据帧的12个字节的数据进行的移动导致的。在这个过程中,首先需要对网络中的协议娴熟于心,另外就是需要大胆猜想,根据猜想在实际结果中去验证猜测。
二、NTLM(身份验证协议)
在实际办公的过程中我们接触的这个协议并不多,但是使用比较多,比如在远程桌面的时候我们需要输入远程设备的用户名和密码,然后进行验证,这个验证过程就是NTLM协议完成的。NTLM验证的具体过程大致如下:
1,客户端首先在本地加密当前用户的密码成为密码散列
2,客户端向服务器发送自己的账号,这个账号是没有经过加密的,明文传输.
3,服务器端产生一个16位的随机数字发送给客户端,作为一个challenge(挑战)
4,客户端再用加密后的密码散列来加密这个challenge,然后把这个返回给服务器,作为response(响应)
5,服务器端将用户名,给客户端的challenge,客户端返回的response这三个东西发送给域控制器.
6,域控制器用这个用户名在SAM密码管理库中找到这个用户的密码散列,然后使用这个密码散列来加密chellenge
7,域控制器比较两次加密的challenge,如果一样,那么认证成功,反之,则认证失败.
当然,这些过程在WireShark中是看不出来的,只能看到连个设备的交互过程,不会看你到具体的交互内容,因为具体的数据是经过加密的。
