Wireshark计网实验笔记

目录

一、前提

二、过滤器使用

         常见过滤器表达式规则

三、arp(地址解析协议)

四、ICMP(互联网控制报文协议)

五、TCP(传输控制协议)


一、前提

        在wireshark中捕获选项,选中左下角所有接口使用混杂模式,不会校验MAC地址是否合法,可以检验非法黑客,以便于接收所有的数据信息,而关闭则是普通模式,只接收发送到本机的正确的信息,不显示无效信息。

        

        在主机终端通过ping baidu.com 获取当前baidu ip地址信息(一般来说,大网站的ip信息会一直更换,每次都是能接收到的,距离主机最近的服务器发送的信息) 

         向过滤器中填入ip.addr==39.156.66.10来查找刚刚的测试ping的数据包。

        通过点击每一条数据包,可以看到ping测试的报文。

 

二、过滤器使用

        主页绿框处为手动添加过滤器的位置,也可以通过上方捕获栏/捕获过滤器设置来增删过滤器。

         常见过滤器表达式规则

1、ip过滤

        ip.addr==192.168.0.1,显示源ip地址或目标ip地址为192.168.0.1的数据包列表

        ip.src==192.168.0.1,显示源ip地址为192.168.0.1的数据包列表

        ip.dst==192.168.0.1,显示目标ip地址为192.168.0.1的数据包列表

2、协议过滤

        tcp 只显示tcp数据包列表 (出现的TLS等都是在TCP协议集包含的)

        udp 只显示udp数据包列表 (出现的DHCP,ICMP等都是udp协议集包含)

        http 只显示http数据包列表

        诸如此类的还有arp,oicq等等

3、tcp过滤

        tcp.port==80,显示源主机和目标主机端口为80的数据包列表

        tcp.srcport==80,显示tcp协议源主机的端口为80的数据包列表

        tcp.dstport==80,显示tcp协议目标主机的端口为80的数据包列表

4、tcp标志位过滤

        tcp.flags.xxx的格式

        tcp.flags.syn==1 and tcp.flags.ack==0 这是一个连接请求报文段,显示满足该类型的数据包列表

        tcp.flags.syn==1 and tcp.flags.ack==1 在上一类型下,对方若是同意建立连接,则响应的报文段中使SYN=1、ACK=1,所以通过该过滤器显示数据包列表

        tcp.flags.fin==1 返回报文段的发送方的数据已经发送完毕,并要求释放连接的数据包列表

        tcp.flags.seq==1 显示tcp握手中传输一个数据的数据包列表

5、逻辑运算符

        !broadcast 不抓去广播数据包的其他列表(不知道为什么做实验带!的过滤器一直报红)

        &&或and 与

        ||或or 或

        == 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于

三、arp(地址解析协议)

        源主机知道目标ip地址,通过arp解析成MAC地址,先通过本地arp缓存寻找有无该MAC地址,若没有找到映射关系,则将询问目标主机硬件地址,并在本地网络(网关)下进行广播所有主机,所有的主机都可以接受到该广播,目标主机确定arp请求中的ip地址与自己的ip地址匹配,并将源主机ip地址和MAC地址保存在arp缓存,并将MAC地址信息发回源主机,若无相应,则放弃该arp。

        由于源主机进行了网关下的广播,若此时黑客主机通过欺骗主机,且比网关接收速度快的相应,可以做到获取源主机的信息,篡改本地的MAC地址表,进行arp欺骗。ARP欺骗可以导致目标计算机与网关通信失败,更会导致通信重定向,所有的数据都会通过攻击者的机器,因此存在极大的安全隐患。

        下面是通过linux虚拟机系统进行arp欺骗的代码,保证主机与目标主机均在统一网关下,且目标主机防火墙关闭。

echo "0" > /proc/sys/net/ipv4/ip_forward        #关闭linux内核转发
arpspoof -i interface -t target-ip -r host-ip   #target-ip填写受害者ip,host-ip填写局域网路由,运行arpspoof,受害者断网
echo "1" > /proc/sys/net/ipv4/ip_forward        #打开linux内核转发,网络恢复

        arp数据包中见到最多的就这种who has 192.168.0.1 ?tell 0.0.0.0这种进行arp请求,意思是源地址0.0.0.0询问目标地址192.168.0.1,要求请求。

        回复是reply 192.168.0.1 is-at 0:0:c0:c2:9b:26,目标主机更新arp缓存,并将自己的MAC地址(0:0:c0:c2:9b:26)打包发送给请求方

 

四、ICMP(互联网控制报文协议)

        icmp被封装在ip层,既不属于网络层,也不属于传输层,属于介于这两者之间的一个协议,该协议一方面用来查询,一方面用来差错诊断。在最简单的ping操作中均属于icmp协议中。

        ping操作有request和reply两部分组成,而且ping的长度最大只有1472(被Y某无意发现)

        

五、TCP(传输控制协议)

        tcp协议,使用三次握手协议建立连接,四次挥手结束连接。下图为wireshark中的握手操作。

        三次握手:(1)客户端发送SYN(SEQ=x)报文给服务端,进入SYN_SEND状态。

                          (2)服务端接收SYN报文,回应一个SYN(SEQ=y)ACK(ACK=x+1)报文,进入SYN_RECV状态。

                          (3)客户端收到服务器端的SYN报文,回应一个ACK(ACK=y+1)报文,进入Established状态。

      四次挥手:(1)客户端某应用进程首先调用close,执行主动关闭,发送一个FIN报文,表示数据分发完毕。        

                        (2)服务端接收到FIN报文,并回应一个ACK报文执行被动关闭。

                        (3)一段时间后,服务端接收到这个文件结束符的应用进程将调用close关闭它的套接字,并发送一个FIN报文。

                        (4)接收这个最终FIN的客户端回应一个ACK报文确认这个FIN。

                通过wireshark流量图来显示三次握手,FIN,ACK是结束以前的指令

         

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值