中间人攻击又被简称为NITM攻击，这是一种很有意思的攻击方式。攻击者会把自己的设备放置在网络连接的两台设备中间，以此来监听它们之间的通信，当然这个中间位置是逻辑上的而不是物理位置。

ARP请求数据帧中的前面4项硬件类型（Hardware type）、协议类型（Protocol type）、硬件地址长度（Hardware size）、协议地址长度（Protocol size）是固定的。

•如果希望得到ARP的请求，可以使用“arp.opcode==0x0001”。

•如果希望得到ARP的应答，可以使用“arp.opcode==0x0002”。

如果同时出现了大量的ARP数据包，通常是由以下3种情况造成的。

•有攻击者在利用ARP请求对网络主机进行扫描。

•有计算机感染了ARP病毒并在破坏网络的通信。

•有攻击者在利用ARP欺骗在发动中间人攻击。

Wireshark中的专家系统信息保存在解析器中，专家信息将网络中不正常的数据包分成如下的4种。

•Errors：数据包或者解析器错误，用红色表示。

•Warnings：来自application/transport的异常响应，用黄色表示。

•Notes：来自application/transport的异常响应，用浅蓝色表示。

•Chats：关于工作流的信息，用蓝色表示。

考虑到中间人攻击时通常篡改的都是网关的地址，所以需要将其IP地址和MAC地址绑定。

针对IP协议的攻击方法，主要有伪造IP地址和发送畸形数据包两种方式。泪滴攻击就属于发送畸形数据包这种方式。

这种攻击的实现原理是向目标主机发送异常的数据包碎片，使得IP数据包碎片在重组的过程中有重合的部分，从而导致目标系统无法对其进行重组，进一步导致系统崩溃而停止服务的恶性攻击。

样本数据包网址：https://wiki.wireshark.org/ SampleCaptures/

以太网传输电气方面的限制，以太网帧的大小都有限制每个以太网帧最小也要64Bytes，最大不能超过1518bytes。刨去以太网帧的帧头（DMAC目的地址MAC48bit=6Bytes+SMAC，源MAC地址48bit=6Bytes+Type域2bytes）14Bytes和帧尾CRC校验部分4Bytes（这个部分有时候也被称作FCS）。

同一个数据包的各个分片的标识是一样的，目的端会根据这个标识来判断IP分片是否属于同一个IP数据报。

泪滴（teardrop）攻击是基于数据分片传送进行的攻击手段。在IP报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表明这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。