wireshark工具使用详解以及Tcp三次握手抓包解析

最新推荐文章于 2024-05-01 22:49:03 发布
最新推荐文章于 2024-05-01 22:49:03 发布
阅读量2.4w 收藏 104
点赞数 14
分类专栏: 工具使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Andy_93/article/details/78220656
版权

概述

今天学习了下抓包工作的使用,写个文档记录下笔记总结

Wireshark介绍

wireshark是非常流行的网络封包分析软件,可以截取各种网络封包,显示网络封包的详细信息。

wireshark用处:

        wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

Wireshark窗口介绍

 

 

Wireshark主要分为这几个界面

1 Display Filter(显示过滤器), 用于过滤

2 Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址、端口号

3 Packet Details Pane(封包详细信息),显示封包中的字段

4 Dissector Pane(16进制数据)

5 Miscellanous(地址栏等其他)

 

wireshark两种过滤器

过滤器有:捕捉过滤器显示过滤器

常用的过滤表达式

1协议过滤

HTTPTCP、UDPrtsprtp等等

2 IP过滤

ip.src == 192.168.1. 100显示源地址为192.168.1.100

ip.dst == 192.168.1.200 显示目标地址为192.168.1.200

3 端口过滤

tcp.port == 80 端口80

tcp.srcport== 80 只显示tcp协议的源端口为80

udp.port eq 15000 udp端口15000

tcp.port >= 1 and tcp.port <= 80 过滤端口范围

4 HTTP模式过滤

http.request.method == “Get” 只显示端口范围

5逻辑运算符为 AND / OR ,&& / ||

 

捕捉过滤器(CaptureFilters)

   1.用于决定将什么样的信息记录在捕捉结果中

   2.捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据

   3.捕捉过滤器仅支持协议过滤

 

捕捉过滤器: 捕捉前依据协议的相关信息进行过滤设置

捕捉过滤器语法

Protocol(协议):


可能值: ip、arprarptcp、udpsmtphttpftpdnsicmp

Direction(方向)

可能值: stc、dstsrc and dstsrc or dst

如果没有指明方向,则默认使用“src or dst”作为关键字

“host 10.2.2.2”与“src or dst host 10.2.2.2”等价

Host(s):

可能值 netporthost、portrange

Logical Operations(逻辑运算):

可能只 not、and、 or

显示过滤器(DisplayFilters)

   1.用于在捕捉结果中进行详细查找

   2.用于过滤抓包数据,方便stream的追踪和排查

   3.显示过滤器既支持协议过滤也支持内容过滤

 

 

显示过滤器:对捕捉到的数据包依据协议或包的内容进行过滤

协议过滤语法

 


例如:http.request.method == "POST" string1和string2是可选的。

依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。

按协议进行过滤:

snmp || dns || icmp 显示SNMP或DNS或ICMP封包。

按协议的属性值进行过滤:

ip.addr == 10.1.1.1 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

ip.src == 10.230.0.0/16 显示来自10.230网段的封包。

tcp.port == 25 显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25 显示目的TCP端口号为25的封包。

http.request.method== "POST" 显示post请求方式的http封包。

http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包。

tcp.flags.syn == 0X02 显示包含TCP SYN标志的封包。

 

内容过滤语法

深度字符串匹配

tcp contains "http"

显示payload中包含"http"字符串的tcp封包。

http.request.uri contains "online"

显示请求的uri包含"online"的http封包。

特定偏移处值的过滤

tcp[20:3] == 47:45:54

 /* 16进制形式,tcp头部一般是20字节,

所以这个是对payload的前三个字节进行过滤 */

http.host[0:4] == "trac"

 

包长度过滤

udp.length == 26 

这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7   

指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 

除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 

整个数据包长度,从eth开始到最后

过滤实例

mac过滤 IP过滤

Mac 过滤

eth.dst == A0:00:00:04:C5:84
eth.src eq A0:00:00:04:C5:84
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
IP过滤

ip.addr == 10.43.54.65
// 常用的研究两者间的通信
ip.addr== 192.168.8.54 || ip.addr== 112.80.248.74
ip.src == 10.43.54.65 or ip.dst == 10.43.54.65

tcp和udp过滤

tcp.port == 80
tcp.port eq 80 or udp.port eq 80
tcp.port eq 25 or icmp
tcp.port >= 1 and tcp.port <= 80
tcp.window_size == 0 && tcp.flags.reset != 1
udp.length == 26
tcp类型和内容:
tcp[13] & 0×00 = 0: No flags set (null scan)
tcp[13] & 0×01 = 1: FIN set and ACK not set
tcp[13] & 0×03 = 3: SYN set and FIN set
tcp[13] & 0×05 = 5: RST set and FIN set
tcp[13] & 0×06 = 6: SYN set and RST set
tcp[13] & 0×08 = 8: PSH set and ACK not set

 

http过滤示例

http.request.method == GET

http.request.method == POST

http.request.uri == /img/logo-edu.gif

http.host == party.syyx.com
http.response.code == 404
http.content_type contains "javascript"

http contains GET


http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "

 

以下内容摘抄自 http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

封包列表(Packet List Pane)

封包列表的面板中显示: 编号、时间戳、源地址、目标地址、协议、长度、以及封包信息不同的协议用了不同的颜色显示可以自己修改这些显示的颜色规则, view->coloring Rules封标列表如下图所示

 

 

封包详细信息(Packet Details pane)

这个面板我们最重要的。 用来查看协议中的每一个字段各行信息如下

Frame: 物理层的数据帧概括

Ethernet ll : 数据链路层以太网帧头部信息

Internet Protocol Version 4 : 互联网IP包头部信息

Transmission Control protocol 传输T的数据头部信息,此处是TCP

Hypertext Transfer Protocol: 应用层的信息此处是HTTP协议

 

Wireshark对应的OSI七层模型


TCP包具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

  

实例分析TCP三次握手过程

 

TCP报文格式 

下面是TCP报文格式图


上图中有几个字段需要重点介绍下:

1、序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记。
2、确认序号:Ack序号,占32位,只有ACK标志位为1时,确认序号字段才有效(Ack=Seq+1)。
3、标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN等,具体含义如下:
(A)URG:紧急指针(urgent pointer)有效。
(B)ACK:确认序号有效。
(C)PSH:接收方应该尽快将这个报文交给应用层。
(D)RST:重置连接。
(E)SYN:发起一个新连接。
(F)FIN:释放一个连接。
需要注意的是:
(A)不要将确认序号Ack与标志位中的ACK搞混了。
(B)确认方的Ack=发起方的Seq+1,两端配对。

三次握手过程为

 

这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao

wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

 

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的

第一次握手数据包

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

 

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N1.0+1=1,如下图

 

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN+1,如下图:

 

 

 


奋斗Andy
关注
  • 14
    点赞
  • 104
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark基本介绍和学习TCP三次握手
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2242841
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
TCP 三次握手、四次断开
m0_52165864的博客
08-06 3760
TCP建立连接的过程就是三次握手(Three-way Handshake),在建立连接的过程实际上就是客户端和服务端之间总共发送三个数据包。建立一个连接需要进行三次握手,而终止一个连接需要经过四次挥手(断开连接),这由TCP的半关闭(half-close)造成的。 ...
wireshark抓包解析三次握手四次挥手及三次挥手情况
最新发布
weixin_46166934的博客
05-01 812
确认序列号:希望下次对方的序列号为我的确认序列号。确认序列号=对方发送的序列号+SYN+数据长度。Seq=3045674562(随机)
使用Wireshark浅析Tcp三次握手
weixin_42931631的博客
12-27 6698
用一些简单的实例,让大家真正了解三次握手
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5310
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
Wireshark抓包详解TCP三次握手报文内容
清菡的博客
03-28 1万+
一、抓包通过Wireshark这个抓包工具演示下正常能tcp三次握手,能看到的内容是不是和上篇文章tcp三次握手中用图画出来的内容是一样的呢?现在就个包详细得讲解下。先选择我上网的网卡,然后点击这个蓝色的小鲨鱼,开始抓包了。现在它在开始抓包,我去访问一个页面。这是个https的连接,肯定是基于tcp的。点击红色按钮暂停。的是tcp协议,过滤下tcp协议的包。按下回...
Wireshark 抓包和了解TCP三次握手
fen_fen的专栏
04-28 2722
Wireshark 抓包和了解TCP三次握手 1、Wireshark 抓包简单使用 1.1、打开Wireshark,设置input 菜单:“捕获”-->“选项”,勾选跟本地网络设置一致。 1.2、开始抓包,点击左侧的图标 1.3、同时打开浏览器进行想要访问的页面进行操作 1.4、在Filter栏上,填好Filter的表达式进行过滤 在wireshark中输入http过滤, 然后选中POST /scheduler/login HTTP/1.1的那条记录,右键然后点击"Foll
TCP三次握手wireshark抓包分析
热门推荐
牛仔的blog
12-19 7万+
本文内容有以下三个部分: wireshark过滤规则 osi模型简述 tcp三次握手 一、wireshark过滤规则wireshark只是一个抓包工具,用其他抓包工具同样能够分析tcp三次握手协议。以下这张图片完整地展现了wireshark的面板。使用wireshark一个关键是如何从到的众多的包中找到我们想要的那一个。这里就要说filter过滤规则了。如上图,在过滤器方框,我们加上了ip.sr
WireShark抓包使用.pdf
12-31
Wireshark抓包使用详解 Wireshark是一款流行的开源数据包抓包与分析工具,能够截取各种网络数据包,并可以查看网络数据包详细信息。在网络安全与取证分析中起到了很大作用,作为一款网络数据嗅探与协议分析器,已经...
6-第六次实验-wireshark抓包图解TCP三次握手四次挥手详解.docx
03-03
"TCP/IP 协议族详解 wireshark 抓包图解 TCP 三次握手四次挥手详解" TCP/IP 协议族是指由 TCP 和 IP 两个主要协议组成的协议簇,负责管理计算机之间的通信。该协议族分为四个层次:链路层、网络层、运输层和应用层...
TCP与TLS数据报文抓包
03-18
1、生成 wireshark 工具可读取的 capture.pcap 抓包文件; 2、学习 “DNS解析步骤”报文结构; 3、学习 “TCP三次握手”报文结构; 4、学习 “TLS握手与秘钥协商” 等过程。 详细介绍,可参考我的技术文章: 一文...
wireshake抓包分析tcp及http过程详解.doc
10-07
Wireshark 抓包分析 TCP 及 HTTP 过程详解 Wireshark 是一个功能强大的网络协议分析工具,能够取和分析各种网络协议的数据包。在这篇文章中,我们将使用 Wireshark 来分析 TCP 及 HTTP 的过程。 TCP 连接建立...
BPF过滤语法
qq_43665434的博客
10-31 7104
wireshark过滤器基本语法分析 lanhuazui10 2020-04-13 00:03:32 ...
RequestMethod.Post&RequestMethod.GET
weixin_30886233的博客
03-14 1067
1.GET和POST都是将数据送到服务器 2.GET通过URL请求传递用户的数据,将表单各字段名称以及内容,以成对的字符串连接,置于action所指程序的URL后;POST方法通过HTTP post 机制,将表单内各字段名称与其内容放在HTML表头内一起传送给服务器端交由action属性所指程序处理,该程序会通过标准输入方式,将表单数据读出并加以处理。 3.GET方法需要使用Request.Q...
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Nginx 基础入门篇 .4
Lancelotest的博客
09-24 227
文章目录关于链接的问题OSI封装回顾TCP封装结构TCP三次握手TCP四次挥手/四次断开TCP机制(四大计时器)TCP流控/拥塞管理 关于链接的问题 OSI封装回顾 TCP封装结构 TCP三次握手 step1:第一次握手 建立连接时,客户端发送SYN包到服务器,其中包含客户端的初始序号seq=x,并进入SYN_SENT状态,等待服务器确认。(其中,SYN=1,ACK=0,表示这是一个TCP连接请求数据报文;序号seq=x,表明传输数据时的第一个数据字节的序号是x)。 step2:第二次握手 服务器
wireshark抓包分析 tcp三次握手/四次挥手详解
07-15
### 回答1: TCP三次握手和四次挥手是TCP协议建立和关闭连接时所采用的步骤。 三次握手是在客户端和服务器之间建立TCP连接时的过程。首先,客户端向服务器发送一个请求连接的数据包,该数据包包含一个随机生成的序列号(SYN),表示客户端希望建立连接。服务器接收到该请求后,向客户端回复一个确认连接的数据包,该数据包包含其自己生成的一个随机序列号(SYN-ACK),表示服务器同意建立连接。最后,客户端再次向服务器发送一个确认连接的数据包,该数据包中包含服务器的序列号加一(ACK),表示客户端接受服务器的连接请求。这样,TCP连接就建立起来了。 四次挥手是在客户端和服务器关闭TCP连接时的过程。首先,客户端发送一个关闭连接的请求数据包(FIN),表示客户端想要关闭连接。服务器收到该请求后,向客户端回复一个确认关闭连接的数据包(ACK),但自己的数据可能没有发送完毕。服务器等到自己的数据发送完毕后,发送一个自己的关闭连接请求数据包(FIN),表示服务器也希望关闭连接。客户端收到服务器的请求后,回复一个确认关闭连接的数据包(ACK),然后等待一段时间,确保服务器收到了该数据包。最后,客户端和服务器都关闭连接,四次挥手过程完成。 通过Wireshark抓包分析TCP三次握手和四次挥手可以观察到每个数据包的源地址、目标地址、序列号、确认号等信息。可以通过Wireshark的过滤功能筛选出TCP协议相关的数据包进行分析。通过分析数据包的交互过程,可以确认连接建立和关闭的状态是否符合预期,并可以进一步分析网络延迟、丢包等问题。 综上所述,Wireshark抓包分析TCP三次握手和四次挥手可以帮助我们深入理解TCP连接的建立和关闭过程,以及发现网络故障的根源。 ### 回答2: TCP是一种常用的传输层协议,它通过进行三次握手来建立连接,并进行四次挥手来终止连接。 三次握手的过程如下: 1. 客户端发送一个SYN标志位的TCP报文段给服务器,表示请求建立连接; 2. 服务器收到请求后,回复一个带有SYN和ACK标志位的TCP报文段给客户端,表示同意建立连接; 3. 客户端收到服务器的回复后,再次发送一个带有ACK标志位的TCP报文段给服务器,表示连接建立成功。 四次挥手的过程如下: 1. 客户端发送一个FIN标志位的TCP报文段给服务器,表示希望断开连接; 2. 服务器收到请求后,回复一个带有ACK标志位的TCP报文段给客户端,表示确认收到断开请求; 3. 服务器完成数据的发送后,发送一个带有FIN标志位的TCP报文段给客户端,表示自己也要断开连接; 4. 客户端收到服务器的断开请求后,发送一个带有ACK标志位的TCP报文段给服务器,表示确认断开,并进入TIME_WAIT状态。 在三次握手的过程中,第一次握手是客户端发起的,第二次握手是服务器回复同意建立连接,第三次握手是客户端回复确认连接。这个过程是为了确保双方都同意建立连接,以保证数据传输的可靠性。 在四次挥手的过程中,首先客户端发送断开请求,服务器回复确认,然后服务器发送断开请求,客户端回复确认。这个过程是为了保证双方都断开连接,并确保数据完整性。 Wireshark是一款网络抓包分析工具使用Wireshark可以捕获网络数据包,并对数据包进行解析和分析。通过Wireshark,我们可以看到每个TCP报文段的具体内容,并对三次握手和四次挥手的过程进行详细分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值