适用场景:日常网络排障 / 护网行动流量分析 / 渗透测试辅助 / 安全审计
工具版本:Wireshark 4.x(所有下列协议均原生支持解析)
一、数据链路层(二层)
局域网内设备间的帧传输与物理寻址,是所有上层协议的底层载体。
| 协议 | 核心特点 | 典型用途 |
|---|---|---|
| Ethernet | 最主流有线局域网协议,基于 MAC 地址寻址,支持单播 / 组播 / 广播,兼容性极强 | 家庭 / 企业有线网络底层传输 |
| ARP / RARP | 实现 IP 与 MAC 地址的互相映射,明文广播传输,无认证机制 | 局域网设备通信、排查 IP 冲突、检测 ARP 欺骗攻击 |
| 802.11 (WiFi) | 无线局域网标准,包含管理 / 控制 / 数据三类帧,支持 WPA2 / WPA3 加密 | WiFi 网络抓包、排查无线掉线 / 信号干扰 |
| PPPoE | 以太网上的点对点协议,支持身份认证与加密 | 家庭宽带拨号上网、运营商专线接入 |
⚠️ 护网关注点: ARP 无认证的特性使其成为局域网内中间人攻击(ARP 欺骗)的常见入口,护网期间应重点监控异常 ARP 广播风暴。
二、网络层(三层)
负责跨网段的全局寻址与路由转发,实现端到端的跨网络通信。
| 协议 | 核心特点 | 典型用途 |
|---|---|---|
| IPv4 / IPv6 | 互联网核心协议,基于 IP 地址全局寻址;IPv4 为 32 位(当前主流),IPv6 为 128 位(解决地址枯竭问题) | 所有互联网通信的基础 |
| ICMP / ICMPv6 | 无连接控制消息协议,封装于 IP 包内,用于差错报告与网络探测 | ping 连通性测试、traceroute 路由追踪、排查丢包 / 延迟 |
| OSPF / BGP | 动态路由协议:OSPF 用于内网自治系统,BGP 用于全球互联网骨干网 | 企业 / 运营商路由配置,排查路由环路 / 不可达 |
⚠️ 护网关注点: ICMP 常被用于隐蔽信道(ICMP Tunnel),护网期间需关注异常大包或高频 ICMP 流量;BGP 劫持可导致流量被重定向。
三、传输层(四层)
负责端到端的通信控制与端口寻址,区分同一设备上的不同应用进程。
| 协议 | 核心特点 | 典型用途 |
|---|---|---|
| TCP | 面向连接、可靠传输,三次握手建立连接,支持确认重传 / 拥塞控制 / 流量控制 | HTTP/HTTPS、SSH、数据库通信等需要可靠性的场景 |
| UDP | 无连接、不可靠传输,无握手 / 重传机制,延迟极低、开销极小 | DNS、视频直播、游戏、语音通话、QUIC 底层传输 |
| SCTP | 面向消息、多流并行、多宿主支持,兼顾 TCP 可靠性与 UDP 低延迟 | 5G 信令、金融交易、工控系统等高可用场景 |
⚠️ 护网关注点: TCP SYN Flood 是最常见的 DDoS 手段;UDP 常被用于流量放大攻击(DNS / NTP 放大);大量 SYN_SENT 半连接状态需重点排查。
四、应用层(七层)
直接承载用户业务数据,是抓包分析业务问题与安全事件的核心层。
4.1 核心 Web 与加密协议(抓包高频)
| 协议 | 核心特点 | 典型用途 |
|---|---|---|
| HTTP/1.1 / 2 / 3 | 超文本传输协议:1.1 为文本格式串行传输;2 为二进制多路复用;3 基于 QUIC 无队头阻塞 | 网页浏览、APP / 小程序接口调用 |
| TLS 1.2 / 1.3 | 传输层安全协议,实现数据加密、身份认证、完整性校验;TLS 1.3 握手更快、安全性更强 | HTTPS 加密、邮件、VPN、金融接口等一切安全通信 |
| QUIC | 基于 UDP + TLS 1.3,内置 0-RTT / 1-RTT 快速握手,支持连接迁移、抗丢包 | HTTP/3、短视频 / 直播、移动端 APP |
| SOCKS5 / SOCKS4 | 传输层代理协议:SOCKS5 支持 TCP/UDP、认证、IPv6;SOCKS4 仅支持 TCP | 代理穿透、内网横移、游戏加速 |
| HTTPS 代理 | 基于 HTTP CONNECT 方法建立隧道,兼容性好,主要代理 HTTPS / TCP 流量 | 企业内网代理、Burp / Charles / Fiddler 抓包 |
4.2 通用基础协议
| 协议 | 核心特点 | 典型用途 |
|---|---|---|
| DNS | 域名解析协议,默认 UDP 53 端口,大报文走 TCP | 域名与 IP 互转,排查解析失败 / DNS 劫持 |
| DHCP | 动态主机配置协议,基于 UDP,自动分配 IP / 网关 / DNS | 局域网设备自动获取网络配置 |
| SSH | 加密远程管理协议,基于 TCP 22 端口,替代明文 Telnet | 服务器安全登录、SFTP 加密文件传输 |
| FTP / SFTP | 文件传输协议:FTP 明文传输,SFTP 基于 SSH 加密 | 服务器文件上传下载、数据备份 |
| NTP | 网络时间协议,基于 UDP 123 端口,实现高精度时间同步 | 服务器 / 设备时间校准 |
| SMTP / POP3 / IMAP | 邮件协议三件套:SMTP 发信,POP3 / IMAP 收信 | 企业 / 个人电子邮件收发 |
4.3 内网与远程办公协议
| 协议 | 核心特点 | 典型用途 |
|---|---|---|
| RDP | Windows 远程桌面协议,默认 TCP 3389 端口,支持加密与外设重定向 | Windows 设备图形化远程管理 |
| SMB / CIFS | Windows 文件共享协议,默认 TCP 445 端口 | 局域网文件 / 打印机共享 |
⚠️ 护网关注点: RDP 3389 和 SMB 445 是护网期间最高频的攻击入口,永恒之蓝(EternalBlue)即利用 SMB 漏洞传播,应重点监控这两个端口的异常连接。
五、专用扩展协议
| 类别 | 代表协议 | 核心用途 |
|---|---|---|
| VPN 隧道 | IPSec、OpenVPN、WireGuard | 加密跨网隧道通信,排查 VPN 连接故障 |
| 数据库 | MySQL、PostgreSQL、Redis | 数据库通信抓包,排查慢查询 / 连接超时 |
| 物联网 | MQTT、CoAP | 智能家居 / 传感器设备通信,低功耗适配 |
| 流媒体 | RTP / RTMP / SIP | 视频会议、直播、监控,排查卡顿 / 花屏 |
| 工控 | Modbus、S7、Profinet | 工业设备通信,工控安全审计与故障排查 |
六、关键注意事项
6.1 加密协议解析限制
TLS / QUIC / SSH 等加密协议默认仅能解析握手阶段,无法查看加密后的业务数据。
解密方式:
- 浏览器流量:配置
SSLKEYLOGFILE环境变量,将会话密钥导出后在 Wireshark 中加载 - 自签证书应用:导入私钥至 Wireshark(
编辑 → 首选项 → Protocols → TLS) - QUIC:同样依赖 SSLKEYLOG,需 Wireshark 4.0+ 版本支持
6.2 三种代理协议对比
| 维度 | SOCKS5 | SOCKS4 | HTTPS 代理 |
|---|---|---|---|
| 传输层支持 | TCP + UDP | 仅 TCP | 仅 TCP |
| 认证支持 | ✅ | ❌ | ✅(Basic Auth) |
| IPv6 支持 | ✅ | ❌ | ✅ |
| 适用场景 | 游戏 / 穿透 / 通用 | 逐步淘汰 | 网页 / 抓包工具 |
6.3 护网抓包优先级建议
高优先级监控端口:
445 (SMB) → 勒索软件 / 横向移动
3389 (RDP) → 暴力破解 / 远程入侵
53 (DNS) → DNS 隧道 / 劫持
80/443 (HTTP/S) → Web 攻击 / C2 通信
22 (SSH) → 暴力破解 / 后门连接
异常流量特征:
· 单 IP 高频 SYN(端口扫描)
· 大量 ICMP 大包(隐蔽信道)
· 非常规端口的加密流量(C2 隐匿)
· 内网设备主动外联陌生 IP