本文章,是简单粗暴学习Wireshark的抓包功能后,记录的一些笔记。
1 Wireshark简介及抓包原理及过程
1.1 简介
Wireshark是1个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
1.2 应用
网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协议出错,普通使用者使用Wireshark来学习网络协议的相关知识。当然也有人使用寻找敏感信息。
1.3 快速分析数据包技巧
1)确定Wireshark的物理位置,如果没有1个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到网络相关的数据。否则,捕获到的其他数据对自己也没有帮助。
3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获数据。这样用户在分析数据时,也不会受到其他数据干扰。
4)使用显示过滤器。通常使用捕获过滤器后的数据,往往还是很复杂。为了过滤的数据包更细致,此时使用显示过滤器进行过滤。
5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果更加突出显示某个会话,可以使用着色规则高亮显示。
6)构建图表。如果用户想要看1个网络中数据的变化情况,使用图表的形式可以很方便的展示数据分布情况。
7)重组数据。当传输较大的图片或文件时,需要将信息分布在多个数据包中。这时候需要使用重组数据的方法来抓图完整的数据,Wireshark的重组功能,可以重组1个 会话中不同数据包的信息,或者是重组1个完整的图片或文件。
1.4 Wireshark实战
首先查看电脑自身网卡
windows版本:命令ipconfig
Linux版本:ifconfig
打开Wireshark,捕获你需要的网卡
点击开始就开始进行抓包
1.4.1 混杂模式
1)混杂模式概述:就是接收所有经过网卡的数据包,包括不是发给本机的包,就是不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其他的一律丢弃。
一般,混杂模式不会影响网卡的正常工作,多扎网络监听工具使用。
普通模式,就是取消勾选混杂模式
1.4.1 Wireshark过滤器使用、协议分析
在所有接口上使用混杂模式就可以直接进行抓包。
实例1:在过滤器上面输入tcp等关键字就可以进行抓包
筛选udp,会筛选udp报文。但是输入udp后出现那么多种协议,原因就是oicq以及dns都是集运udp传输层之上的协议。
扩展:客户端向DNS服务器查询域名,一般返回的内容都不超过512字节,用UDP传输即可。不用经过三次握手,这样DNS服务器负载更低,响应更快。理论上,客户端也可以指定向DNS服务器查询时使用TCP,但是,很多DNS服务器进行配置的时候,仅仅支持UDP查询包。
实例2:筛选源地址或目标地址筛选
实例3 筛选ip地址(这里没有指定是原地址、目标地址)
实例4 抓包arp
地址解析协议:arp是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,在ipv4极其重要。arp是通过网络地址来定位mac地址。
总结:应答包补全自己的mac地址,目的地址和源地址做了替换。
实战5 常用协议分析-ICMP协议
传输过程:本机发送ICMP Echo Request包。接收方返回1个ICMP Echo Replay,包含接收到数据拷贝和一些其他命令。
实战6 常用协议分析-TCP
模拟tcp会话建立。三次握手见截图
图表三次连接
四次挥手图表:
第一次挥手:服务端发送1个【FIN+ACK】,表示自己没有数据要发送了,想断开连接,并进入FIN_WAIT_1状态
第二次挥手:客户端收到FIN后,知道不会再有数据从服务端传来,发送ACK进行确认,确认序号为收到序号+1(与SYN相同,1个FIN占用1个序号),客户端进入CLOSE_WAIT状态.
第三次挥手:客户端发送(FIN+ACK)给对方,表示自己没有数要发送了,客户端进入LAST_ACK状态,然后直接断开TCP会话的连接,释放相应的资源。
第四次挥手:服务端收到客户端的FIN信令后,进入TIMED_WAIT状态,并发送ACL确认消息。服务端在TIMED_WAIT状态下,等待一段时间,没有数到来,就认为对面已经收到了自己发送的ACK并正确关闭进入close状态,自己也断开TCP连接,释放所有资源。当客户端收到服务端ACK回应后,会进CLASE状态并关闭本端的会话接口,释放相应资源。
实例7:
修改ttl为2
修改为原来的ttl为64,这里显示的ttl值是52,以及对应抓包ip信息
Time to live exceeded是超过生存时间。
我们判断和目标之间经过多少个网络设备是根据目标返回给我们的ttl值来判断的,因为发送的数据包看不到。
使用 mtr加域名地址,可以看见12个网络质量
--------如有侵权,请联系删除-------------