緯育 2026-0314

Protocol Analysis

本課程以 Wireshark 為核心，系統性導入封包擷取與分析的實作方法，說明工具定位、安裝與驅動相依、操作介面、過濾技巧與常見協定解讀，並結合實務排錯與資安應用。課程安排於 2026-03-16 的上午與下午進行：上午聚焦 Wireshark 的安裝與基礎操作、介面選取、開始/停止擷取、顯示過濾器語法、在高流量中快速聚焦目標，以及在現代作業系統下無線封包常被呈現為以太網路的原因與如何在特定條件下擷取原生 802.11 幀。下午則進入風暴（封包）分析，從 ICMP/Ping、Traceroute 與 DNS/UDP 入手，進一步到 TCP 的可靠傳輸與序號/回應號判讀、FTP 明文帳密案例、HTTP/HTTPS 與 TLS 1.2/1.3 的握手差異、身分確認與完整性保護，澄清 HTTPS 的主要目標是身分確認與防篡改，加密只是附帶結果。
講師強調理論與實務應一致，若觀察到不一致多半代表網路環境或設備異常；同時說明加密普及（例如 iOS 7 之後 App 強制加密）帶來的效能負擔被誤讀為「刻意變慢」。課程另說明評分方式（線上選擇題、重理解不考死背）與晚間補充時段（約 1–1.5 小時，依當天準時情形於 18:30 或 19:00 開始），並預告後續進階議題（如在特定情境下的主動干擾/防範）可能留待課外自習與後續課程（預計 2026-05-01 至 2026-05-15 的授權觀念、Linux 操作與暴力破解示範）。

工具定位、授權與生態

• Wireshark 角色與授權
  • Wireshark 是圖形化「顯示/分析封包」的自由軟體（GNU GPL），不負責擷取、破解或入侵偵測；封包若加密仍顯示為加密資料。
  • 支援 Windows、Linux、macOS（BSD 亦可但少見）。
• 擷取驅動與替代工具
  • 擷取需依賴 Npcap/WinPcap（現行建議 Npcap），USB 流量需 USBPcap；未安裝驅動無法擷取即時封包。
  • 指令列與其他工具：TShark（CLI 版）、tcpdump（常在 Linux 擷取、Windows 上以 Wireshark 檢視）、Microsoft Network Monitor/Message Analyzer（已停更）、EtherApe、ntopng 等。
• 適用對象與實務
  • 初學者：以實際封包對照協定欄位、bit 與值，建立概念。
  • 網管/資安：識別 P2P/BT 流量、排查無法上網、監看可疑連線；Wireshark 不會主動告警，需自行解讀。
  • 開發者與自動化：驗證應用是否真正加密、以腳本結合擷取與分析流程（較高階）。

安裝、驅動與介面操作

• 安裝流程與選項
  • 官方下載 wireshark.org，Windows 10/11 安裝流程相近；可關聯 pcap/pcapng 副檔名、加入開始功能表與桌面捷徑、維持預設安裝路徑。
  • 必裝 Npcap（課中提及版本 1.86）；USB 流量需求者視情況裝 USBPcap。
• Npcap 進階選項建議
  • 僅管理員可擷取：一般不建議勾選，否則需以管理員身分執行 Wireshark。
  • 802.11 Monitor/裸幀：可嘗試勾選，但是否能抓到原生無線幀取決於網卡晶片與驅動；多數環境仍只見以太網路層。
  • WinPcap API 相容：僅為支援舊工具時啟用，效能略差。
• 介面與基本驗證
  • 啟動後可見 Wi‑Fi/乙太網/藍牙/USB 等介面；雙擊目標介面開始擷取，以紅色停止鍵結束。
  • 確認能看到 Ethernet、IP、TCP/ICMP 等協定列，代表擷取環境正常。
  • 多介面同時擷取已受支援，有助於同步比對內外流向、降低時間差造成的判讀困難。

無線擷取呈現與原生 802.11 條件

• 為何無線常呈現以太網路
  • 現代 OS 驅動在上送封包至系統前，常將底層統一視為以太網路格式，故 Wireshark 中多見以太網封包而非原生 802.11。
• 擷取原生 802.11 的條件
  • 需特定晶片與對應驅動、支援監聽/混雜模式；微軟預設驅動通常不允許空中監聽。
  • 市售支援監聽模式之 USB 無線網卡約新台幣 700–2,000；未具條件時多只能抓到自己的流量。

擷取環境判斷、過濾與高流量定位

• 能否截取他人流量取決於拓撲、媒介與位置（有線/無線、交換式網路、SSID、廣播/單播）。
• 顯示過濾器是核心技能：在單位時間上千至數萬封包中，以條件過濾將目標呈現、無關排除；可過濾超過 251,000 個欄位。
• 多介面同步擷取可快速定位跨介面問題，如伺服器雙網卡的內外流。

協定導讀與分析方法

• ICMP/Ping 與 Traceroute
  • 不僅看延遲毫秒數，需連同封包遺失等指標判讀；Traceroute 至 8.8.8.8 觀察到的仍是 ICMP（微軟實作亦然）。
• DNS 與 UDP
  • DNS 不僅是名稱解析，應用與機制演進快速；以 DNS 帶出 UDP 的無連線特性與容錯（多伺服器輪詢）。
  • DNS 標頭欄位多但常用子集簡單；可延伸至 DHCP、NTP 等自行練習。
• TCP 與應用
  • 對比 UDP 的可靠傳輸機制；重點欄位為 Sequence Number 與 Acknowledgment Number，教導計算與電腦的邏輯。
  • 以 FTP 範例帶入 TCP 行為；TFTP 與 FTP 在協定格式不同但可對照流程理解。
• HTTP 與 HTTPS（TLS）
  • HTTP 與 HTTPS 機制相同，差在憑證交換與金鑰協商；TLS 1.2 常見兩種握手流程，TLS 1.3 收斂為一種。
  • 核心目標為身分確認與完整性保護；中間人即便攔截封包，因無法產生正確驗證碼/編碼，接收端將驗證失敗或無法解碼。
  • 憑證檢查包含名稱、有效期、簽章；不符條件瀏覽器會警示或阻擋。
• 加密普及與效能
  • iOS 7 後 App 強制加密導致舊裝置加解密負載上升，可能被誤解為刻意變慢；電池老化降頻是保護機制。

實務案例與診斷思路

• P2P/BT 流量識別：於核心交換處或閘道抓包，篩選常見 Port（需查核），鎖定使用 IP 進行告知與管制。
• 上網問題排查：在 Gateway 擷取觀察封包是否送達並對外，判斷是用戶端設定（如 Gateway 錯誤）或對外路徑/防火牆問題。
• 安全情境動機：惡意行為可能以極少量封包觸發影響；即時觀測、過濾與比對對抑制風險重要。

教學與評分安排

• 線上考試為選擇題，偏重理解與辨識，不考記憶細節或陷阱題；上課口語補充不列為考題重點。
• 晚間補充課時長約 1–1.5 小時；當天準時則 18:30 開始，否則 19:00。
• 後續課程將延伸授權觀念、Linux 操作與暴力破解示範（2026-05-01 至 2026-05-15）。

學習策略與持續觀察

• 主線學正確原理，課後專挑常見錯誤情境比對；當抓包與預期不符即是問題線索。
• 在宿舍等日常環境定期觀察流量，累積對協定安全性與異常的敏感度。
• 工具介面多年演進但邏輯穩定；顏色標示、欄位解釋與位元段對應可視化有助快速理解。