「緯育 2026-0314」修訂間的差異
出自頂極製作所
| (未顯示同一使用者於中間所作的 4 次修訂) | |||
| 行 1: | 行 1: | ||
== Protocol Analysis == | == Protocol Analysis == | ||
本課程以 Wireshark 為核心,系統性導入封包擷取與分析的實作方法,說明工具定位、安裝與驅動相依、操作介面、過濾技巧與常見協定解讀,並結合實務排錯與資安應用。課程安排於 2026-03-16 的上午與下午進行:上午聚焦 Wireshark 的安裝與基礎操作、介面選取、開始/停止擷取、顯示過濾器語法、在高流量中快速聚焦目標,以及在現代作業系統下無線封包常被呈現為以太網路的原因與如何在特定條件下擷取原生 802.11 幀。下午則進入風暴(封包)分析,從 ICMP/Ping、Traceroute 與 DNS/UDP 入手,進一步到 TCP 的可靠傳輸與序號/回應號判讀、FTP 明文帳密案例、HTTP/HTTPS 與 TLS 1.2/1.3 的握手差異、身分確認與完整性保護,澄清 HTTPS 的主要目標是身分確認與防篡改,加密只是附帶結果。<br>講師強調理論與實務應一致,若觀察到不一致多半代表網路環境或設備異常;同時說明加密普及(例如 iOS 7 之後 App | 本課程以 Wireshark 為核心,系統性導入封包擷取與分析的實作方法,說明工具定位、安裝與驅動相依、操作介面、過濾技巧與常見協定解讀,並結合實務排錯與資安應用。課程安排於 2026-03-16 的上午與下午進行:上午聚焦 Wireshark 的安裝與基礎操作、介面選取、開始/停止擷取、顯示過濾器語法、在高流量中快速聚焦目標,以及在現代作業系統下無線封包常被呈現為以太網路的原因與如何在特定條件下擷取原生 802.11 幀。下午則進入風暴(封包)分析,從 ICMP/Ping、Traceroute 與 DNS/UDP 入手,進一步到 TCP 的可靠傳輸與序號/回應號判讀、FTP 明文帳密案例、HTTP/HTTPS 與 TLS 1.2/1.3 的握手差異、身分確認與完整性保護,澄清 HTTPS 的主要目標是身分確認與防篡改,加密只是附帶結果。<br>講師強調理論與實務應一致,若觀察到不一致多半代表網路環境或設備異常;同時說明加密普及(例如 iOS 7 之後 App 強制加密)帶來的效能負擔被誤讀為「刻意變慢」。<br><br> | ||
課程另說明評分方式(線上選擇題、重理解不考死背)與晚間補充時段(約 1–1.5 小時,依當天準時情形於 18:30 或 19:00 開始),並預告後續進階議題(如在特定情境下的主動干擾/防範)可能留待課外自習與後續課程(預計 2026-05-01 至 2026-05-15 的授權觀念、Linux 操作與暴力破解示範)。 | |||
=== 工具定位、授權與生態 === | === 工具定位、授權與生態 === | ||
| 行 123: | 行 124: | ||
* 介面三區:封包列表、封包細節、位元組視圖;含功能表、工具列、過濾列、狀態列。 | * 介面三區:封包列表、封包細節、位元組視圖;含功能表、工具列、過濾列、狀態列。 | ||
* 擷取流程:有線/無線基本相似;抓取他人無線空口仍需特殊硬體支援。 | * 擷取流程:有線/無線基本相似;抓取他人無線空口仍需特殊硬體支援。 | ||
[[檔案:2026-0316-02.png|800px]] | |||
=== 企業與家用網路架構下的封包擷取策略 === | |||
* 企業常見網路拓樸與監控位置 | |||
** 描述:中小至中大型公司常見架構為各樓層各自一台Switch(如一樓、二樓、三樓Switch),上行以單一鏈路(可能為光纖)匯聚至第一機房的主要Switch;核心Switch再接防火牆,防火牆連向外部(可能為固定IP)上網。此架構便於在核心流量匯聚點部署監聽設備。 | |||
** 描述:如需擷取封包,可在匯聚至核心或防火牆前後的主幹連線上插入監控設備(如Network TAP或網路分流器),在不中斷既有拓樸的前提下複製流量至監控埠。 | |||
* 家用/中小公司環境的簡化方案 | |||
** 描述:在規模較小的環境,無需昂貴TAP,可購買低價「封包交換器/封包分析器」類設備(常見於電商平台),本質為改裝Switch,將固定紅色埠設為鏡像埠(Minori/Monitor Port),把其他埠(如4個埠)的所有流量複製到該鏡像埠。 | |||
** 描述:常見規格為5埠(偶見8埠),售價約7、800至1,000多;頻寬等級需注意,建議至少1G(也有100Mb/s版本)。限制在於鏡像埠吞吐上限(例如1G),當多個埠滿載時會遺失部分流量,因此不適合掛在企業主幹流量上。適合家中或小規模有線設備監控;若所有有線設備透過該設備上網,可觀察「總流量」。無線流量不在其範圍內,需另行處理。 | |||
=== Network TAP與流量分流設備 === | |||
* TAP/分流器的功能與查找方式 | |||
** 描述:TAP(Test Access Point/Point)是插在主流量鏈路上的專用設備,能將A↔B之間的雙向流量透明轉送,並複製一份至監控埠(monitor port)供分析。搜尋關鍵字建議使用「Network TAP」、或「網路分流器」「流量複製器」等,以找到多家廠商(臺灣、竹科公司多以外銷為主)。 | |||
** 描述:TAP的核心優勢是不需變更原有網路架構,可常態部署且不影響速度,用戶端與對外連線不易察覺。常見監控埠介面多樣,包括銅纜以太網、光纖,甚至USB可接隨身碟直接存檔。 | |||
* 介面速率與價格區間 | |||
** 描述:主幹速率等級影響設備選型與成本,例如1GbE、2.5GbE、10GbE(講者提到「100MB應該不太符合,1GB、2.5GB、10GB」;此處指GbE等級)。對應設備價格範圍約NT$50,000–80,000至十多萬不等,速率越高成本越高。 | |||
** 描述:在A/B兩端亦可能提供多種實體介面(含光纖),監控埠同樣有多樣化介面選擇,以配合不同分析端設備與存取方式。 | |||
=== 流量記錄、資安事件調查與資料保存 === | |||
* 事件調查流程與記錄必要性 | |||
** 描述:資安新聞常見聲明如「公司正在內部清查資料流向」,若有部署記錄卡或TAP等設備並保存流量,即可回溯資料外流或異常連線去向。此法依賴持續性記錄與鏡像流的妥善保存。 | |||
** 描述:資料保存有保留期限制,類似監視錄影系統存7天等,常見為3天、5天、7天循環覆寫;無效/無意義的流量亦會被複製,若未適當過濾,將造成存儲壓力與分析負擔。 | |||
* 分析端效能與穩定性 | |||
** 描述:分析主機需承載鏡像流量。講者經驗:「一般筆電可持續抓取一兩百萬(封包/秒或總量,語境指高負荷)不致異常,但再多可能導致分析軟體閃退(Crash/崩潰)」。不同軟體在高負載下穩定性差異明顯,需測試驗證。 | |||
** 描述:當上游鏡像流量很大時,需評估硬體處理能力與儲存帶寬,以免掉封或系統不穩;必要時在TAP後再接監控用Switch,彈性地把監控埠接至桌面端或專用分析機。 | |||
=== 設備部署與實務建議 === | |||
* 部署位置與連接方式 | |||
** 描述:TAP部署等同於把原本A↔B的單一鏈路剪斷後插入設備,A接TAP之A埠、B接TAP之B埠,TAP負責透明轉送與鏡像。A/B兩端對調無差別。鏡像埠(monitor port)則連至分析設備或記錄裝置。 | |||
** 描述:若公司既有拓樸已成形,且上游還有Router/Firewall,也可在既有鏈路上串接TAP或以分流器方式鏡像,不需重構整體網路。 | |||
* 成本與替代品比較 | |||
** 描述:專業TAP成本高、可長期穩定且不影響主線;低價改裝型鏡像交換器成本低、設定固定、可快速替換家用舊Switch以便即時觀察,但有頻寬瓶頸與埠數限制。若需要具備可設定鏡像埠之品牌Switch,價格通常自NT$7,000–8,000起跳,埠數更多者可達NT$10,000–20,000。 | |||
** 描述:採購時應以實際主幹速率與監控需求選型:若主幹≥1G,建議選相同或更高等級之TAP/鏡像設備;如只為家庭或小型辦公觀察,1G鏡像交換器可滿足大多數需求。 | |||
[[檔案:2026-0316-03.png|800px]] | |||
== Wireshark 使用教學 == | |||
聚焦在 Wireshark進行封包分析時為何與如何過濾,從背景雜訊來源到顯示過濾語法與介面操作,並以協定與埠號案例示範實務排查。內容先說明各類背景流量(作業系統與服務自動連線、NTP 同步、遊戲平台與通知、瀏覽器與社交平台的背景輪詢、ERP/IM 等長連線)與廣播封包(Gateway 週期性廣播、DHCP、NetBIOS/名稱服務)如何造成干擾,進而提出常見調查目標(特定協定、特定主機進出流量、特定連線、禁止網段、最高流量使用者、特定埠號如 BT 相關 4600)與排查流程(如在關鍵節點抓取、端到端 ping 8.8.8.8 線路檢驗、對外公共 IP 位置抓取分析、DNS 解析校正)。課程比較擷取過濾(Capture Filter)與顯示過濾(Display Filter)的差異:擷取過濾在開始抓取即丟棄不符封包,清爽但風險高;顯示過濾先完整擷取後再篩選,便於反覆嘗試、實務建議優先採用。並回顧現代硬體效能足以支撐顯示過濾工作。<br><br> | |||
在顯示過濾介面上,輸入列背景顏色提供即時語法判定:綠色為語法正確(即使無匹配),紅色為錯誤或未完成。示範以協定關鍵字(arp、tcp、udp、dns、http、ftp/ftp-beta)快速過濾,並以數據解讀流量比例(TCP 約 85%、UDP 約 12.2%、其餘約 10%)。強調 ARP 屬資料鏈路層,封包不含 IP/TCP/UDP,僅用於區網鄰居解析,無法直達遠端;誤用將導致協定號不匹配、標準實作無法解碼。顯示過濾語法結構為「協定.欄位 比較運算 值」,常用欄位與方向性包含 ip.addr/ip.src/ip.dst、tcp.port/tcp.srcport/tcp.dstport;運算子支援 ==、!=、>、<、>=、<=,關鍵字 eq/ne 等可互換;邏輯運算支援 and/&&、or/||、not/!。<br><br> | |||
介面提供自動補全與 Display Filter Expression Builder(Analyze → Display Filter Expression),可瀏覽協定與欄位、選擇比較與值型態並自動生成正確表達式;同時支持管理常用顯示過濾器清單(旗子選單/Manage Display Filters)與建立過濾器快速按鈕(Filter Buttons),以一鍵套用常用條件。<br><br> | |||
針對加密與非加密網頁流量的辨識,建議以埠號過濾更準確:tcp.port == 443 對應 TLS/HTTPS、tcp.port == 80 對應 HTTP;若需同時列出兩類,使用 OR(tcp.port == 443 or tcp.port == 80),避免誤用 AND 導致結果為空。偵測有人以網站上傳大量資料的示範,以同時滿足「網站」「上傳方向」「單封包大小門檻」三條件:tcp.dstport == 80 AND tcp.len > 554;下載方向則改為 tcp.srcport == 80 AND tcp.len > 554。講者提醒更嚴謹定義「大量」需累積會話封包數或總位元組,但門檻式過濾可做快速初步偵測。整體心法為「擷取先於過濾」、明確定義觀察行為再轉譯成語法,正確使用 AND/OR/NOT,並以範例練習累積熟悉度。 | |||
=== 為什麼需要封包過濾 === | |||
* 背景流量來源與干擾:系統/服務自動更新與輪詢(如 Windows 11 資訊卡、NTP 周期同步、Steam/Apex 通知)、瀏覽器/社群頁面背景輪詢、ERP/IM 等長連線。 | |||
* 廣播封包常見:Gateway 週期性廣播、DHCP 初始廣播、NetBIOS/名稱宣告與探索延遲。 | |||
* 好處:在海量封包中聚焦目標、節省時間、降低誤判、精準命中問題根因。 | |||
=== 常見調查目標與使用案例 === | |||
* 特定協定使用者識別(如 PIM)。 | |||
* 端到端故障排查:在關鍵節點抓取、檢驗到達與轉送、校正閘道或設定。 | |||
* 特定主機進出流量:在對外公共 IP 抓取,重試驗證是否抵達、路徑轉送與回覆;無封包則檢查 DNS 解析。 | |||
* 特定埠號使用狀況:如 4600/tcp 可能與 BT 相關,過濾定位來源 IP。 | |||
* 禁止網段監控:以被分配之中國 IP 網段過濾,識別違規連線。 | |||
* 區網中流量最高使用者:以 Wireshark 統計功能按來源 IP/會話識別高流量者。 | |||
=== 擷取過濾 vs 顯示過濾 === | |||
* 擷取過濾:抓取階段即套用,清爽但條件須完全正確,錯過無重來。 | |||
* 顯示過濾:先完整擷取再篩選,便於反覆嘗試;缺點是封包量較大但現代硬體可承受。 | |||
* 實務流程:先操作目標情境→開始擷取→完成操作→停止→套用顯示過濾。 | |||
=== 顯示過濾介面與語法 === | |||
* 顯示過濾列顏色:綠色為語法正確(可能無匹配)、紅色為錯誤/未完整。 | |||
* 正確範例:ip.addr == 116.214.12.74;錯誤範例:ip.addr == 192.168.520.350(數值超出 255)。 | |||
* 以協定名稱過濾:arp、tcp、udp、dns、http、ftp/ftp-beta。 | |||
* 排除與複合:not/! 排除,and/&&、or/|| 建構條件;可同時排除多類(例:!arp && !nbs)。 | |||
* 工具輔助:自動補全與 Display Filter Expression Builder,瀏覽協定欄位、生成正確語法;方向性欄位 src/dst 明確。 | |||
=== 顯示過濾語法結構與運算 === | |||
* 基本結構:協定.欄位 + 比較運算子 + 值;eq/ne 與符號可互換。 | |||
* 方向性過濾:ip.addr(任一端)、ip.src(來源)、ip.dst(目的);tcp.port、tcp.srcport、tcp.dstport。 | |||
* 邏輯運算:and/&&、or/||、not/!;字串比對可用 contains/matches(講者亦提到 XOR 稀少用)。 | |||
=== 協定特性與分析要點 === | |||
* ARP 不含 IP 層,僅區網鄰居解析,不可直達遠端;誤包裝將因協定號不匹配而無法標準解碼。 | |||
* 流量比例示例:TCP 約 85%、UDP 約 12.2%、其餘約 10%,作為即時分佈參考。 | |||
=== 加密與非加密網頁流量辨識 === | |||
* 以埠號更準確:tcp.port == 443 對應加密(TLS/HTTPS)、tcp.port == 80 對應非加密(HTTP)。 | |||
* 同時列出兩類需用 OR;誤用 AND 會無結果。典型連線來源埠為隨機、目的埠為服務埠,不可能同時為 80 與 443。 | |||
=== 偵測網站上傳/下載大量資料 === | |||
* 上傳條件示例:tcp.dstport == 80 AND tcp.len > 554。 | |||
* 下載條件示例:tcp.srcport == 80 AND tcp.len > 554。 | |||
* 方向性判斷關鍵:src/dst 代表上傳/下載方向;更嚴謹需以會話層級累積封包數或總位元組定義「大量」。 | |||
=== 管理與加速常用過濾器 === | |||
* 常用顯示過濾器清單(旗子選單/Manage Display Filters):新增/改/刪,設定 Name 與 Filter Expression,一鍵套用。 | |||
* 過濾器快速按鈕(Filter Buttons):設定 Label/Filter/Comment,按需一鍵套用;支援移除/Disable 及 Preferences 管理;Label 不宜過長以免版面擁擠。 | |||
* 實務應用:預建專案過濾器,現場快速展示重點封包,提升效率與專業形象。 | |||
[[檔案:2026-0316-04.png|800px]] | |||
=== 封包過濾概念與工具操作 === | |||
* 顯示過濾(Display Filter)與擷取過濾(Capture Filter)的差異 | |||
** 顯示過濾:先抓取封包,再對已抓到的封包套用條件,用於分析階段的視圖篩選。 | |||
** 擷取過濾:在抓取當下即套用條件,只有符合的封包會被收集與顯示;用於控制收集量並聚焦特定流量。 | |||
** 介面位置:介面上方為 Display Filter,下方為 Capture Filter;兩者位置接近且外觀相似,容易混淆。 | |||
** 語法不同:Display Filter 與 Capture Filter 使用不同語法;Capture Filter 沿用 Linux tcpdump filter 規則(如「tcp port 80」「host 8.8.8.8」「icmp」),而 Display Filter 使用工具自身語法。 | |||
* 網卡選擇與設定流程 | |||
** 一張網卡對應一組擷取過濾設定;設定前需先選定網卡,否則過濾條件可能消失或不適用。 | |||
** 操作要點:先選好介面卡(例如 Wi‑Fi),再輸入 Capture Filter;若切換網卡,先前輸入的過濾條件可能不見。 | |||
** 設定入口:可透過介面齒輪進入設定;符合 Capture Filter 的封包才會「裝進來」,不符合者不會被收集。 | |||
* 擷取過濾語法舉例與判斷 | |||
** TCP 連接埠:使用「tcp port 80」(無等號,關鍵字與參數間用空白);工具顯示綠色代表語法正確。 | |||
** 主機過濾:使用「host 8.8.8.8」過濾特定 IP 的所有往來封包。 | |||
** 協定過濾:使用「icmp」僅擷取 ICMP 封包;與「只抓 ping」效果類似,但方式(按協定 vs 按 IP)不同。 | |||
** 常見誤區:兩者語法相似但不相同,需分清位置與語法;輸入內容前務必確認已選定正確的網卡。 | |||
* 參考學習資源與延伸 | |||
** 語法來源:Capture Filter 採用 Linux 的 tcpdump filter 語法;可用關鍵字「tcpdump」「filter」檢索學習。 | |||
** 工具生態:Linux 環境常內建或可安裝 tcpdump,適合練習封包擷取與過濾。 | |||
** 額外資源:網路上(如 YouTube)有範例與教學,可學習如何將封包存檔與載入分析。 | |||
=== 高流量環境中的擷取策略與存儲風險 === | |||
* 在防火牆/閘道的應用情境 | |||
** 高流量風險:啟動擷取後封包湧入極快,可能超出電腦處理與儲存能力,導致系統卡死或需強制關閉。 | |||
** 檔案體積問題:實務上單一擷取檔可達 50G,許多電腦無法順利開啟此類大型檔案。 | |||
** 社群案例:有人上傳大容量擷取檔至網路,邀請分析以挖掘資訊,凸顯管理與分析巨量抓包檔的挑戰。 | |||
* 風險對策與最佳實務 | |||
** 優先使用擷取過濾:在高流量場合先用 Capture Filter 篩選,降低資料量,避免儲存壓力與無法開檔。 | |||
** 逐步測試:先以小範圍條件驗證再擴大,觀察右下角封包計數與是否有抓到,避免盲抓。 | |||
** 存檔與管理:封包可存檔供後續分析,但需控管檔案大小;面對無法開啟的巨量檔案,應改用更嚴格的擷取過濾或進行分段擷取。 | |||
=== 連線實驗觀察與協定行為 === | |||
* 瀏覽器連線至 TCP 80 的行為 | |||
** 現況提及:瀏覽器預設可能不再直接允許連到單純的 80(或會自動改用 80/443/80 等路徑),導致以 80 測試時出現被拒絕。 | |||
** 擷取觀察:來源 IP 10.1.0.66 對目標 10.x.x.20 發出 TCP SYN,對方回覆 RST,顯示連線被拒;瀏覽器會重試(再次 SYN),仍被 RST 拒絕。 | |||
** DNS 前置:嘗試連線前可看到 DNS 查詢流程,但本次未深入討論 DNS 細節。 | |||
** 變因說明:對端可能收到封包後選擇拒絕(回 RST),瀏覽器中間可能顯示提示或嘗試其他路徑;此細節非本次重點。 | |||
* 過濾語法與觀測對應 | |||
** 使用「tcp port 80」可聚焦 HTTP 連線封包(握手、RST 等)。 | |||
** 使用「host 8.8.8.8」可聚焦與該目標的所有協定往來。 | |||
** 使用「icmp」針對 ping 類型流量,區別於以 IP 為條件的 host 過濾。 | |||
[[檔案:2026-0316-05.png|800px]] | |||
於 2026年3月16日 (一) 07:22 的最新修訂
Protocol Analysis
本課程以 Wireshark 為核心,系統性導入封包擷取與分析的實作方法,說明工具定位、安裝與驅動相依、操作介面、過濾技巧與常見協定解讀,並結合實務排錯與資安應用。課程安排於 2026-03-16 的上午與下午進行:上午聚焦 Wireshark 的安裝與基礎操作、介面選取、開始/停止擷取、顯示過濾器語法、在高流量中快速聚焦目標,以及在現代作業系統下無線封包常被呈現為以太網路的原因與如何在特定條件下擷取原生 802.11 幀。下午則進入風暴(封包)分析,從 ICMP/Ping、Traceroute 與 DNS/UDP 入手,進一步到 TCP 的可靠傳輸與序號/回應號判讀、FTP 明文帳密案例、HTTP/HTTPS 與 TLS 1.2/1.3 的握手差異、身分確認與完整性保護,澄清 HTTPS 的主要目標是身分確認與防篡改,加密只是附帶結果。
講師強調理論與實務應一致,若觀察到不一致多半代表網路環境或設備異常;同時說明加密普及(例如 iOS 7 之後 App 強制加密)帶來的效能負擔被誤讀為「刻意變慢」。
課程另說明評分方式(線上選擇題、重理解不考死背)與晚間補充時段(約 1–1.5 小時,依當天準時情形於 18:30 或 19:00 開始),並預告後續進階議題(如在特定情境下的主動干擾/防範)可能留待課外自習與後續課程(預計 2026-05-01 至 2026-05-15 的授權觀念、Linux 操作與暴力破解示範)。
工具定位、授權與生態
- Wireshark 角色與授權
- Wireshark 是圖形化「顯示/分析封包」的自由軟體(GNU GPL),不負責擷取、破解或入侵偵測;封包若加密仍顯示為加密資料。
- 支援 Windows、Linux、macOS(BSD 亦可但少見)。
- 擷取驅動與替代工具
- 擷取需依賴 Npcap/WinPcap(現行建議 Npcap),USB 流量需 USBPcap;未安裝驅動無法擷取即時封包。
- 指令列與其他工具:TShark(CLI 版)、tcpdump(常在 Linux 擷取、Windows 上以 Wireshark 檢視)、Microsoft Network Monitor/Message Analyzer(已停更)、EtherApe、ntopng 等。
- 適用對象與實務
- 初學者:以實際封包對照協定欄位、bit 與值,建立概念。
- 網管/資安:識別 P2P/BT 流量、排查無法上網、監看可疑連線;Wireshark 不會主動告警,需自行解讀。
- 開發者與自動化:驗證應用是否真正加密、以腳本結合擷取與分析流程(較高階)。
安裝、驅動與介面操作
- 安裝流程與選項
- 官方下載 wireshark.org,Windows 10/11 安裝流程相近;可關聯 pcap/pcapng 副檔名、加入開始功能表與桌面捷徑、維持預設安裝路徑。
- 必裝 Npcap(課中提及版本 1.86);USB 流量需求者視情況裝 USBPcap。
- Npcap 進階選項建議
- 僅管理員可擷取:一般不建議勾選,否則需以管理員身分執行 Wireshark。
- 802.11 Monitor/裸幀:可嘗試勾選,但是否能抓到原生無線幀取決於網卡晶片與驅動;多數環境仍只見以太網路層。
- WinPcap API 相容:僅為支援舊工具時啟用,效能略差。
- 介面與基本驗證
- 啟動後可見 Wi‑Fi/乙太網/藍牙/USB 等介面;雙擊目標介面開始擷取,以紅色停止鍵結束。
- 確認能看到 Ethernet、IP、TCP/ICMP 等協定列,代表擷取環境正常。
- 多介面同時擷取已受支援,有助於同步比對內外流向、降低時間差造成的判讀困難。
無線擷取呈現與原生 802.11 條件
- 為何無線常呈現以太網路
- 現代 OS 驅動在上送封包至系統前,常將底層統一視為以太網路格式,故 Wireshark 中多見以太網封包而非原生 802.11。
- 擷取原生 802.11 的條件
- 需特定晶片與對應驅動、支援監聽/混雜模式;微軟預設驅動通常不允許空中監聽。
- 市售支援監聽模式之 USB 無線網卡約新台幣 700–2,000;未具條件時多只能抓到自己的流量。
擷取環境判斷、過濾與高流量定位
- 能否截取他人流量取決於拓撲、媒介與位置(有線/無線、交換式網路、SSID、廣播/單播)。
- 顯示過濾器是核心技能:在單位時間上千至數萬封包中,以條件過濾將目標呈現、無關排除;可過濾超過 251,000 個欄位。
- 多介面同步擷取可快速定位跨介面問題,如伺服器雙網卡的內外流。
協定導讀與分析方法
- ICMP/Ping 與 Traceroute
- 不僅看延遲毫秒數,需連同封包遺失等指標判讀;Traceroute 至 8.8.8.8 觀察到的仍是 ICMP(微軟實作亦然)。
- DNS 與 UDP
- DNS 不僅是名稱解析,應用與機制演進快速;以 DNS 帶出 UDP 的無連線特性與容錯(多伺服器輪詢)。
- DNS 標頭欄位多但常用子集簡單;可延伸至 DHCP、NTP 等自行練習。
- TCP 與應用
- 對比 UDP 的可靠傳輸機制;重點欄位為 Sequence Number 與 Acknowledgment Number,教導計算與電腦的邏輯。
- 以 FTP 範例帶入 TCP 行為;TFTP 與 FTP 在協定格式不同但可對照流程理解。
- HTTP 與 HTTPS(TLS)
- HTTP 與 HTTPS 機制相同,差在憑證交換與金鑰協商;TLS 1.2 常見兩種握手流程,TLS 1.3 收斂為一種。
- 核心目標為身分確認與完整性保護;中間人即便攔截封包,因無法產生正確驗證碼/編碼,接收端將驗證失敗或無法解碼。
- 憑證檢查包含名稱、有效期、簽章;不符條件瀏覽器會警示或阻擋。
- 加密普及與效能
- iOS 7 後 App 強制加密導致舊裝置加解密負載上升,可能被誤解為刻意變慢;電池老化降頻是保護機制。
實務案例與診斷思路
- P2P/BT 流量識別:於核心交換處或閘道抓包,篩選常見 Port(需查核),鎖定使用 IP 進行告知與管制。
- 上網問題排查:在 Gateway 擷取觀察封包是否送達並對外,判斷是用戶端設定(如 Gateway 錯誤)或對外路徑/防火牆問題。
- 安全情境動機:惡意行為可能以極少量封包觸發影響;即時觀測、過濾與比對對抑制風險重要。
教學與評分安排
- 線上考試為選擇題,偏重理解與辨識,不考記憶細節或陷阱題;上課口語補充不列為考題重點。
- 晚間補充課時長約 1–1.5 小時;當天準時則 18:30 開始,否則 19:00。
- 後續課程將延伸授權觀念、Linux 操作與暴力破解示範(2026-05-01 至 2026-05-15)。
學習策略與持續觀察
- 主線學正確原理,課後專挑常見錯誤情境比對;當抓包與預期不符即是問題線索。
- 在宿舍等日常環境定期觀察流量,累積對協定安全性與異常的敏感度。
- 工具介面多年演進但邏輯穩定;顏色標示、欄位解釋與位元段對應可視化有助快速理解。
封包擷取位置與目的
- 路由器下擷取:觀測對外總體流量,掌握出入行為。
- 防火牆前(外部):檢視外部攻擊或探測,偏向威脅來源監控。
- 防火牆後(內部):追蹤內部是否已有異常或入侵流量。
- 同一台分析機在不同位置擷取,觀察視角與目的不同;可延伸至負載平衡器等設備的前後比較。
有線/無線擷取與重傳判讀
- 無線(含藍牙)常見重傳:Wireshark 可能看到同內容封包重複出現,使用者多時競爭加劇、延遲與重傳增加屬正常;少量可忽略,若「大量且環境人少」則回推環境/設備問題。
- 有線(多在 Switch 下)重傳極少見:若看到重傳,通常是延遲或 ACK 未回,應優先檢視丟包、線材、埠健康與對端狀況。
- 實體環境對無線:距離、材質(鋼筋水泥衰減大;輕隔間較佳)、水體(魚缸)顯著阻擋;有線室內距離短,阻隔影響小。
無線傳輸機制與雙向限制
- CSMA/CA 與時序:發送前聆聽、協調、再傳送與 ACK;競爭造成時序差,ACK 未如期抵達即觸發重傳。
- 強訊號不等於可用:僅提高 AP 發射功率無法彌補手機/筆電回傳功率不足,可能出現「看得到連不上」。
- AP 擺位:盡量置中、減少遮蔽物;多天線/MIMO 有助提升吞吐,但仍受雙向功率與環境限制。
無線頻段、頻道與干擾
- 頻段選擇:
- 2.4G:距離遠、穿透好,適合覆蓋為主(公共場所、免費 Wi‑Fi);吞吐較低。
- 5G:距離短、吞吐高,適合小空間高 Mbps;覆蓋不足時回落 2.4G。
- 6G(Wi‑Fi 7 頻段):法規逐步開放,距離更短但吞吐上限更高。
- 頻道與自動選頻:2.4G 分多個頻道,與鄰居重疊會干擾;現代 AP 多具自動選頻,進階設定可手動調整。
- 異質干擾:微波爐、藍牙、2.4G 滑鼠等會影響 2.4G;改用 5G 可減干擾。
Wi‑Fi 標準與相容性
- 命名:由 802.11 編碼轉為 Wi‑Fi 4/5/6/6E/7。包裝標示的「兩千多/三千多」為多流理論加總,實效受 MIMO/環境/終端支援影響。
- 升級注意:AP 與終端皆需支援對應標準才能達效;舊裝置相容可能迫使降低加密強度,增加資安風險,建議以分離 SSID/VLAN 隔離舊設備。
Hub 與 Switch 機制與可見性
- Hub(半雙工、廣播):
- 所有埠共用頻寬,碰撞易發生;PC1→PC2 時 PC3/PC4 也能收到(非目標 MAC 會丟棄)。
- 擷取若見到大量與自身無關的單播,即可推斷在 Hub 下。
- 常見 4/8 埠、10/100 Mb/s;具教學與臨時診斷價值。
- Switch(全雙工、轉送):
- 依 MAC 表點對點轉送,每埠獨立頻寬;PC1→PC2 時 PC4看不到(除廣播/群播)。
- 擷取若多為自身相關與廣播封包,推斷在 Switch 下。
- 建議至少 1G(802.3ab);2.5G 需 802.3bz 支援;10G 常以光纖,需整體設備升級。
在 Switch 上抓他人封包
- 埠鏡像(SPAN/Port Mirroring):指定來源埠的進/出流量複製到目標埠,分析機可觀測 PC1↔PC2 流量。Cisco 稱 SPAN,他牌稱 Mirroring Port 等;入門家用型多不支援。
- 限制:
- 高載時快取/緩衝不足會丟包,導致擷取片段遺失。
- 交換器 CPU 負載上升影響轉發效能。
- 多數 Switch 不鏡像錯誤幀(FCS 錯誤),無法分析原端實體層錯誤。
- 採購現實:若現有 L2 Switch 無鏡像且不能更換,需採替代方案。
無鏡像環境的替代方案:舊 Hub
- 接線拓撲:分析機與目標 PC 併接同一 Hub,Hub 再上聯至 Switch;Hub 的廣播特性會將目標流量複製給分析機。
- 優點:無需更動終端、不中斷服務、架構直覺,適合短期診斷。
- 缺點:半雙工、常見僅 100 Mb/s、碰撞域擴大;不適合長期部署。
- 監看 AP 的有線側:將 AP 上行與分析機同接 Hub,再上聯 Switch,可觀察 AP 與上層間的流量(含下游裝置對外通訊摘要),但不能直接抓無線空口的端對端封包。
連網升級與頻寬協調
- 終端/交換器/路由器需一致協調:單點升級無法帶來整體提升(例:端點 500 Mb/s + Switch 100 Mb/s 仍受限 100)。
- 2.5G/10G:2.5G 成本較低但需交換器支援;10G 常需光纖模組、對應交換器與端點網卡整體升級。
協定與表頭堆疊
- OSI 與 TCP/IP 模型:需能解讀封包解析;常見表頭/協定包含 Frame、IP、TCP、UDP、ICMP、DHCP、ARP、DNS、HTTP、SNMP 等。
- 表頭堆疊:Frame→IP→TCP/UDP→應用層(如 HTTP)→資料(如圖片);理解堆疊關係是設定抓包與過濾條件的基礎。
- IP/MAC/埠號基礎:MAC 6 bytes(前 3 為 OUI),IP 屬 L3、MAC 屬 L2、埠號屬 L4;常見服務埠如 DNS 53、DHCP 67/68、FTP 20/21、HTTP 80、HTTPS 443,IP 協定號 TCP=6、UDP=17。
Wi‑Fi 擷取可行性
- 直接抓他人空口封包需無線卡與驅動支援監聽模式,設置複雜且環境受限;實務多從有線側鏡像/Hub 監看 AP 上行觀察行為。
實例:行動裝置背景連線觀察
- 相同帳號、重置的兩台手機置於相同監看環境:
- 蘋果裝置背景外聯頻率較低、呈週期喚醒確認通知後休眠。
- 華為裝置外聯頻次與連線量顯著較高(加密內容無法判讀),可作為採購/風險評估參考。
Wireshark 操作重點與實作
- 介面三區:封包列表、封包細節、位元組視圖;含功能表、工具列、過濾列、狀態列。
- 擷取流程:有線/無線基本相似;抓取他人無線空口仍需特殊硬體支援。
企業與家用網路架構下的封包擷取策略
- 企業常見網路拓樸與監控位置
- 描述:中小至中大型公司常見架構為各樓層各自一台Switch(如一樓、二樓、三樓Switch),上行以單一鏈路(可能為光纖)匯聚至第一機房的主要Switch;核心Switch再接防火牆,防火牆連向外部(可能為固定IP)上網。此架構便於在核心流量匯聚點部署監聽設備。
- 描述:如需擷取封包,可在匯聚至核心或防火牆前後的主幹連線上插入監控設備(如Network TAP或網路分流器),在不中斷既有拓樸的前提下複製流量至監控埠。
- 家用/中小公司環境的簡化方案
- 描述:在規模較小的環境,無需昂貴TAP,可購買低價「封包交換器/封包分析器」類設備(常見於電商平台),本質為改裝Switch,將固定紅色埠設為鏡像埠(Minori/Monitor Port),把其他埠(如4個埠)的所有流量複製到該鏡像埠。
- 描述:常見規格為5埠(偶見8埠),售價約7、800至1,000多;頻寬等級需注意,建議至少1G(也有100Mb/s版本)。限制在於鏡像埠吞吐上限(例如1G),當多個埠滿載時會遺失部分流量,因此不適合掛在企業主幹流量上。適合家中或小規模有線設備監控;若所有有線設備透過該設備上網,可觀察「總流量」。無線流量不在其範圍內,需另行處理。
Network TAP與流量分流設備
- TAP/分流器的功能與查找方式
- 描述:TAP(Test Access Point/Point)是插在主流量鏈路上的專用設備,能將A↔B之間的雙向流量透明轉送,並複製一份至監控埠(monitor port)供分析。搜尋關鍵字建議使用「Network TAP」、或「網路分流器」「流量複製器」等,以找到多家廠商(臺灣、竹科公司多以外銷為主)。
- 描述:TAP的核心優勢是不需變更原有網路架構,可常態部署且不影響速度,用戶端與對外連線不易察覺。常見監控埠介面多樣,包括銅纜以太網、光纖,甚至USB可接隨身碟直接存檔。
- 介面速率與價格區間
- 描述:主幹速率等級影響設備選型與成本,例如1GbE、2.5GbE、10GbE(講者提到「100MB應該不太符合,1GB、2.5GB、10GB」;此處指GbE等級)。對應設備價格範圍約NT$50,000–80,000至十多萬不等,速率越高成本越高。
- 描述:在A/B兩端亦可能提供多種實體介面(含光纖),監控埠同樣有多樣化介面選擇,以配合不同分析端設備與存取方式。
流量記錄、資安事件調查與資料保存
- 事件調查流程與記錄必要性
- 描述:資安新聞常見聲明如「公司正在內部清查資料流向」,若有部署記錄卡或TAP等設備並保存流量,即可回溯資料外流或異常連線去向。此法依賴持續性記錄與鏡像流的妥善保存。
- 描述:資料保存有保留期限制,類似監視錄影系統存7天等,常見為3天、5天、7天循環覆寫;無效/無意義的流量亦會被複製,若未適當過濾,將造成存儲壓力與分析負擔。
- 分析端效能與穩定性
- 描述:分析主機需承載鏡像流量。講者經驗:「一般筆電可持續抓取一兩百萬(封包/秒或總量,語境指高負荷)不致異常,但再多可能導致分析軟體閃退(Crash/崩潰)」。不同軟體在高負載下穩定性差異明顯,需測試驗證。
- 描述:當上游鏡像流量很大時,需評估硬體處理能力與儲存帶寬,以免掉封或系統不穩;必要時在TAP後再接監控用Switch,彈性地把監控埠接至桌面端或專用分析機。
設備部署與實務建議
- 部署位置與連接方式
- 描述:TAP部署等同於把原本A↔B的單一鏈路剪斷後插入設備,A接TAP之A埠、B接TAP之B埠,TAP負責透明轉送與鏡像。A/B兩端對調無差別。鏡像埠(monitor port)則連至分析設備或記錄裝置。
- 描述:若公司既有拓樸已成形,且上游還有Router/Firewall,也可在既有鏈路上串接TAP或以分流器方式鏡像,不需重構整體網路。
- 成本與替代品比較
- 描述:專業TAP成本高、可長期穩定且不影響主線;低價改裝型鏡像交換器成本低、設定固定、可快速替換家用舊Switch以便即時觀察,但有頻寬瓶頸與埠數限制。若需要具備可設定鏡像埠之品牌Switch,價格通常自NT$7,000–8,000起跳,埠數更多者可達NT$10,000–20,000。
- 描述:採購時應以實際主幹速率與監控需求選型:若主幹≥1G,建議選相同或更高等級之TAP/鏡像設備;如只為家庭或小型辦公觀察,1G鏡像交換器可滿足大多數需求。
Wireshark 使用教學
聚焦在 Wireshark進行封包分析時為何與如何過濾,從背景雜訊來源到顯示過濾語法與介面操作,並以協定與埠號案例示範實務排查。內容先說明各類背景流量(作業系統與服務自動連線、NTP 同步、遊戲平台與通知、瀏覽器與社交平台的背景輪詢、ERP/IM 等長連線)與廣播封包(Gateway 週期性廣播、DHCP、NetBIOS/名稱服務)如何造成干擾,進而提出常見調查目標(特定協定、特定主機進出流量、特定連線、禁止網段、最高流量使用者、特定埠號如 BT 相關 4600)與排查流程(如在關鍵節點抓取、端到端 ping 8.8.8.8 線路檢驗、對外公共 IP 位置抓取分析、DNS 解析校正)。課程比較擷取過濾(Capture Filter)與顯示過濾(Display Filter)的差異:擷取過濾在開始抓取即丟棄不符封包,清爽但風險高;顯示過濾先完整擷取後再篩選,便於反覆嘗試、實務建議優先採用。並回顧現代硬體效能足以支撐顯示過濾工作。
在顯示過濾介面上,輸入列背景顏色提供即時語法判定:綠色為語法正確(即使無匹配),紅色為錯誤或未完成。示範以協定關鍵字(arp、tcp、udp、dns、http、ftp/ftp-beta)快速過濾,並以數據解讀流量比例(TCP 約 85%、UDP 約 12.2%、其餘約 10%)。強調 ARP 屬資料鏈路層,封包不含 IP/TCP/UDP,僅用於區網鄰居解析,無法直達遠端;誤用將導致協定號不匹配、標準實作無法解碼。顯示過濾語法結構為「協定.欄位 比較運算 值」,常用欄位與方向性包含 ip.addr/ip.src/ip.dst、tcp.port/tcp.srcport/tcp.dstport;運算子支援 ==、!=、>、<、>=、<=,關鍵字 eq/ne 等可互換;邏輯運算支援 and/&&、or/||、not/!。
介面提供自動補全與 Display Filter Expression Builder(Analyze → Display Filter Expression),可瀏覽協定與欄位、選擇比較與值型態並自動生成正確表達式;同時支持管理常用顯示過濾器清單(旗子選單/Manage Display Filters)與建立過濾器快速按鈕(Filter Buttons),以一鍵套用常用條件。
針對加密與非加密網頁流量的辨識,建議以埠號過濾更準確:tcp.port == 443 對應 TLS/HTTPS、tcp.port == 80 對應 HTTP;若需同時列出兩類,使用 OR(tcp.port == 443 or tcp.port == 80),避免誤用 AND 導致結果為空。偵測有人以網站上傳大量資料的示範,以同時滿足「網站」「上傳方向」「單封包大小門檻」三條件:tcp.dstport == 80 AND tcp.len > 554;下載方向則改為 tcp.srcport == 80 AND tcp.len > 554。講者提醒更嚴謹定義「大量」需累積會話封包數或總位元組,但門檻式過濾可做快速初步偵測。整體心法為「擷取先於過濾」、明確定義觀察行為再轉譯成語法,正確使用 AND/OR/NOT,並以範例練習累積熟悉度。
為什麼需要封包過濾
- 背景流量來源與干擾:系統/服務自動更新與輪詢(如 Windows 11 資訊卡、NTP 周期同步、Steam/Apex 通知)、瀏覽器/社群頁面背景輪詢、ERP/IM 等長連線。
- 廣播封包常見:Gateway 週期性廣播、DHCP 初始廣播、NetBIOS/名稱宣告與探索延遲。
- 好處:在海量封包中聚焦目標、節省時間、降低誤判、精準命中問題根因。
常見調查目標與使用案例
- 特定協定使用者識別(如 PIM)。
- 端到端故障排查:在關鍵節點抓取、檢驗到達與轉送、校正閘道或設定。
- 特定主機進出流量:在對外公共 IP 抓取,重試驗證是否抵達、路徑轉送與回覆;無封包則檢查 DNS 解析。
- 特定埠號使用狀況:如 4600/tcp 可能與 BT 相關,過濾定位來源 IP。
- 禁止網段監控:以被分配之中國 IP 網段過濾,識別違規連線。
- 區網中流量最高使用者:以 Wireshark 統計功能按來源 IP/會話識別高流量者。
擷取過濾 vs 顯示過濾
- 擷取過濾:抓取階段即套用,清爽但條件須完全正確,錯過無重來。
- 顯示過濾:先完整擷取再篩選,便於反覆嘗試;缺點是封包量較大但現代硬體可承受。
- 實務流程:先操作目標情境→開始擷取→完成操作→停止→套用顯示過濾。
顯示過濾介面與語法
- 顯示過濾列顏色:綠色為語法正確(可能無匹配)、紅色為錯誤/未完整。
- 正確範例:ip.addr == 116.214.12.74;錯誤範例:ip.addr == 192.168.520.350(數值超出 255)。
- 以協定名稱過濾:arp、tcp、udp、dns、http、ftp/ftp-beta。
- 排除與複合:not/! 排除,and/&&、or/|| 建構條件;可同時排除多類(例:!arp && !nbs)。
- 工具輔助:自動補全與 Display Filter Expression Builder,瀏覽協定欄位、生成正確語法;方向性欄位 src/dst 明確。
顯示過濾語法結構與運算
- 基本結構:協定.欄位 + 比較運算子 + 值;eq/ne 與符號可互換。
- 方向性過濾:ip.addr(任一端)、ip.src(來源)、ip.dst(目的);tcp.port、tcp.srcport、tcp.dstport。
- 邏輯運算:and/&&、or/||、not/!;字串比對可用 contains/matches(講者亦提到 XOR 稀少用)。
協定特性與分析要點
- ARP 不含 IP 層,僅區網鄰居解析,不可直達遠端;誤包裝將因協定號不匹配而無法標準解碼。
- 流量比例示例:TCP 約 85%、UDP 約 12.2%、其餘約 10%,作為即時分佈參考。
加密與非加密網頁流量辨識
- 以埠號更準確:tcp.port == 443 對應加密(TLS/HTTPS)、tcp.port == 80 對應非加密(HTTP)。
- 同時列出兩類需用 OR;誤用 AND 會無結果。典型連線來源埠為隨機、目的埠為服務埠,不可能同時為 80 與 443。
偵測網站上傳/下載大量資料
- 上傳條件示例:tcp.dstport == 80 AND tcp.len > 554。
- 下載條件示例:tcp.srcport == 80 AND tcp.len > 554。
- 方向性判斷關鍵:src/dst 代表上傳/下載方向;更嚴謹需以會話層級累積封包數或總位元組定義「大量」。
管理與加速常用過濾器
- 常用顯示過濾器清單(旗子選單/Manage Display Filters):新增/改/刪,設定 Name 與 Filter Expression,一鍵套用。
- 過濾器快速按鈕(Filter Buttons):設定 Label/Filter/Comment,按需一鍵套用;支援移除/Disable 及 Preferences 管理;Label 不宜過長以免版面擁擠。
- 實務應用:預建專案過濾器,現場快速展示重點封包,提升效率與專業形象。
封包過濾概念與工具操作
- 顯示過濾(Display Filter)與擷取過濾(Capture Filter)的差異
- 顯示過濾:先抓取封包,再對已抓到的封包套用條件,用於分析階段的視圖篩選。
- 擷取過濾:在抓取當下即套用條件,只有符合的封包會被收集與顯示;用於控制收集量並聚焦特定流量。
- 介面位置:介面上方為 Display Filter,下方為 Capture Filter;兩者位置接近且外觀相似,容易混淆。
- 語法不同:Display Filter 與 Capture Filter 使用不同語法;Capture Filter 沿用 Linux tcpdump filter 規則(如「tcp port 80」「host 8.8.8.8」「icmp」),而 Display Filter 使用工具自身語法。
- 網卡選擇與設定流程
- 一張網卡對應一組擷取過濾設定;設定前需先選定網卡,否則過濾條件可能消失或不適用。
- 操作要點:先選好介面卡(例如 Wi‑Fi),再輸入 Capture Filter;若切換網卡,先前輸入的過濾條件可能不見。
- 設定入口:可透過介面齒輪進入設定;符合 Capture Filter 的封包才會「裝進來」,不符合者不會被收集。
- 擷取過濾語法舉例與判斷
- TCP 連接埠:使用「tcp port 80」(無等號,關鍵字與參數間用空白);工具顯示綠色代表語法正確。
- 主機過濾:使用「host 8.8.8.8」過濾特定 IP 的所有往來封包。
- 協定過濾:使用「icmp」僅擷取 ICMP 封包;與「只抓 ping」效果類似,但方式(按協定 vs 按 IP)不同。
- 常見誤區:兩者語法相似但不相同,需分清位置與語法;輸入內容前務必確認已選定正確的網卡。
- 參考學習資源與延伸
- 語法來源:Capture Filter 採用 Linux 的 tcpdump filter 語法;可用關鍵字「tcpdump」「filter」檢索學習。
- 工具生態:Linux 環境常內建或可安裝 tcpdump,適合練習封包擷取與過濾。
- 額外資源:網路上(如 YouTube)有範例與教學,可學習如何將封包存檔與載入分析。
高流量環境中的擷取策略與存儲風險
- 在防火牆/閘道的應用情境
- 高流量風險:啟動擷取後封包湧入極快,可能超出電腦處理與儲存能力,導致系統卡死或需強制關閉。
- 檔案體積問題:實務上單一擷取檔可達 50G,許多電腦無法順利開啟此類大型檔案。
- 社群案例:有人上傳大容量擷取檔至網路,邀請分析以挖掘資訊,凸顯管理與分析巨量抓包檔的挑戰。
- 風險對策與最佳實務
- 優先使用擷取過濾:在高流量場合先用 Capture Filter 篩選,降低資料量,避免儲存壓力與無法開檔。
- 逐步測試:先以小範圍條件驗證再擴大,觀察右下角封包計數與是否有抓到,避免盲抓。
- 存檔與管理:封包可存檔供後續分析,但需控管檔案大小;面對無法開啟的巨量檔案,應改用更嚴格的擷取過濾或進行分段擷取。
連線實驗觀察與協定行為
- 瀏覽器連線至 TCP 80 的行為
- 現況提及:瀏覽器預設可能不再直接允許連到單純的 80(或會自動改用 80/443/80 等路徑),導致以 80 測試時出現被拒絕。
- 擷取觀察:來源 IP 10.1.0.66 對目標 10.x.x.20 發出 TCP SYN,對方回覆 RST,顯示連線被拒;瀏覽器會重試(再次 SYN),仍被 RST 拒絕。
- DNS 前置:嘗試連線前可看到 DNS 查詢流程,但本次未深入討論 DNS 細節。
- 變因說明:對端可能收到封包後選擇拒絕(回 RST),瀏覽器中間可能顯示提示或嘗試其他路徑;此細節非本次重點。
- 過濾語法與觀測對應
- 使用「tcp port 80」可聚焦 HTTP 連線封包(握手、RST 等)。
- 使用「host 8.8.8.8」可聚焦與該目標的所有協定往來。
- 使用「icmp」針對 ping 類型流量,區別於以 IP 為條件的 host 過濾。
