Wireshark零基础入门到实战(二)协议篇

最新推荐文章于 2023-10-13 15:51:42 发布
最新推荐文章于 2023-10-13 15:51:42 发布
阅读量2.9k 收藏 14
点赞数 3
分类专栏: 网络 文章标签: wireshark udp 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happyjacob/article/details/122522882
版权

文章目录

上一篇我们讲了Wireshark零基础入门到实战(一)基础篇
下面继续讲解协议篇

1 ARP协议的数据包分析

查看本地的arp缓存列表

arp -a

下面看arp请求与响应

请添加图片描述

arp响应的发送方和接收方互换,切MAC地址都是可用的。

2 Wireshark眼中的IP协议

用ICMP中的网络层的来分析IP协议

请添加图片描述

3 TCP与UDP协议详解

TCP三次握手

请添加图片描述

TCP四次挥手

请添加图片描述

UDP数据包

请添加图片描述

4 TCP中也有一个窗口

seq与ack的关系:

Ack的值表示下一个想要接收的序列号,ack可以对多个数据包累计确认,表示小于当前Ack的值均被确认。

Ack 的值等于请求包seq + len + 1

窗口大小表示客户端可接收的数据的大小:

请添加图片描述

当窗口大小为0时,就发送零窗口通知,告诉服务端自己不能接收数据了。

请添加图片描述

请添加图片描述

服务端怎么知道客户端的窗口啥时候才能使非零,当服务端接收到零窗口通知后,服务端发送保活数据包,客户端告知自己的窗口大小。服务端知道客户端窗口使非零时候就可以继续发送数据了。

请添加图片描述

5 TCP重传技术的研究

发送数据包之后,重传计时器就会启动,重传计时器时间到达之后依然没有收到ack,发送方就会重新发送数据。重传计时器的超时时间每次重传后悔翻倍。

请添加图片描述

发送方收到接收方连续相同的三个ack时,发送方悔立即重传。

请添加图片描述

假设发送方发送了1,2,3,4,5数据包,接收方接收了1,3,4,5数据包,2丢失了,怎么处理呢,可以重传2,3,4,5数据包,这样有点浪费,开启sack后,接收方可以告知发送方已经收到1,3,4,5数据包,只需要重传2就可以了。

请添加图片描述

6 用途广泛的ICMP协议

请添加图片描述

路由跟踪Tracert:用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。

首先,tracert送出一个TTL是1的IP 数据包到目的地,路径上的第一个路由器收到这个数据包,将TTL减1,TTL变为0,所以该路由器会将此数据包丢掉,并送回一个「ICMP time exceeded」消息(包括发IP包的源地址,IP包的所有内容及路由器的IP地址),tracert 收到这个消息后,便知道这个路由器存在于这个路径上,接着tracert 再送出另一个TTL是2 的数据包,发现第2 个路由器… tracert 每次将送出的数据包的TTL 加1来发现另一个路由器,这个重复的动作一直持续到某个数据包抵达目的地。由于tracert向不常见端口(30000以上)发送数据包,因此会收到「ICMP port unreachable」消息,故可判断到达目的地。

tracert的使用:

tracert 180.101.49.xxx

下面来分析下Itracert的报文

ttl的值从1逐渐增加,ttl减到0,路由器丢失包,并向我们发送路由器的ip等信息。直到ttl的值到14,icmp请求达到目标主机,这样就直到了这一路的路径。

请添加图片描述

请添加图片描述

7 容易被忽视的DHCP协议

DHCP(Dynamic Host Configuration Protocol),动态主机配置协议,是一个应用层协议。当我们将客户主机ip地址设置为动态获取方式时,DHCP服务器就会根据DHCP协议给客户端分配IP,使得客户机能够利用这个IP上网。

请添加图片描述

DHCP的实现分为4步,分别是:
第一步:Client端在局域网内发起一个DHCP Discover包,目的是想发现能够给它提供IP的DHCP Server。
第二步:可用的DHCP Server接收到Discover包之后,通过发送DHCP Offer包给予Client端应答,意在告诉Client端它可以提供IP地址。
第三步:Client端接收到Offer包之后,发送DHCP Request包请求分配IP。
第四步:DHCP Server发送ACK数据包,确认信息。

DHCP只有当主机的ip地址过期或者重新启动系统的时候才会请求IP地址,可以通过重新启动网卡的方式启动DHCP服务

重新启动网卡命令
ipconfig /release
ipconfig /renew

下面我们抓包来分析,首先看到的是DHCP释放数据包,因为执行了ipconfig /release,所以ip释放了。然后是DHCP发现数据包,用于找DHCP服务器。详细字段信息如下:

请添加图片描述

DHCP服务器收到DHCP发现数据包,发送DHCP响应数据包

请添加图片描述

上面的过程是IP地址释放,重新请求IP地址的过程。如果是IP地址过期,就需要续租,续租只需要DHCP Request 和 DHCP Ack两个数据包就够了。

8 不可或缺的DNS协议

DNS用于解析域名对应的IP地址,客户端发送换一个DNS查询报文,收到一个DNS响应报文,便知道了域名对应的IP地址

请添加图片描述

DNS域名查询由两种方式,递归查询,迭代查询,如下图所示

请添加图片描述

递归查询,迭代查询是在本地域名服务器做的进行的,所以客户端只看到看DNS请求与响应。

9 每天都要接触的HTTP协议

http请求包含三个部分,三次握手建立连接,请求资源,四次挥手

请添加图片描述

10 为安全而生的HTTPS协议

这里就不详细讲解https的原理了,需要了解原理的,请参考

HTTPS(一) – 基础知识(密钥、对称加密、非对称加密、数字签名、数字证书

HTTPS(二) – SSL/TLS 工作原理和详细握手过程

10.1 https的工作原理

https的工作原理可以用下图总结

请添加图片描述

下图展示了一个完整的https请求的过程,结合抓包的内容,可以看的更清楚。

请添加图片描述

https的抓包如下:

请添加图片描述

10.2 第一步 client hello 消息

客户端通过发送 “client hello” 消息向服务器发起握手请求,该消息包含:

  • 客户端所支持的 TLS 版本
  • 随机数,包含两部分:时间戳(4-Bytes)和随机数(28-Bytes)
  • session-id:用来表明一次会话,第一次建立没有。如果以前建立过,可以直接带过去。后面的扩展内容会详细讲到。
  • 加密算法套装列表:客户端支持的加密-签名算法的列表,让服务器去选择。
  • 压缩算法:似乎一般都不用
  • 扩展字段:比如密码交换算法的参数、请求主机的名字等等

这里的随机数很重要。我们先记为Random1。

请添加图片描述

10.3 第二步 server hello 消息

包含

  • 根据客户端支持的SSL/TLS协议版本,和自己的比较,确定使用的SSL/TLS协议版本

  • 确定加密套件,压缩算法

  • 产生了一个随机数Random2。注意,至此客户端和服务端都拥有了两个随机数(Random1+ Random2),这两个随机数会在后续生成对称秘钥时用到
    请添加图片描述

10.4 第三步 Server => Client

这次传输包含三部分内容

  • Certificate
  • Server Key Exchange
  • ServerHello Done

Certificate

这里主要就是把证书发送给Client。客户端拿到证书后就可以进行验证,同时获取到公钥,用于后面Random3的加密。

请添加图片描述

Server Key Exchange

这个消息是用来发送密钥交换算法相关参数和数据的。这里要提前提一下,就是根据密钥交换算法的不同,传递的参数也是不同的。

常用的密钥交换算法:RSA、DH(Diffie-Hellman)、ECDH(Ellipticcurve Diffie–Hellman)。

请添加图片描述

这里看到使用的ECDH。

ServerHello Done

这个就是Server来表示自己说完了。类似电影里别人拿对讲机说完话最后会有一个“完毕!”。

10.5 第四步 Client => Server

这次传输也包含三部分内容,也是做了一个优化

  • Client Key Exchange
  • Change Cipher Spec
  • Encrypted Handshake Message

请添加图片描述

我们依次解读

Client Key Exchange

这个也是交换秘钥参数。

这里客户端会再生成一个随机数Random3。然后使用服务端传来的公钥进行加密得到密文PreMaster Key。服务端收到这个值后,使用私钥进行解密,得到Random3。这样客户端和服务端就都拥有了Random1、Random2和Random3。这样两边的秘钥就协商好了。后面数据传输就可以用协商好的秘钥进行加密和解密。

Change Cipher Spec

编码改变通知。这一步是客户端通知服务端后面再发送的消息都会使用前面协商出来的秘钥加密了,是一条事件消息。

Encrypted Handshake Message

这一步对应的是 Client Finish 消息,客户端将前面的握手消息生成摘要再用协商好的秘钥加密,这是客户端发出的第一条加密消息。服务端接收后会用秘钥解密,能解出来说明前面协商出来的秘钥是一致的。

10.6 第五步 Server => Client

包括三部分

  • New Session Ticket
  • Change Cipher Spec
  • Encrypted Handshake Message

New Session Ticket

包含了一个加密通信所需要的信息,这些数据采用一个只有服务器知道的密钥进行加密。目标是消除服务器需要维护每个客户端的会话状态缓存的要求。这部分内容在后面的扩展部分会讲到

Change Cipher Spec

编码改变通知。这一步是服务端通知客户端后面再发送的消息都会使用加密,也是一条事件消息。

Encrypted Handshake Message

这一步对应的是 Server Finish 消息,服务端也会将握手过程的消息生成摘要再用秘钥加密,这是服务端发出的第一条加密消息。客户端接收后会用秘钥解密,能解出来说明协商的秘钥是一致的。

到这里双方SSL/TLS握手完成。

10.7 Https数据传输

接下来就真正的到了接口请求的阶段。TLS的Content-Type为Application Data。 传输的内容也是加密的。

请添加图片描述

10.8 Session Tickets

在TLS握手的最后一步中服务器将包含一个“New Session Ticket”信息,包含了一个加密通信所需要的信息,这些数据采用一个只有服务器知道的密钥进行加密。

这个Session Ticket由客户端存储,并可以在随后的一次会话中添加到 ClientHello消息的SessionTicket扩展中。因此,所有的会话信息只存储在客户端上,Session Ticket仍然是安全的,因为它是由只有服务器知道的密钥加密的。

Session Identifiers和Session Ticket机制通常分别被称为“会话缓存”和“无状态恢复”机制。无状态恢复的主要改进是消除服务器端的会话缓存,从而简化了部署,它要求客户在每一个新的会话开始时提供Session Ticket 直到Ticket过期。

-出发-
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WireshakeK 从入门到精通-基础
01-28
WireshakeK 从入门到精通,给予初学者 学习网络分析/排错奠定基础
使用wireshark分析TCP及UDP协议
萧别离(RenH)
02-28 4万+
     最近在工作中涉及到使用一种4G 的DTU 模块与服务器后台通信。因在部分场景下需要在消息中传输文件(通过base64),因此考虑到以下两个问题:        1) TCP连接 是否保证多次send(发送)的数据与接收数据顺序一致?        2)TCP连接 调用一次send中发送数据,在数据比较大的情况下,是否分为多个tcp包发送?      为方便采用wireshark 分析TC...
iphone怎么迁移数据_为什么需要此软件将数据迁移到新iPhone [赞助发布]
culintai3473的博客
09-09 1010
iphone怎么迁移数据Apple has unveiled its flagship iPhone 11 trio at the closely watched annual press event, together with Apple watch and an unexpected new iPad. The lack of a 5G support in the iPhone 11 li...
TLS握手过程及wireshark抓包分析
weixin_46775266的博客
08-05 3223
TLS握手过程及wireshark抓包分析 1.TLS的发展 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。 1996年,SSL 3.0版问世,得到大规模应用。 1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。 2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2
ECDH产生共享密钥
天山锦有的博客
12-31 2520
最近在忙一个项目,我们公司的一个卡产品,要用到ECIES(集成加密方案,elliptic curve integrate encrypt scheme),加解密。ECIES中的最重要一步就是ECDH,需要算出共享密钥。于是研究起来,这文章记录我的学习过程。 ECDH是EC是“elliptic curves”的意思,DH是“Diffie-Hellman”的意思。它实际上是密钥协商算法,而不是加解密算法。该算法可以用来解决如下问题: - 在公网通道上如何进行安全的秘钥分派。 两端(Alice 和 Bob)想要
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议
CoutCodes的博客
06-19 2万+
深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。
Wireshark常见协议包分析
最新发布
qianlue的博客
10-13 79
一句话就是用来解析域名。是一个通过解析网络层地址来找寻数据链路层地址(MAC地址)的网络传输协议,它在IPv4中极其重要。http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web 开发,都是构建在HTTP协议之上的Web应用。无连接的传输协议,该协议称为用户数据报协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。是一种面向连接的、可靠的、基于字节流的传输层通信协议
工控CTF之协议分析9——其他协议
一个普普通通的博客
12-20 1347
工控CTF之协议分析9——其他协议
Wireshark入门到精通视频.zip
05-24
0.1 Wireshark协议分析从入门到精通课程介绍.mp4 1.1.1 Wireshark安装入门之软件介绍.mp4 1.1.2 Wireshark安装入门之抓包原理.mp4 1.1.3 WireShark安装入门之初始安装.mp4 1.1.4 WireShark安装入门之快速抓包.mp4 ...
Wireshark入门到精通》抓包协议分析视频下.rar
08-11
01 Wireshark协议分析从入门到精通课程介绍avi 11.1 Wireshark安装入门之软件介绍avi 1.1.2 Wireshark安装入门之抓包原理,av 11.3 WireShark安装入门之初始安装av 114 Wire Shark安装入门之快速抓包.avi 115 ...
Wireshark入门到精通》抓包协议分析视频上.rar
08-11
01 Wireshark协议分析从入门到精通课程介绍avi 11.1 Wireshark安装入门之软件介绍avi 1.1.2 Wireshark安装入门之抓包原理,av 11.3 WireShark安装入门之初始安装av 114 Wire Shark安装入门之快速抓包.avi 115 ...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
WireShark抓包分析telnet
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
CodeGou的博客
07-21 1万+
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
网络安全:WireShark 抓包及常用协议分析
weixin_46035615的博客
04-11 1万+
网络安全:WireShark 抓包及常用协议分析
使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
热门推荐
NowOrNever
11-11 6万+
SSL/TLS握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程。 这个过程实际上产生三个随机数:client random, server random, pre-master secret。 前两个随机数都是明文传送的,只有pre-master secret是加密的(RSA或者DH)。 一般生成证书的时候,签名算法可以选择RSA或者DSA算法。 如果server使用RSA证书,RSA即可以用作签名也可以用作不对称加密,pre-master secret就是用server的RSA证书中包含的公
使用wireshark分析TLSv2(详细)
ChainingBlocks
11-09 3万+
握手阶段如上图所示,可分为5步(使用Diffie – Hellman算法): 第一步,浏览器给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的加密方法。 第步,服务器确认双方使用的加密方法,使用的tls版本号和一个随机数。 第三部,并给出数字证书、以及一个服务器运行Diffie-Hellman算法生成的参数,比如pubkey。 第四部,浏览器获取服务器
SSL 协议分析:ClientHello 过程分析
cwg2552298的博客
10-10 1万+
     最近在分析某个PC端程序的登录过程,发现它用的是openssl进行https通讯的。 由于以前没有openssl的使用经验,遂开始学习这个库,在这里记录一些TLS协议的原理, 以及openssl实现TLS协议的代码分析。(TLS 相当于 SSL 协议的后续版本。) 画了一个丑陋的简图:         图的右边代表时间的方向。按照时间顺序,显然是客户端先发起 TLS 请求,...
TLS1.3抓包分析(1)——ClientHello
汪哈哈zzz
03-12 7636
TLS1.3抓包分析(1)——ClientHello 抓包使用的是WireShark2.6.7,抓包内容为https://tls13.crypto.mozilla.org/(Mozilla的TLS1.3测试页面),浏览器为chrome(需开启TLS1.3),这里我先给出抓包结果: 本次从握手的第一步开始分析,即ClientHello,下面是ClientHello的报文内容: 我们需要关注的是S...
计算机网络(自顶向下方法)读书笔记----吐血整理
桑凯旋的博客
08-03 6501
文章目录第 1 章 计算机网络和因特网1.1 什么是因特网1.1.1 组成描述描述1.1.2 服务描述1.1.3 协议1.2 网络的边缘1.2.1 接入网1.2.2 物理媒体1.3 网络核心1.3.1 分组交换1.3.2 电路交换1.3.3 分组交换和电路交换的对比1.3.4 网络网络1.4 分组交换中的时延、丢包、吞吐量1.4.1 分组交换网中的时延概述1.4.2 排队时延和丢包1.4.3 端到端时延1.4.4 计算机网络的吞吐量1.5 协议层次及其服务模型1.5.1 分层体系结构1.5.2 封装第
wireshark数据包分析实战(第版)源码
07-31
Wireshark数据包分析实战(第版)》是一本关于Wireshark工具的详细教程,主要介绍了网络数据包分析的理论和实战技巧。书中还提供了一些实例,配套有源码可供读者学习和实践。 这本书的源码是作者为了帮助读者更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值