SYN
SYN,ACK
ACK
(三次握手)
（nc不加密）A:  nc -lp 333 -c bash
B:  nc -nv 10.1.1.1 333

(ncat加密)A：ncat -lp 333 -c bash --ssl
B: ncat -nv 10.1.1.1 333 --ssl

三种软件： wireshark /          sniffer/             cascad pilot（riverbed收购）

wireshark根据数据包通过的端口判断数据包类型，依靠人的智慧，手动选择解码方式

wireshark专家系统，给人一些提示

wireshark信息统计功能

dns流量通常不是最大

wireshark缺陷

分析大数据包时表现不好

企业抓包

sniffer

cace/riverbed

cascad pilot

他们的底层大多基于wireshark

镜像端口 把一个物理口的流量镜像到另一个端口 镜像目的端口不能发包 较为高级的路由器 交换机可以实现

抓包是一种被动扫描