3.1 WireShark简介和抓包原理及过程
3.1.1 WireShark简介
WireShark是一个网络封包分析软件,网络封包分析软件的功能是提取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
3.1.2 WireShark快速分析数据包技巧
-
确定WS的物理位置,如果没有一个正确的位置,启动WS会花费很长是时间捕捉与自己无关的信息
-
选择捕获接口,一般都是选择连接到internet的网络接口
-
使用捕获过滤器,可以避免产生过大的捕获数据,这样用户在分析数据时不会被其他干扰。
-
使用显示过滤器
-
使用着色规则
-
构建图标,可以明显的看见网络中数据的变化情况。
-
重组数据,可以重组一个会话中,不同数据包的信息,或者是重组一个完整的图片或者文件。
3.2 WireShark抓包及快速定位数据包技巧
3.2.1 常见协议包
ARP ICMP TCP UDP DNS HTTP
3.2.2 混杂模式介绍
-
混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包,传递给上层程序,多在网络监听工具上使用。
-
关闭和开启混杂模式(第一次使用WK是混杂模式)
![](https://img-blog.csdnimg.cn/119dc9a6196b484e89c54586414e498a.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
点击捕获-把下面的勾关掉,就是关闭混杂模式
3.2.3 过滤器的使用
![](https://img-blog.csdnimg.cn/b2316292d9ca45db9e2c7609e9f7d6c9.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
src host 192.168.1.14 是捕获源ip发出去的数据包
dst host 192.168.1.14 是捕获所有发给目标主机的数据包
port 80 只捕获80端口的
如何筛选指定的源地址或者目标地址
ip.src_host == 192.168.1.53 or ip.dst_host == 192.168.1.1
![](https://img-blog.csdnimg.cn/76468cbef2904274a1cf33c4c4eaaf8b.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
ip.addr == 192.168.1.53 //筛选所有和1.53有关的数据包
3.3 使用WireShark对常用协议抓包及分析
3.3.1 ARP协议
-
地址解析协议,是一个通过解析网络层地址来找找寻数据链路层地址的网络传输协议。ARP是通过网络地址来定位MAC地址。
![](https://img-blog.csdnimg.cn/2b04dba388cb4f36bcd6aaa1596d4b3e.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
Broadcast 广播包
![](https://img-blog.csdnimg.cn/d6b527ba950348858707c5bee40194e4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_19,color_FFFFFF,t_70,g_se,x_16)
问 谁有192.168.1.1?请告诉192.168.1.53
然后 会给回应并提供物理地址
![](https://img-blog.csdnimg.cn/ac4a8f1430ec4a0b9c643b2def268604.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
四个F表示广播包,也就是请求包
![](https://img-blog.csdnimg.cn/7b747f5fa3934f13ae192c430d90b147.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_19,color_FFFFFF,t_70,g_se,x_16)
表示网关回给192.168.1.53 得到目的地址
![](https://img-blog.csdnimg.cn/0999bfd0dc344980bbb938b87530f491.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
3.3.2 ICMP协议
![](https://img-blog.csdnimg.cn/0111e2e835d34d5fa82975030e16abe3.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
reply in 9 响应包在No.9
![](https://img-blog.csdnimg.cn/d85beba99fc445b18112c09bd62d82c8.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/dc9d12514af34c4cbf469681381633a1.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
响应包和请求包 这四项数据是一样的
3.3.3 TCP 协议
![](https://img-blog.csdnimg.cn/46051c200acd486dbe38595262d5c92e.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
可以通过数据包来清晰的看见三次握手
流量图!
![](https://img-blog.csdnimg.cn/2ad234cfd4d84f638135bd1ff1a7cdee.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
6340请求连接22端口 三次握手后,开始进行数据传输
![](https://img-blog.csdnimg.cn/a3733d1eb1b34dff946cbd006e5a5564.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_10,color_FFFFFF,t_70,g_se,x_16)
FIN表示断开连接,进行四次挥手。
![](https://img-blog.csdnimg.cn/8c662ae2ba444058a19a4b35853f91be.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
3.3.4 HTTP 协议
HTTP协议是基于TCP的上层协议,过滤TCP的数据包会包含HTTP协议的数据包
curl -I
baidu.com //得到百度的头部信息
![](https://img-blog.csdnimg.cn/37c7b521ff554faba39d9b7ad6f38f54.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_10,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/baa267b693b84c91a37cc4ca8647d85b.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
前三个包是三次握手 最后一个是RST断开连接 之前的是四次挥手。
![](https://img-blog.csdnimg.cn/a613a44291934f74b36c38d991a5a461.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
表示向百度发送一个获取头部信息的请求。
追踪HTTP流
![](https://img-blog.csdnimg.cn/bb293bf20719491eaf6edba8f57980ad.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_9,color_FFFFFF,t_70,g_se,x_16)
上面是发送的请求 下面是百度回复的相应。
3.4 使用WireShark抓包解决服务器被黑上不了网
模拟场景:服务器被黑了,可以ping通网关,但是不能上网. 修改主机的TTL值 为1
![](https://img-blog.csdnimg.cn/ec262e401f0e4b039ed4fcf597b711e4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_11,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/11abec367c184c099c62d56d05721d7d.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_16,color_FFFFFF,t_70,g_se,x_16)
TTL值没经过一个网络设备,就会减1 ,当TTL值才为0时,说明目标地址不能达到,并且返回: Time to live exceeded。
作用: 防止数据包无限制的在公网中转发 !
![](https://img-blog.csdnimg.cn/7a19a99cd87f4baa8f7f7f72435cd693.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
可以ping通网关 但是不能ping通外网。
TTL 为 1 时
![](https://img-blog.csdnimg.cn/591a5cd3713f444d8921c67f4beec6b4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
网关给回包
当TTL 为2时候
![](https://img-blog.csdnimg.cn/bb81ba42ecd54b9da011eb37a796045f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
说明这个数据包在网络中已经达到了下一个网络设备才被丢弃,由此可以判断出我们的运营商网关地址为112.103.140.1,但是并没有达到目标主机
![](https://img-blog.csdnimg.cn/c7644b56115340578a77098a53f315b4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)
TTL值为52 说明到达xuegod.cn需要经过64-52=12 个网络设备。
mtr 检测主机名称所经过的网络设备
![](https://img-blog.csdnimg.cn/6c5523e2349a4172b077d4ac9125ef5f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAU2htaWx5MTdz,size_20,color_FFFFFF,t_70,g_se,x_16)