資料包分析

TTL(Time To Live): 存活時間，定義了在該資料包被丟棄之前，所能經歷的時間，或者能夠經過的最大路由數目。ttl在資料包建立時就會被定義，而且通常在每次被髮往一個路由器的時候減1。

TCP三次握手建立連線： A->B: SYN , B->A: SYN/ACK, A->B:ACK
TCP四次握手終止連線： A->B: FIN/ACK, B->A: ACK, B->A: FIN/ACK, A->B: ACK

TCP是為了滿足帶有內在錯誤檢測的可靠資料傳輸，UDP主要是為了提供高速的傳輸，不保證傳輸的可靠性。
UDP(User Datagram Protocol): 使用者資料包協議，無連線協議，沒有正式地建立和結束主機之間的連線。
DNS協議架構於UDP上，而TCP架構在IP之上。
DNS將name解析為一個ip地址 IPv4: “A” 記錄 / IPv6: “AAAA”記錄

七層OSI參考模型：  協議                                                      作用                                                                           工作裝置
應用層                    HTTP, SMTP, FTP, Telnet
表示層                    ASCII, MPEG, JPEG, MIDI
會話層                    NetBIOS, SAP, SDP, NWLink
傳輸層                    TCP, UDP, SPX                                         確保網路資料端到端的無差錯傳輸                                 防火牆，代理伺服器
網路層                    IP, IPX                                                    網路主機的邏輯定址(IP)，處理資料包分片，錯誤檢測     路由器
資料鏈路層              Ethernet, Token Ring, FDDI, Apple Talk      確定物理裝置的乙太網實體地址(MAC)                           網橋，交換機
物理層                                                                                  將封裝好的資料包變成0、1訊號透過網路完成傳輸
NOTE: TCP/IP模型中並沒有會話層和表示層。

交換機：中繼資料包，將資料傳送到目的計算機所連線的埠上，僅將資料包傳送到特定埠上；
路由器：轉發資料包，經過路由器到達不同的網段。
eg.交換機1將簡單地檢視目標MAC地址，為了判斷主機是否連線在交換機的其中一個埠上。當交換機找到與MAC地址b關聯的交換埠時，交換機轉發資料幀到適當的交換埠；根據資料幀的接受，經過檢查確保資料幀不是惡意的，並且資料幀是路由器的MAC地址，路由器除去了乙太網頭部。路由器檢查資料包的目標ip地址，並且查詢它的路由表找出如何處理該資料包。如果路由器不知道怎樣得到目標ip地址（傳送的資料包中沒有預設閘道器），該路由器將丟棄該包併傳送一個訊息返回給傳送者。這表明有一個路由問題。如果路由器有請求轉發資料包的訊息時，ip頭部的TTL（跳數）欄位值將減1。並且應用新的乙太網報頭的包才將其傳送給路由器/NAT裝置。
這個路由器/NAT裝置使用與之前的路由相同的過程轉發該資料包。此外，路由器/NAT裝置改變源ip地址（網路地址轉換）和源埠號，同時注意原始的ip地址和源埠號。這個路由器/NAT裝置將這些資訊及最近分配出去的ip地址和埠號結合。

ARP: ARP表是透過內建的SNMP管理的，不管SNMP服務是否開啟，都會產生ARP包。
DHCP：有一定的租期，當租期一到，主機會自動向伺服器請求ip地址。

Wireshark:
Packet List
Packet Detail
Packet Bytes