08年9月三级网络技术:数据捕获sniffer解析
- 格式:doc
- 大小:139.00 KB
- 文档页数:2
下载文档原格式
合集下载
借助嗅探器(Sniffer)诊断Linux网络故障
嗅探器(sniffer)在网络安全领域是一把双刃剑,一方面常被黑客作为网络攻击工具,从而造成密码被盗、敏感数据被窃等安全事件;另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。
嗅探器是企业必不可少的网络管理工具。
本文以Linux平台下三个常用的网络嗅探器Tcpdump、Ethereal和EtherApe为例,介绍如何借助sniffer来诊断网络故障,从而保障网络高效安全地运行。
简介嗅探器(sniffer)又称为包嗅探器,是用来截获计算机网络通信数据的软件或硬件。
与电话电路不同,计算机网络是共享通信通道的,从而意味着每台计算机都可能接收到发送给其它计算机的信息,捕获在网络中传输的数据信息通常被称为监听(sniffing)。
嗅探器常常作为一种收集网络中特定数据的有效方法,是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。
嗅探器工作在网络环境中的底层,可以拦截所有正在网络上传送的数据,从而成为网络安全的一个巨大威胁。
通过对网络进行嗅探,一些恶意用户能够很容易地窃取到绝密文档和敏感数据,因此嗅探器经常被黑客当作网络攻击的一种基本手段。
任何工具都有弊有利,嗅探器既可以作为黑客获得非法数据的手段,但同时对网络管理员来讲又是致关重要的。
通过嗅探器,管理员可以诊断出网络中大量的不可见模糊问题。
这些问题通常会涉及到多台计算机之间的异常通信,而且可能会牵涉到多种通信协议。
借助嗅探器,管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。
这些信息为管理员判断网络问题及优化网络性能,提供了十分宝贵的信息。
作为一种发展比较成熟的技术,嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用,倍受网络管理员的青睐。
可以通过分析网络流量来确定网络上存在的各种问题,如瓶颈效应或性能下降;也可以用来判断是否有黑客正在攻击网络系统。
sniffer介绍
第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。
为了解决网络问题需要对网络中的数据进行相应的捕获和分析,Sniffer就是这样一种类型的软件。
它能够针对网络工作中的各种数据进行相应的捕获和分析。
从本章开始,本书将对Sniffer这类网络工具的功能和使用方法进行介绍。
1.1局域网安全概述局域网是日常使用中最常见的一种网络结构,同时也是组成网络的基本单位。
由于Sniffer必须在局域网中使用,所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。
目前的局域网基本上都采用以广播为技术基础的以太网。
在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收,同时也为处在同一以太网上的任何一个节点的网卡所截获。
因此,只要使用软件在接入以太网上的任一节点进行侦听,就可以捕获在这个以太网上传输的所有数据包。
如果使用相应的算法对截获的数据包进行解包分析,就可以获得相应的关键信息,这是以太网固有的安全隐患。
针对这一安全隐患,可以使用多种软件达到截获数据包并进行分析的目的。
Sniffer就是这样的一种软件。
这也是本书的一个意义:认识这种安全隐患技术,从而达到避免这种安全隐患,维护网络安全的目的。
针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。
1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
网络分段可分为物理分段和逻辑分段两种方式。
物理分段是以硬件设备将网络划分成不同的网络地址段。
在出现问题时可以通过物理手段来断开网络以避免更大的损失。
第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。
在实际的网络工程应用中,这两种方式经常混合使用以便达到更好的效果。
通常在保密级别相对较高的地点会采用物理分段的方式,而保密的级别相对较低的地点采用逻辑分段就可以了。
sniffer工作原理
sniffer工作原理
Sniffer是一种网络数据包捕捉工具,用于监控和分析网络通信的内容。
其工作原理如下:
1. 网络数据包捕获:Sniffer通过在网络接口上设置混杂模式(promiscuous mode),接收并记录通过网络传输的数据包。
在这种模式下,网卡将接收到的所有数据包都传递给操作系统,而不仅仅是针对该网卡的目的地地址或广播地址的数据包。
2. 数据包过滤与捕获:Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理,只保留满足规则要求的数据包。
这些规则可以是源/目的IP地址、端口号、协议类型等。
3. 数据包解析:Sniffer对捕获到的数据包进行解析,将网络数据包的各个部分进行拆解,并生成能够被阅读和分析的格式。
解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。
4. 数据包分析:Sniffer对解析后的数据包进行进一步的分析,包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。
通过分析这些信息,可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。
需要注意的是,由于Sniffer在网络上实时监控和捕获数据包,因此在使用过程中需要遵守法律法规,确保合法使用,并保护用户隐私与数据安全。
网络分析SNIFFER软件的使用介绍
网络分析SNIFFER软件的使用介绍Sniffer(嗅探器)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。
该技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
Sniffer技术简介数据在网络上是以很小的称为“帧”(又称:包)的单位传输的,帧由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网的前12个字节存放的是源地址和目的地址,这些数据告诉网络该帧的来源和去处。
其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。
帧是根据通讯所使用的协议,由网络驱动程序按照一定规则生成,然后通过网络接口卡(网络接口卡,在局域网中一般指网卡)发送到网络中,通过网线传送到它们的目的主机,在目的主机的一端按照同样的通讯协议执行相反的过程。
接收端机器的网络接口卡捕获到这些帧,并告诉操作系统有新的帧到达,然后对其进行存储。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的地址(这里的目的地址是指物理地址而非IP地址,该地址是网络设备的唯一性标志)和自己的物理地址一致或者是广播地址(就是被设定为一次性发送到网络所有主机的特殊地址,当目标地址为该地址时,所有的网络接口卡都会接收该帧),网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
我们可以想象到这样一种特别的情况:如果网络中某个网络接口卡的物理地址不确定呢(这可以通过本地网络接口卡设置成“混杂”状态来实现)?网络接口卡会如何处理收到的帧呢?实际的情况是该网络接口卡将接收所有在网络中传输的帧,无论该帧是广播的还是发向某一指定地址的,这就形成了监听。
如果某一台主机被设置成这种监听模式,它就成了一个Sniffer。
sniffer原理
每一个在局域网(lan)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与internet地址系统比较相似).当用户发送一个数据包时,这些数据包就会发送到lan上所有可用的机器.
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站a不会捕获属于工作站b的数据,而是简单地忽略这些数据).如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包与帧.
2.网络监听原理
sniffor程序是一种利用以太网的特性把网络适配卡(nic,一般为以太同卡)置为杂乱(promiscuous)模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包.
普通的情况下,阿卡只接收与自己的地址有关的信息包,即传输到本地主机的信息包.要使sniffer能接收并处理这种方式的信息,系统需要支持bpf,linux下需要支持socket一packet.但一般情况下,网络硬件与tcp/ip堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的tcp/ip堆栈,网卡就必须设置为我们刚开始讲的混杂模式.一般情况下,要激活这种方式,内核必须支持这种伪设备bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行sniffer.
现在人们谈到黑客攻击,一般所指的都是以主动方式进行的,例如利用漏洞或者猜测系统密码的方式对系统进行攻击.但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视,那就是利用sniffer进行嗅探攻击.
sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具.使用这种工具,可以监视网络的状态.数据流动情况以及网络上传输的信息.当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击.将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获.黑客们常常用它来截获用户的口令.据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令.本文将详细介绍sniffer的原理与应用. 】
sniffer工作原理
sniffer工作原理Sniffer是一种网络安全工具,它可以截获网络数据包并分析其中的内容。
Sniffer的工作原理是通过网络接口卡(NIC)将数据包从网络中截获,然后将数据包传递给分析程序进行分析。
Sniffer的工作流程可以分为以下几个步骤:1. 捕获数据包Sniffer通过网络接口卡(NIC)截获网络数据包。
NIC是计算机与网络之间的接口,它可以将计算机发送的数据转换成网络数据包,并将网络数据包转换成计算机可以理解的数据。
Sniffer通过NIC截获网络数据包,然后将数据包传递给分析程序进行分析。
2. 分析数据包Sniffer将截获的数据包传递给分析程序进行分析。
分析程序可以根据需要对数据包进行过滤、排序、统计等操作,并将分析结果输出到屏幕或保存到文件中。
分析程序可以根据需要对数据包进行深度分析,例如分析数据包中的协议、源地址、目的地址、端口号等信息。
3. 显示分析结果Sniffer将分析程序输出的结果显示到屏幕上。
分析结果可以以图形化界面或命令行方式呈现,用户可以根据需要选择不同的显示方式。
分析结果可以帮助用户了解网络中的流量情况,发现网络中的异常行为,提高网络安全性。
Sniffer的应用场景非常广泛,可以用于网络管理、网络安全、网络故障排除等方面。
例如,网络管理员可以使用Sniffer来监控网络流量,发现网络中的异常行为,及时采取措施保障网络安全;网络安全专家可以使用Sniffer来分析网络攻击行为,发现攻击者的攻击手段和目的,提高网络安全性;网络工程师可以使用Sniffer来排查网络故障,快速定位故障点,提高网络可靠性。
总之,Sniffer是一种非常实用的网络安全工具,它可以帮助用户了解网络中的流量情况,发现网络中的异常行为,提高网络安全性。
Sniffer的工作原理是通过网络接口卡(NIC)将数据包从网络中截获,然后将数据包传递给分析程序进行分析。
Sniffer的应用场景非常广泛,可以用于网络管理、网络安全、网络故障排除等方面。
Sniffer攻击以及其工作原理的介绍
此文章主要向大家讲述的是Sniffer攻击含义以及对其工作原理的描述,sniffers(嗅探器)几乎与internet有一样发展历史了.Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注,所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。
他们经常使用的手法是安装sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer是没有效果的。
再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。
谈到以太网sniffer,就必须谈到以太网sniffing。
那么什么是以太网sniffer攻击呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。
如果发现符合条件的包,就把它存到一个log文件中去。
通常设置的这些条件是包含字"username"或"password"的包。
sniffer详解第三天
今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单,需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件,但是它不能监测网络任意点的所有流量,sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。
在显示捕获信息的窗口中,包括:高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前,这个窗口不会显示任何信息,捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆:ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。
这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。
这里,我们会与一个流量受到限制的Novell NetWare 服务器进行通讯,这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题,原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时,经常会出现这条信息解码{Decode}:单击Decode选项,显示解码窗口,其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分:总结:给出了捕获的数据,源地址、目标地址、时间和长度详细资料:可以详细查看所捕获的协议信息HEX窗口:以十六进制表示的解码时间标记:绝对时间(Abs.Time)表明了数据包捕获的时间,和当前系统时间一样相对时间(Rel.Time)表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间(Delta Time)表明的是两个相邻数据包之间的时间差。
sniffer技术原理及应用,包括编程方法和工具使用
kingzai:sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。
sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
最近两年,网络监听(sniffer)技术出现了新的重要特征。
传统的sniffer技术是被动地监听网络通信、用户名和口令。
而新kingzai:sniffer中文翻译过来就是嗅探器,在当前网络技术中使用得非常得广泛。
sniffer既可以做为网络故障的诊断工具,也可以作为黑客嗅探和监听的工具。
最近两年,网络监听(sniffer)技术出现了新的重要特征。
传统的sniffer技术是被动地监听网络通信、用户名和口令。
而新的sniffer技术出现了主动地控制通信数据的特点,把sniffer技术扩展到了一个新的领域。
Sniffer 技术除了目前在传统的网络侦测管理外,也开始被应用在资讯保全的领域。
可以这样说,sniffer技术是一把双刃剑,如何更好的利用它,了解它的一些特性,将能使这项技术更好的为我们带来便利。
sniffer的编程方法比较通用的有以下几种,1.winpcap 这是一个比较通用的库,相信做过抓包的工具大多数人都不会太陌生 2.raw socket 在2000以后的版本都支持此项功能,2000 server 有个网络监视器就是基于raw socket 3.tdi,ndis,spi,hook socket技术,这种技术比较大的不同是可以将包截取而不是仅仅获得包的一份拷贝。
总的说来,一般以前两者居多。
我这里提的都还比较片面,更多的需要大家来补充。
我办这个专题的目的是希望大家共同来了解,讨论sniffer技术,让更多的人参与进来,让大家知道,这个板块能够给大家带来真正想要的东西。
warton:libpcap是个好东西,linux,windows下都能用,很多入侵检测之类的安全系统都是以这为核心。
不过我一直没用过它,不知道它的跨平台性如何?要用spi的话,看看xfilter的代码和书,特别是那本书上讲得不错,可惜一直没用它做出什么东西来。
sniffer
19
数据包构造和发送开发包Libnet 数据包构造和发送开发包
– 实现了对网络协议的数据包构造并把构造的网络数据包发送 到网络的功能 – 非常方便。只要掌握一种协议的构造方法,其他协议的构造 方法都类似 – 高层次的编程接口,实现了很多底层的功能,屏蔽了不同操 作系统的不同之处 – 提供了两种类型的构造数据包方式,一是基于原始套接字IP 层,一是基于链路层 – 使用默认的参数设置,简化了构造过程 – 提供自动计算校验和的功能 – 支持多种平台,Linux、DOS、Windows等 – 几乎支持所有的网络协议 – 支持二次开发,不仅可以构造Libnet支持的网络协议数据包, 还可以构造不支持的网络协议数据包,使其支持更多的协议 类型
15
关于libpcap 关于
• • • • 用户态下的packet capture 系统独立的接口,C语言接口 目前最新为1.0版本 广泛应用于:
– 网络统计软件 – 入侵检测系统 – 网络调试
• 支持过滤机制,BPF
16
关于libpcap 关于
– 几乎成为网络数据包捕获的标准接口 – 效率高,使用方便,跨平台 – 不仅实现数据包的捕获还具有快速的网络数据包过滤 功能 – 利用Libpcap开发的网络安全软件 • Tcpdump 著名的网络嗅探器。可以捕获网络上的所 有数据,也可以根据过滤规则捕获特定的数据 • Snort 轻量级的网络入侵检测系统。能够在IP网络上 进行实时的流量分析和数据包记录。它不仅能
10
网络数据包生成技术
• 指人工构造数据包,然后把数据包发送到网络上 • 应用:
– 网络安全扫描系统(构造数据包,探测远程主机,根 据返回信息检查远程主机的漏洞) – 网络安全测试系统(构造各种各样的数据包来检测防 火墙、入侵检测系统的性能) – 也是攻击者用的最多的一种技术(SynFlood、ping of death……)
数据包构造和发送开发包Libnet 数据包构造和发送开发包
– 实现了对网络协议的数据包构造并把构造的网络数据包发送 到网络的功能 – 非常方便。只要掌握一种协议的构造方法,其他协议的构造 方法都类似 – 高层次的编程接口,实现了很多底层的功能,屏蔽了不同操 作系统的不同之处 – 提供了两种类型的构造数据包方式,一是基于原始套接字IP 层,一是基于链路层 – 使用默认的参数设置,简化了构造过程 – 提供自动计算校验和的功能 – 支持多种平台,Linux、DOS、Windows等 – 几乎支持所有的网络协议 – 支持二次开发,不仅可以构造Libnet支持的网络协议数据包, 还可以构造不支持的网络协议数据包,使其支持更多的协议 类型
15
关于libpcap 关于
• • • • 用户态下的packet capture 系统独立的接口,C语言接口 目前最新为1.0版本 广泛应用于:
– 网络统计软件 – 入侵检测系统 – 网络调试
• 支持过滤机制,BPF
16
关于libpcap 关于
– 几乎成为网络数据包捕获的标准接口 – 效率高,使用方便,跨平台 – 不仅实现数据包的捕获还具有快速的网络数据包过滤 功能 – 利用Libpcap开发的网络安全软件 • Tcpdump 著名的网络嗅探器。可以捕获网络上的所 有数据,也可以根据过滤规则捕获特定的数据 • Snort 轻量级的网络入侵检测系统。能够在IP网络上 进行实时的流量分析和数据包记录。它不仅能
10
网络数据包生成技术
• 指人工构造数据包,然后把数据包发送到网络上 • 应用:
– 网络安全扫描系统(构造数据包,探测远程主机,根 据返回信息检查远程主机的漏洞) – 网络安全测试系统(构造各种各样的数据包来检测防 火墙、入侵检测系统的性能) – 也是攻击者用的最多的一种技术(SynFlood、ping of death……)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机三级网络技术:08年9月sniffer过程解析
请根据显示的信息回答下列的问题
(1)该主机的正在访问的www服务器的IP地址是【16】
(2)根据图中“No.”栏中标号,表示TCP连接三次握手过程开始的数据包标号是【17】
(3)标号为“7”的数据包的源端口应为【18】,该数据包TCP Flag的ACK位应为【19】
(4)标号为“7”的数据包“Summary”栏中被隐去的信息中包括ACK的值,这个值应为【20】
上半部分图是:域名解析和TCP(三次握手)连接过程
先来1到4行的域名解析
先申明,summary内的分析有的是我个人认为
首先来个猜测吧:c代表client表示客户机,r表示reply(响应)
第1行:源地址:202.113.64.166访问目的地址:211.81.20.200(dns服务器)
申明一点summary的第一个单词只是告诉我们这一步在做什么,4个dns并不表示4个服务器
继续,源地址访问目的地址请求查询
第2行,dns服务器在缓存中找到了与IP地址的对应关系,所以STA T=OK 如果缓存没有的话,还会有下一步,下一步没有,还有再下一步
但是这题一步搞定,3,4步不看了,和1,2步差不多
域名解析完毕
5,6行建立tcp连接:源地址:202.113.64.166,目的地址: 5,6,7即为三次握手过程
现在开始回答问题
正在访问的www服务器域名我们知道是
第5行是三次握手的开始
握手第一步,发送syn同步包,产生一个随机值
即SYN SEQ=143086951
第6行,被访问的网站作回应说明收到了包,并产生确定值SYN ACK=143086952 ACK表示确认字符
ACK值则是上一步的SEQ加1
第五行是202.113.64.166请求访问WWW,
第六行是WWW,发给202.113.64.166确认消息~~
第六行SEQ值变了,ACK是前面的SEQ加1
第6行在产生确定值时,同时也产生一个随机值,故SEQ=3056467584
因为三次握手味为的是彼此确认
第七行,TCP要产生一个一个随机值让你确定,空就让你填
ACK位,这个你要看相关内容,置1,表示确认
5,6之所以D=和S=颠倒是因为三次握手是一个交互过程
端口号对主机是固定的
目的主机和源主机这个概念是相对的
源端口 1101
目的端口 8080
S=8080,D=1101
但这是针对第六行
第七行必然源地址和目的地址必然要调换
我访问你,你访问我,我再访问你
这就是三次握手
对于一台机器,端口号是定的
目的端口WWW,是8080
到了第6行,sourece address和dest address变了
但是还是202.113.64.166的端口号为1101,端口号为8080
只是前面的是dest address,后面的是source address
这台机器有什么用,有dns那就域名解析
有smtp,那就是邮件服务器
有TCP,那就考三次握手。