学习用wireshark进行抓包分析

最新推荐文章于 2024-04-22 14:57:33 发布
最新推荐文章于 2024-04-22 14:57:33 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: 网络编程 文章标签: wireshark tcp 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgj10086/article/details/20032763
版权

  首先,运行wireshark,打开capture interface选择有数据的网卡,点击start便开始进行抓包。我们可以在options里面对包进行过滤。

  

首先,在确保我个人电脑没有arp攻击的情况下。关闭所有可能会请求网络的文件。在点击start后在IE浏览器里面访问www.google.com.hk后抓到如下数据包。

 

  现在我们开始对抓到的包进行分析。

 

为所选取的包的结构。结构的显示是完全按照OSI的七层模型来显示的。从上至下分别是物理层,以太网层,IP层,第3层对应的内容,应用层。

 

为包结构的2进制表示。

现在,我们对抓到的包进行具体分析。

 

起始的3DNS包即对www.google.com.hk进行翻译。把它译为域名所对应的IP。这里,我电脑由于连接了路由器。地址为192.168.1.103。由这个地址向DNS服务器发送请求以返回www.google.com.hk的地址66.249.89.99

然后 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。

 

第一次握手:建立连接时,客户端A发送SYN包(SYN=j)到服务器B,并进入SYN_SEND状态,等待服务器B确认。

 第二次握手:服务器B收到SYN包,必须确认客户A的SYN(ACK=j+1),同时自己也发送一个SYN包(SYN=k),即SYN+ACK包,此时服务器B进入SYN_RECV状态。

 第三次握手:客户端A收到服务器B的SYN+ACK包,向服务器B发送确认包ACK(ACK=k+1),此包发送完毕,客户端A和服务器B进入ESTABLISHED状态,完成三次握手。

完成三次握手,客户端与服务器开始传送数据。

 

由我向服务器发送请求,服务器分析请求后,返回确认收到,我确认服务器的返回信息后,服务器开始发送我请求的数据。如下图

 

 

 

 

这些包都是服务器在向我传送数据,包括PNG,TEXT等文件。

其中的[TCP segment of a reassembled PDU]的意义是:主机响应一个查询或者命令时如果要回应很多数据(信息)而这些数据超出了TCP的最大MSS时,主机会通过发送多个数据包来传送这些数据(注意:这些包并未被分片)。对wireshark来说这些对相应同一个查询命令的数据包被标记了“TCP segment of a reassembled PDU”。wireshark根据sequence number识别多个数据包是对同一个查询数据包的响应,这些数据包ACK number是相同的,当然number的数值与查询数据包中的next sequence number也是一样的。

 

上图为抓到的最后几个包。

TCP的终止通过双方的四次握手实现。发起终止的一方执行主动关闭,响应的另一方执行被动关闭。

1. 发起方(client)更改状态为FIN_WAIT_1,关闭应用程序进程,发出一个TCP的FIN段;
2. 接收方收到FIN段,返回一个带确认序号的ACK,同时向自己对应的进程发送一个文件结束符EOF,同时更改状态为CLOSE_WAIT(server),发起方接到ACK后状态更改为FIN_WAIT_2(client);
3. 接收方关闭应用程序进程,更改状态为LAST_ACK(server),并向对方发出一个TCP的FIN段;
4. 发起方接到FIN后状态更改为TIME_WAIT(client),并发出这个FIN的ACK确认。ACK发送成功后(2MSL内)双方TCP状态变为CLOSED。

我们不难看出上面的显示的结果的意思。根据TCP协议,主动发起关闭的一方,会进入TIME_WAIT状态(TCP实现必须可靠地终止连接的两个方向(全双工关闭)),持续2*MSL(Max Segment Lifetime),缺省为240秒.

第一次挥手:客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送;
第二次挥手:服务器B收到这个FIN,它发回一个ACK,确认序号为收到的序号加1,和SYN一样,一个FIN将占用一个序号;
第三次挥手:服务器B关闭与客户端A的连接,发送一个FIN给客户端A;
第四次挥手:客户端A发回ACK报文确认,并将确认序号设置为收到序号加1。

但由收到的包发现并没有产生4次挥手。而出现的是如下的包

 

这可能是由于在发送完数据前我过早的关闭了浏览器。

现在任意的以一个包的结构为例对包结构进行分析。在这儿我选了如下一个DNS包。

 

 

现在对包的结构的各个部分分别分析。

第一行。结构2,发送77字节的报文,抓到77字节的报文。具体内容如下

 

 

 分别说明了,包的到达时间,抓取间隔时间,包的标号,包的大小,是否标记、忽略等。

接下来

 

以太网层。分别告知目的地和来源。这儿可以看出,destination为路由器分配的地址,source对应的address则为gemtekte_38:cb:1c

对于IP


vision4表示结构为4

报头长为20字节

无网络分区服务

标志位为0

采用UDP协议

报头检查正确。

 

用户的数据协议,从端口64455到区域端口53

Checksum0x4045表示确认失败

 

区域名系统(疑问)

Response in3表示在frame 3中响应。交换地址的16进制表示为0xf823

对于标志flags,对应英文理解就是了,这儿不做衍叙。

其它的包可以按照相同方法进行分析。

不归客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark 抓包 实验报告
02-23
wireshark 抓包 实验报告
Wireshark网络抓包(三)——网络协议
weixin_30245867的博客
02-06 1587
一、ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址。 IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信; 在通过以太网发生IP数据包时,先封装第三层(32位IP地址)和第二层(48位MAC地址)的报头; 但由于发送数据包时只知道目标IP地址,不知道其Mac地址,且不能跨越第二、三层,所以需要...
Wireshark——抓包分析
qq_45951891的博客
11-04 8800
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
Wireshark抓包分析,看这篇就够了!
伤心的辣条
08-18 9423
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。
网络安全工具——Wireshark抓包工具
p36273的博客
05-22 2万+
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。混杂模式概述:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
wireshark抓包详细图文教程
bayfeath的专栏
02-27 1万+
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark抓包工具的使用
热门推荐
m0_70618214的博客
08-21 3万+
WireShark网络封包分析软件 主要分为这几个界面:① Display Filter (显示过滤器):用于过滤。② Packet List Pane (封包列表):显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同代表抓取封包的协议不同。③ Packet Details Pane (封包详细信息),:显示封包中的字段。④ Dissector Pane (16进制数据)⑤ Miscellanous (地址栏,杂项)
Wireshark-----抓包分析
m0_51260564的博客
10-12 8973
Wireshark抓包,ARP、IP、TCP、UDP、ICMP协议分析
超详细的wireshark抓包使用教程
Forget_liu的博客
05-26 1万+
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
Wireshark教程 Wireshark如何抓包
liuhyusb的博客
07-04 4520
wireshark是一款网络封包分析软件,wireshark使用WinPCAP作为它的接口,直接与网卡进行数据报文交换。抓包wireshark最主要的一个功能,本文将以捕捉本机PPLive网络电视流量为例给大家讲解如果使用wireshark抓包。第一步:下载安装,打开wireshark,会出现wireshark 抓包开始界面。第二步:点击,弹出接口对话框第三步:从接口对话框中可以看到有三个接口,第一个为本地网卡,另外两个为虚拟机。
ping命令,抓包文件,可用wireshark抓包工具解析
11-10
ping命令,抓包文件,可用wireshark抓包工具解析,帮助学习理解网络编程原理,由此可延伸到tcp http等协议的抓包分析
Wireshark抓包软件
03-07
Wireshark抓包软件给予网络分析以及网络学习提供了基本的内容。
Wireshark-抓包工具
09-15
wireshark网络分析工具。主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络管理员使用Wireshark来检测网络问题,网络安全工程师使用wireshark中文版来检查资讯安全相关问题,开发者使用...
陇剑杯 省赛 攻击者1 CTF wireshark 流量分析
m0_63416413的博客
04-17 1398
陇剑杯 省赛 攻击者1 CTF wireshark 流量分析
网络安全之反弹Shell
小飞的博客
04-12 1532
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
webman 事务回滚失效问题记录
juan9872的博客
04-21 541
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Verilog 不可综合部分
最新发布
Arthur...J的博客
04-22 362
Verilog中存在部分用于仿真验证的子集,只在仿真时使用,因为没有对应的硬件元件,因此不可综合。
TCP和UDP
hay23455的博客
04-19 357
UDP是一种“随性的协议”,它会把你要发送的信息直接扔到网络上,不太关心是否准确送到,就像丢一颗石头进湖里,不会在意湖里有没有人接住。TCP是一种“细心的协议”,它负责确保你发送的信息能够完整、按顺序地到达目的地,就像快递员送货一样,肯定要确认收货人收到了。当你下载文件、发邮件或者浏览网页时,通常会使用TCP来保证数据传输完整、有序。在一些对速度要求高、能容忍少量数据丢失的应用中使用,比如视频会议、在线游戏等。
Wireshark抓包分析WLAN
08-23
抓包分析 WLAN 是一种通过 Wireshark 工具来监控和分析无线局域网的网络流量的方法。要进行 WLAN 的抓包分析,你需要按照以下步骤进行操作: 1. 下载并安装 Wireshark:首先,你需要从 Wireshark 官方网站(https://www.wireshark.org/)下载并安装 Wireshark 工具。 2. 打开 Wireshark:安装完成后,打开 Wireshark 软件。 3. 选择无线网卡:在 Wireshark 界面的左上方,你可以看到一个下拉菜单,其中列出了可用的网络接口。选择与你的 WLAN 相关联的无线网卡。 4. 开始抓包:点击 Wireshark 界面上的“开始”按钮,Wireshark 将开始捕获所选无线网卡上的网络流量。 5. 过滤 WLAN 流量:WLAN 抓包通常会产生大量的网络流量,你可能只对特定类型的流量感兴趣。你可以使用 Wireshark 的过滤功能来仅显示你感兴趣的流量。在过滤栏中输入适当的过滤表达式,例如 "wlan" 或 "wlan.addr == xx:xx:xx:xx:xx:xx"(其中 xx:xx:xx:xx:xx:xx 是你要过滤的特定 WLAN 设备的 MAC 地址)。 6. 分析抓包数据:Wireshark 将开始显示捕获到的网络流量。你可以使用各种过滤、排序和统计功能来分析数据包。可以查看源和目标 IP 地址、协议类型、端口号等信息,并对流量模式进行分析。 请注意,抓取 WLAN 流量可能需要一定的技术知识和理解网络协议。在进行抓包分析之前,建议你先学习一些基本的网络知识和 Wireshark 工具的使用方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值