「緯育 2026-0314」修訂間的差異

Protocol Analysis

本課程以 Wireshark 為核心，系統性導入封包擷取與分析的實作方法，說明工具定位、安裝與驅動相依、操作介面、過濾技巧與常見協定解讀，並結合實務排錯與資安應用。課程安排於 2026-03-16 的上午與下午進行：上午聚焦 Wireshark 的安裝與基礎操作、介面選取、開始/停止擷取、顯示過濾器語法、在高流量中快速聚焦目標，以及在現代作業系統下無線封包常被呈現為以太網路的原因與如何在特定條件下擷取原生 802.11 幀。下午則進入風暴（封包）分析，從 ICMP/Ping、Traceroute 與 DNS/UDP 入手，進一步到 TCP 的可靠傳輸與序號/回應號判讀、FTP 明文帳密案例、HTTP/HTTPS 與 TLS 1.2/1.3 的握手差異、身分確認與完整性保護，澄清 HTTPS 的主要目標是身分確認與防篡改，加密只是附帶結果。
講師強調理論與實務應一致，若觀察到不一致多半代表網路環境或設備異常；同時說明加密普及（例如 iOS 7 之後 App 強制加密）帶來的效能負擔被誤讀為「刻意變慢」。

課程另說明評分方式（線上選擇題、重理解不考死背）與晚間補充時段（約 1–1.5 小時，依當天準時情形於 18:30 或 19:00 開始），並預告後續進階議題（如在特定情境下的主動干擾/防範）可能留待課外自習與後續課程（預計 2026-05-01 至 2026-05-15 的授權觀念、Linux 操作與暴力破解示範）。

工具定位、授權與生態

• Wireshark 角色與授權
  • Wireshark 是圖形化「顯示/分析封包」的自由軟體（GNU GPL），不負責擷取、破解或入侵偵測；封包若加密仍顯示為加密資料。
  • 支援 Windows、Linux、macOS（BSD 亦可但少見）。
• 擷取驅動與替代工具
  • 擷取需依賴 Npcap/WinPcap（現行建議 Npcap），USB 流量需 USBPcap；未安裝驅動無法擷取即時封包。
  • 指令列與其他工具：TShark（CLI 版）、tcpdump（常在 Linux 擷取、Windows 上以 Wireshark 檢視）、Microsoft Network Monitor/Message Analyzer（已停更）、EtherApe、ntopng 等。
• 適用對象與實務
  • 初學者：以實際封包對照協定欄位、bit 與值，建立概念。
  • 網管/資安：識別 P2P/BT 流量、排查無法上網、監看可疑連線；Wireshark 不會主動告警，需自行解讀。
  • 開發者與自動化：驗證應用是否真正加密、以腳本結合擷取與分析流程（較高階）。

安裝、驅動與介面操作

• 安裝流程與選項
  • 官方下載 wireshark.org，Windows 10/11 安裝流程相近；可關聯 pcap/pcapng 副檔名、加入開始功能表與桌面捷徑、維持預設安裝路徑。
  • 必裝 Npcap（課中提及版本 1.86）；USB 流量需求者視情況裝 USBPcap。
• Npcap 進階選項建議
  • 僅管理員可擷取：一般不建議勾選，否則需以管理員身分執行 Wireshark。
  • 802.11 Monitor/裸幀：可嘗試勾選，但是否能抓到原生無線幀取決於網卡晶片與驅動；多數環境仍只見以太網路層。
  • WinPcap API 相容：僅為支援舊工具時啟用，效能略差。
• 介面與基本驗證
  • 啟動後可見 Wi‑Fi/乙太網/藍牙/USB 等介面；雙擊目標介面開始擷取，以紅色停止鍵結束。
  • 確認能看到 Ethernet、IP、TCP/ICMP 等協定列，代表擷取環境正常。
  • 多介面同時擷取已受支援，有助於同步比對內外流向、降低時間差造成的判讀困難。

無線擷取呈現與原生 802.11 條件

• 為何無線常呈現以太網路
  • 現代 OS 驅動在上送封包至系統前，常將底層統一視為以太網路格式，故 Wireshark 中多見以太網封包而非原生 802.11。
• 擷取原生 802.11 的條件
  • 需特定晶片與對應驅動、支援監聽/混雜模式；微軟預設驅動通常不允許空中監聽。
  • 市售支援監聽模式之 USB 無線網卡約新台幣 700–2,000；未具條件時多只能抓到自己的流量。

擷取環境判斷、過濾與高流量定位

• 能否截取他人流量取決於拓撲、媒介與位置（有線/無線、交換式網路、SSID、廣播/單播）。
• 顯示過濾器是核心技能：在單位時間上千至數萬封包中，以條件過濾將目標呈現、無關排除；可過濾超過 251,000 個欄位。
• 多介面同步擷取可快速定位跨介面問題，如伺服器雙網卡的內外流。

協定導讀與分析方法

• ICMP/Ping 與 Traceroute
  • 不僅看延遲毫秒數，需連同封包遺失等指標判讀；Traceroute 至 8.8.8.8 觀察到的仍是 ICMP（微軟實作亦然）。
• DNS 與 UDP
  • DNS 不僅是名稱解析，應用與機制演進快速；以 DNS 帶出 UDP 的無連線特性與容錯（多伺服器輪詢）。
  • DNS 標頭欄位多但常用子集簡單；可延伸至 DHCP、NTP 等自行練習。
• TCP 與應用
  • 對比 UDP 的可靠傳輸機制；重點欄位為 Sequence Number 與 Acknowledgment Number，教導計算與電腦的邏輯。
  • 以 FTP 範例帶入 TCP 行為；TFTP 與 FTP 在協定格式不同但可對照流程理解。
• HTTP 與 HTTPS（TLS）
  • HTTP 與 HTTPS 機制相同，差在憑證交換與金鑰協商；TLS 1.2 常見兩種握手流程，TLS 1.3 收斂為一種。
  • 核心目標為身分確認與完整性保護；中間人即便攔截封包，因無法產生正確驗證碼/編碼，接收端將驗證失敗或無法解碼。
  • 憑證檢查包含名稱、有效期、簽章；不符條件瀏覽器會警示或阻擋。
• 加密普及與效能
  • iOS 7 後 App 強制加密導致舊裝置加解密負載上升，可能被誤解為刻意變慢；電池老化降頻是保護機制。

實務案例與診斷思路

• P2P/BT 流量識別：於核心交換處或閘道抓包，篩選常見 Port（需查核），鎖定使用 IP 進行告知與管制。
• 上網問題排查：在 Gateway 擷取觀察封包是否送達並對外，判斷是用戶端設定（如 Gateway 錯誤）或對外路徑/防火牆問題。
• 安全情境動機：惡意行為可能以極少量封包觸發影響；即時觀測、過濾與比對對抑制風險重要。

教學與評分安排

• 線上考試為選擇題，偏重理解與辨識，不考記憶細節或陷阱題；上課口語補充不列為考題重點。
• 晚間補充課時長約 1–1.5 小時；當天準時則 18:30 開始，否則 19:00。
• 後續課程將延伸授權觀念、Linux 操作與暴力破解示範（2026-05-01 至 2026-05-15）。

學習策略與持續觀察

• 主線學正確原理，課後專挑常見錯誤情境比對；當抓包與預期不符即是問題線索。
• 在宿舍等日常環境定期觀察流量，累積對協定安全性與異常的敏感度。
• 工具介面多年演進但邏輯穩定；顏色標示、欄位解釋與位元段對應可視化有助快速理解。

封包擷取位置與目的

• 路由器下擷取：觀測對外總體流量，掌握出入行為。
• 防火牆前（外部）：檢視外部攻擊或探測，偏向威脅來源監控。
• 防火牆後（內部）：追蹤內部是否已有異常或入侵流量。
• 同一台分析機在不同位置擷取，觀察視角與目的不同；可延伸至負載平衡器等設備的前後比較。

有線/無線擷取與重傳判讀

• 無線（含藍牙）常見重傳：Wireshark 可能看到同內容封包重複出現，使用者多時競爭加劇、延遲與重傳增加屬正常；少量可忽略，若「大量且環境人少」則回推環境/設備問題。
• 有線（多在 Switch 下）重傳極少見：若看到重傳，通常是延遲或 ACK 未回，應優先檢視丟包、線材、埠健康與對端狀況。
• 實體環境對無線：距離、材質（鋼筋水泥衰減大；輕隔間較佳）、水體（魚缸）顯著阻擋；有線室內距離短，阻隔影響小。

無線傳輸機制與雙向限制

• CSMA/CA 與時序：發送前聆聽、協調、再傳送與 ACK；競爭造成時序差，ACK 未如期抵達即觸發重傳。
• 強訊號不等於可用：僅提高 AP 發射功率無法彌補手機/筆電回傳功率不足，可能出現「看得到連不上」。
• AP 擺位：盡量置中、減少遮蔽物；多天線/MIMO 有助提升吞吐，但仍受雙向功率與環境限制。

無線頻段、頻道與干擾

• 頻段選擇：
  • 2.4G：距離遠、穿透好，適合覆蓋為主（公共場所、免費 Wi‑Fi）；吞吐較低。
  • 5G：距離短、吞吐高，適合小空間高 Mbps；覆蓋不足時回落 2.4G。
  • 6G（Wi‑Fi 7 頻段）：法規逐步開放，距離更短但吞吐上限更高。
• 頻道與自動選頻：2.4G 分多個頻道，與鄰居重疊會干擾；現代 AP 多具自動選頻，進階設定可手動調整。
• 異質干擾：微波爐、藍牙、2.4G 滑鼠等會影響 2.4G；改用 5G 可減干擾。

Wi‑Fi 標準與相容性

• 命名：由 802.11 編碼轉為 Wi‑Fi 4/5/6/6E/7。包裝標示的「兩千多/三千多」為多流理論加總，實效受 MIMO/環境/終端支援影響。
• 升級注意：AP 與終端皆需支援對應標準才能達效；舊裝置相容可能迫使降低加密強度，增加資安風險，建議以分離 SSID/VLAN 隔離舊設備。

Hub 與 Switch 機制與可見性

• Hub（半雙工、廣播）：
  • 所有埠共用頻寬，碰撞易發生；PC1→PC2 時 PC3/PC4 也能收到（非目標 MAC 會丟棄）。
  • 擷取若見到大量與自身無關的單播，即可推斷在 Hub 下。
  • 常見 4/8 埠、10/100 Mb/s；具教學與臨時診斷價值。
• Switch（全雙工、轉送）：
  • 依 MAC 表點對點轉送，每埠獨立頻寬；PC1→PC2 時 PC4看不到（除廣播/群播）。
  • 擷取若多為自身相關與廣播封包，推斷在 Switch 下。
  • 建議至少 1G（802.3ab）；2.5G 需 802.3bz 支援；10G 常以光纖，需整體設備升級。

在 Switch 上抓他人封包

• 埠鏡像（SPAN/Port Mirroring）：指定來源埠的進/出流量複製到目標埠，分析機可觀測 PC1↔PC2 流量。Cisco 稱 SPAN，他牌稱 Mirroring Port 等；入門家用型多不支援。
• 限制：
  • 高載時快取/緩衝不足會丟包，導致擷取片段遺失。
  • 交換器 CPU 負載上升影響轉發效能。
  • 多數 Switch 不鏡像錯誤幀（FCS 錯誤），無法分析原端實體層錯誤。
• 採購現實：若現有 L2 Switch 無鏡像且不能更換，需採替代方案。

無鏡像環境的替代方案：舊 Hub

• 接線拓撲：分析機與目標 PC 併接同一 Hub，Hub 再上聯至 Switch；Hub 的廣播特性會將目標流量複製給分析機。
• 優點：無需更動終端、不中斷服務、架構直覺，適合短期診斷。
• 缺點：半雙工、常見僅 100 Mb/s、碰撞域擴大；不適合長期部署。
• 監看 AP 的有線側：將 AP 上行與分析機同接 Hub，再上聯 Switch，可觀察 AP 與上層間的流量（含下游裝置對外通訊摘要），但不能直接抓無線空口的端對端封包。

連網升級與頻寬協調

• 終端/交換器/路由器需一致協調：單點升級無法帶來整體提升（例：端點 500 Mb/s + Switch 100 Mb/s 仍受限 100）。
• 2.5G/10G：2.5G 成本較低但需交換器支援；10G 常需光纖模組、對應交換器與端點網卡整體升級。

協定與表頭堆疊

• OSI 與 TCP/IP 模型：需能解讀封包解析；常見表頭/協定包含 Frame、IP、TCP、UDP、ICMP、DHCP、ARP、DNS、HTTP、SNMP 等。
• 表頭堆疊：Frame→IP→TCP/UDP→應用層（如 HTTP）→資料（如圖片）；理解堆疊關係是設定抓包與過濾條件的基礎。
• IP/MAC/埠號基礎：MAC 6 bytes（前 3 為 OUI），IP 屬 L3、MAC 屬 L2、埠號屬 L4；常見服務埠如 DNS 53、DHCP 67/68、FTP 20/21、HTTP 80、HTTPS 443，IP 協定號 TCP=6、UDP=17。

Wi‑Fi 擷取可行性

• 直接抓他人空口封包需無線卡與驅動支援監聽模式，設置複雜且環境受限；實務多從有線側鏡像/Hub 監看 AP 上行觀察行為。

實例：行動裝置背景連線觀察

• 相同帳號、重置的兩台手機置於相同監看環境：
  • 蘋果裝置背景外聯頻率較低、呈週期喚醒確認通知後休眠。
  • 華為裝置外聯頻次與連線量顯著較高（加密內容無法判讀），可作為採購/風險評估參考。

Wireshark 操作重點與實作

• 介面三區：封包列表、封包細節、位元組視圖；含功能表、工具列、過濾列、狀態列。
• 擷取流程：有線/無線基本相似；抓取他人無線空口仍需特殊硬體支援。