什么是抓包？如何抓包？看完本文，你就懂了( 二 ) _抓包

尽管大多数网络通信都使用stream，但所有Internet传输都采用datagram的形式，实际上是通过TCP协议使用datagram来模拟Internet stream 。而为了诊断因特网故障，可以使用诸如TCPdump这类packet decoder来查看各个packet 。
0×05 区别Packet和frame

文章插图

为了简化问题，我们将frame和packet想象为将要从一个人发送到另一个人的信息的信封。frame和packet之间的关键区别在于它们如何封装信息，而这取决于信息在哪儿被发送。
想象一下，一家公司有跨部门邮件，一个人可以将文档发送给其本地组织中的另一个人。内容放在内部信封中，发送者在“发件人”字段中写下他们的姓名和部门，然后在“收件人”字段中写下收件人的姓名和部门。发送信封时，邮件室识别内部使用信封，读取目的地名称和部门，使用目录将该信息转换为物理位置（办公室）并将其传递给收件人。信封永远不会离开本地组织，信封的所有传递行为都由本地处理。
部门间信封不能发送到公司外部，因为信封上没有邮寄地址。要将内容发送到本地以外的办公室，需要将办公室间信封放在邮政信封内，并贴上适当的邮政地址标签。
Frame以类似的方式工作。它是具有源和目标地址的数据的容器，用于在同一网络上的两个位置之间传递称为payload的信息。Frame的源和目标地址不是名称和部门，而是计算机，平板电脑，IP电话，物联网设备等的MAC地址，这是每个以太网设备在这个世界上唯一的ID号。
frame由网络接口设备在TCP/IP协议栈的第2层生成，payload大小取决于传输的数据类型。frame被发送到网络上，以太网交换机根据其存储器中的MAC表检查frame的目的地址。MAC表告诉交换机哪个物理端口(RJ45端口)与设备相关联，该设备的MAC地址与帧的目的地址相匹配。
交换机将frame转发到由MAC表确定的物理端口。如果电缆直接连接到目的设备，传输就完成了。如果电缆连接到另一台交换机，下一台交换机将重复查找和转发过程，直到frame到达预期目的地。
这一切都发生在LAN中的第2层交换机上。与部门间邮件一样，frame不能在本地/专用网络之外发送到因特网上，因为它没有正确的地址。要将数据发送到不同网络或互联网服务器上的设备，必须在packet中构建一个frame 。
很像部门间信封需要放在邮政信封内发送到不同的办公室的例子，Ethernet frame用附加信息封装，以创建一个IPpacket 。
虽然网络设备的MAC地址是唯一，永久的，但IP地址通常会临时分配给网络设备，并随着设备连接到不同的网络而改变。例如，平板电脑每次连接到不同的无线网络时，其IP地址都会发生变化。packet在网络的第3层创建，允许不同局域网之间交换信息，通常是通过路由器。路由器将小型网络互连在一起，允许使用IP地址而不是MAC地址进行更大规模的信息交换。
第3层packet允许路由器使用标识网络的IP地址和网络上设备的临时地址来提供网络间的数据传输(互联网) 。一旦进入网络，网络内(局域网)数据转发由二层交换机处理，它读取frame的MAC地址，并将其转发到目的设备，在那里以太网控制器提取payload，完成不同网络上设备之间的信息传输过程。
0×06 区分packet capture和flow capture(抓包和抓流量)

文章插图

Packet capture可以让我们在网络数据包通过网络时拿到镜像。而flow data通常包含在网络上设置的连接的摘要。它们都是非常有用的故障排除技术，可以找出网络上发生的故障。那么这两种技术有什么区别呢？
Flow capture:在OSI模型的第3层运行的大多数路由器和交换机都具有flow导出选项。有许多flow标准，包括NetFlow，sFlow和IPFIX 。只需安装一个flow连接器，它可以处理网络设备使用的任何flow标准。基于flow的分析可以很好地找出网络中某些部分的通信状况。它的优点是：