Wireshark抓包分析(ARP TCP DNS HTTP)

最新推荐文章于 2024-07-25 08:50:21 发布
最新推荐文章于 2024-07-25 08:50:21 发布
阅读量8.2k 收藏 79
点赞数 11
分类专栏: 笔记 文章标签: wireshark 测试工具 网络 网络协议 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65712192/article/details/131181929
版权

目录

一、ARP

二、DNS

三、TCP

TCP的总过程:

​TCP三次握手:

 TCP四次挥手:

 四、HTTP

一、ARP

1.ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。

我们要抓ARP 同网段内的访问网关的情况。

先cmd执行 arp -a 命令,从ARP表中查看本网段内有哪些主机

然后 arp -d 清空ARP表

cmd执行 arp -a,验证ARP表已被清空(ARP的自主学习)

2.Ping本网段内任意主机

1)cmd执行下面这条命令获取局域网内所有主机:

命令的意思是:ping 10.200.1.xxx到 10.200.1.255 之间的所有IP,注意将IP地址改成自己的网段。

for /L %i IN (1,1,254) DO ping -w 2 -n 1 10.200.1.%i

ipconfig -all 查看本机IP及MAC地址:

全部ping网段 或者ping网关或某个ip

3.过滤ARP协议的数据包

显示过滤器中输入:arp,过滤ARP协议的数据包。

两个数据包,第一个包是ARP请求包,第二个包是ARP响应包。

先看第一个数据包,源地址(Source字段)是我自己的MAC地址(8d:e4:71)。
目标地址(Destination字段)是 Broadcast,就是广播的意思。
Info 字段,是对当前动作的描述。

总结一下第一个数据包做了什么:
我的电脑,发送了一个广播,广播的内容是 “谁是10.200.1.8?告诉10.200.1.36”
10.200.1.36是我电脑的IP,意思就是:呼叫10.200.1.8,收到请回复我。

第二个数据包的目的地址(Destination 字段)是我电脑的MAC地址

结合 Info 字段的信息,总结一下第二个数据包做了什么:
有个主机,向我的电脑发送了一个信息,信息的内容是 “10.200.1.36 是 c0-25-a5-8d-e4-71”
这个主机把MAC地址告诉了我的电脑。

结论:

ARP地址解析协议就像一个队内语音,他会向局域网内所有主机广播请求,索要目标IP的MAC地址;知道的主机就会响应具体的MAC地址。

4.数据包内容分析

接下来我们根据包的数据分析一下,这两个包是怎么做的:

1)第一个包的数据:

  • 第一处:ARP后面的括号里是 request,说明这是个请求包
  • 第二处:源IP、源MAC、目标IP都有值,目标MAC却全是0,意思就是告诉他们:我不知道这个IP的MAC地址。

2)第二个包的数据:

  • 第一处:ARP后面的括号里是 reply,说明这是个响应包
  • 第二处:源IP、源MAC、目标IP、目标MAC都有值,接收方可以从这里获取IP对应的MAC地址。

5.ARP自主学习

再次使用 arp -a 查看ARP表

可以发现,表中添加了我们刚才 ping 的IP,以及对应的MAC地址,这就是ARP的学习能力:解析成功的MAC地址会被临时缓存,以节约资源。

第六步:再次访问
1)Wireshark开启抓包,重新访问这个主机

2)查看ARP请求包的目的MAC地址

由于是第二次访问,ARP表中已经缓存了MAC地址,所以这次ARP请求不再广播,而是直接从ARP表中获取。

二、DNS

        DNS是一个应用层协议,基于TCP/IP传输,一般的DNS报文传输层是UDP报文。查询的时候一般请求DNS服务器的53端口号。

        启动wireshark,在浏览器输入www.xiaomi.com,访问小米的官网。(ps:网址会自动跳转到www.mi.com,这是因为小米官网做了域名重定向。)

 ping www.xiaomi.com 

 

 请求报文:

172.16.7.1(DNS服务器地址)

响应报文: 

可以看到,经过DNS查询,得到了IP地址123.125.103.192 和111.202.1.202

三、TCP

        传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流传输层通信协议,由IETFRFC 793 [1]  定义。

wireshark数据包详细栏每个字段对应的分层。

TCP的总过程:

TCP三次握手:

TCP三次握手示意图 

 

 

1)第一次握手

可以看到,客户端发起一个SYN请求,初始序列号为0

2)第二次握手

服务端返回SYN+ACK,并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

 3) 第三次握手

客户端返回一个ACK,并且返回一个确认号ack=1,并且将自己的序列号seq更新为1

  到此,TCP三次握手就结束了。客户端与服务端之间已经成功建立起连接。

 TCP四次挥手:

 TCP四次挥手示意图

 第一次挥手:客户端发起一个FIN,表示客户端希望断开连接。

 第二次挥手:服务端返回一个ACK,表示对客户端断开请求的应答。

 第三次挥手:服务端发起一个FIN,表示服务端希望断开连接。

 第四次挥手:客户端返回一个ACK,表示对服务端断开请求的应答。

 1)第一次挥手

        客户端发起一个FIN请求(表示客户端希望断开连接),

序列号seq=1,应答号ack=1。注意这里的应答是上一次数据通信过程中的应答。

2)第二次

        服务端返回一个ACK(表示对客户端断开请求的应答) 

应答号ack=2,序列号seq=1

 3)第三次挥手

         服务端返回一个ACK(表示对客户端断开请求的应答)+FIN(表示服务端希望发起断开请求)

应答号ack=2,序列号seq=1      

4)第四次挥手

         客户端返回一个ACK(表示对服务端断开请求的应答)

应答号ack=2,序列号seq=2

附:

访问www.xiaomi.com的TCP总过程: 

 四、HTTP

         超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。

HTTP报文由三部分组成,开始行、首部行和实体主体,如图。

在请求报文中,开始行就是请求行。

以超星学习通为例吧:

因为现在大部分网站都是用https加密了。

超星

鲨鱼抓包:

 200的响应码:

小米的 mi.com:

 TLS协议Client Hello

 服务端发出的Server Hello

 到此,TLS的握手过程就结束了,后面可以加密传输消息了。

橙子学不会.
关注
  • 11
    点赞
  • 79
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络wireshark实验
CHL的博客
11-23 2204
验证性实验一、数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程二、网络层实作二 IP 包的分段与重组实作三 考察 TTL 事件三、传输层实作一 熟悉 TCP 和 UDP 段结构实作二 分析 TCP 建立和释放连接四、应用层实作一 了解 DNS 解析实作二 了解 HTTP 的请求和应答 一、数据链路层 实作一 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源
Wireshark抓包分析TCP协议与Fiddler 抓包解密HTTPS
clyrjj的博客
12-10 2433
文章目录一、TCP协议与通信过程讲解二、Wireshark抓包验证三、了解Fiddler四、Fiddler抓包五、总结六、参考 一、TCP协议与通信过程讲解 1、 TCP(Transmission Control Protocol 传输控制协议)是一种面向连接(连接导向)的、可靠的、 基于IP的传输层协议。 2、 OSI的七层模型: TCP工作在网络OSI的七层模型中的第四层——Transport层,IP在第三层——Network层,ARP 在第二层——Data Link层;在第二层上的数据,我们把它叫
WireShark抓包分析
热门推荐
hebbely的博客
01-14 19万+
简述:本文介绍了抓包数据含义,有TCP报文、Http报文、DNS报文。如有错误,欢迎指正。 1、TCP报文 TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。 T
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-25 1739
w 保存的文件路径及文件名称;强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。Wireshark中流量图工具,就可以帮助完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。@网 络 工 程 师 俱 乐 部。
Wireshark抓包分析,看这篇就够了!
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
11-10 1万+
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交...
wireshark ARP抓包
flyingzc的博客
06-16 6227
wireshark arp抓包 ARP 是借助 ARP 请求与 ARP 响应两种类型的包确定 MAC 地址. 1.主机会通过广播发送 ARP 请求,这个包中包含了想要知道的 MAC 地址的主机 IP 地址。 2.当同个链路中的所有设备收到 ARP 请求时,会去拆开 ARP 请求包里的内容,如果 ARP 请求包中的目标 IP 地址与自己的 IP 地址一致,那么这个设备就将自己的 MAC 地址塞入 ARP 响应包返回给主机。 3.操作系统通常会把第一次通过 ARP 获取的 MAC 地址缓存起来,以便下次直接从缓
wireshark抓包分析
weixin_53112703的博客
02-20 2573
用于建立连接过程,在连接请求中,SYN=1和ACK=0表示该数据段没有使用捎带的确认域,而连接应答捎带一个确认,即SYN=1和ACK=1。指示报文段里存在着被发送方的上层实体标记为”紧急”数据,当URG=1时,其后的紧急指针指示紧急数据在当前数据段中的位置(相对于当前序列号的字节偏移量),TCP接收方必须通知上层实体。一般而言,如果你得到的数据段被设置了RST位,那说明你这一端有问题了。当ACK=0时,表示该数据段不包含确认信息,当ACK=1时,表示该报文段包括一个对已被成功接收报文段的确认。
wireshark抓包分析HTTPDNS、TLS、SMTP、RTP、RTMP.pdf
10-20
本篇将详细解析Wireshark抓包分析中的HTTPDNS、TLS、SMTP、RTP、RTMP等协议。 首先,HTTP(超文本传输协议)是应用层协议,用于在Web上发送和接收数据。在Wireshark中,我们可以看到HTTP请求开始行(例如"GET / ...
wireshark抓包协议解读及ARP攻击和泛洪攻击.docx
05-19
Wireshark抓包协议解读】Wireshark是一款强大的网络封包分析软件,它能捕获网络中的数据包并解析其内容,帮助我们理解网络通信的细节。在TCP协议方面,Wireshark揭示了TCP三次握手和四次挥手的过程。三次握手确保...
Wireshark抓包全集(85种协议、类别的抓包文件)
12-01
通过Wireshark对这些抓包文件的深入分析,不仅可以了解各种网络协议的运作细节,还可以提升网络故障排查和安全分析的能力。对于IT从业者来说,熟练掌握Wireshark的使用是提升专业素养的重要一环。
wireshark抓包分析过程
05-06
通过wireshark抓包分析http数据包 解析帐号密码通
ARP抓包详细分析
11-03
通过抓包详细分析ARP协议的内容,非常通俗易懂
基于arp病毒欺骗的抓包工具
11-29
这是一款基于arp病毒欺骗的抓包工具的应付老师检查代码,非常有用
Wireshark抓包分析ARP协议
wangyuxiang946的博客
04-30 3万+
使用Wireshark工具抓取ARP协议的数据包,分析ARP协议的地址解析过程、自主学习逻辑以及初次访问和多次访问的区别。
ARP协议抓包分析
xiaoxiao的博客
05-22 3万+
一、什么是ARP ARP(地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI将网络分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要知道先封装第三层和第二层的报头。但由于发送数据包时只知道目标IP地址,不知道其MAC地址,而又不能跨越第二、三层,所以需要地址解析协议。 二、ARP工作流程 ARP请求与响应过程 (1...
Wireshark——抓包分析
qq_45951891的博客
11-04 2万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
Wireshark-----抓包分析
HakuMaster的博客
07-13 1万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网卡,例如WLAN,点击确定即可;
Wireshark抓包详细分析
永远在奔跑的学习者
11-26 1万+
wireshark抓包介绍 这里选了wifi网卡,开始抓包 上方的文本框可以输入一些规则,对抓到的包进行过滤。 过滤策略: 只看 TCP 协议的包,可以输入 tcp 然后回车; 如果想看使用 UDP 协议的某个端口,输入 udp.port == 端口号 回车 如果想看目标 IP 地址是 192.168.1.123 的包,可以输入 ip.dst ==192.168.1.123 然后回车;...
使用wireshark抓包分析PPPIPARP、ICMP、DNS、UDP、TCP协议
05-17
使用Wireshark抓包分析各种协议的步骤如下: 1. 打开Wireshark软件,选择需要抓包网络接口,点击“开始”按钮开始抓包。 2. 在抓包过程中,可以通过筛选器选择需要分析的协议,比如PPPIPARP、ICMP、DNS、UDP、TCP等。 3. 分析PPPIP协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Protocol Hierarchy”选项。 b. 在协议分层结构图中,可以看到PPPIP协议的层级结构。 c. 选择PPPIP协议的数据包,可以在“Packet Details”窗口中查看PPPIP协议的详细信息,包括协议头部信息和数据负载。 4. 分析ARP协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Conversations”选项。 b. 在“Conversations”窗口中选择“ARP”协议,可以查看所有ARP协议的数据包。 c. 选择ARP协议的数据包,可以在“Packet Details”窗口中查看ARP协议的详细信息,包括协议头部信息和数据负载。 5. 分析ICMP协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Endpoints”选项。 b. 在“Endpoints”窗口中选择“ICMP”协议,可以查看所有ICMP协议的数据包。 c. 选择ICMP协议的数据包,可以在“Packet Details”窗口中查看ICMP协议的详细信息,包括协议头部信息和数据负载。 6. 分析DNS协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Endpoints”选项。 b. 在“Endpoints”窗口中选择“DNS”协议,可以查看所有DNS协议的数据包。 c. 选择DNS协议的数据包,可以在“Packet Details”窗口中查看DNS协议的详细信息,包括协议头部信息和数据负载。 7. 分析UDP协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Protocol Hierarchy”选项。 b. 在协议分层结构图中,可以看到UDP协议的层级结构。 c. 选择UDP协议的数据包,可以在“Packet Details”窗口中查看UDP协议的详细信息,包括协议头部信息和数据负载。 8. 分析TCP协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Protocol Hierarchy”选项。 b. 在协议分层结构图中,可以看到TCP协议的层级结构。 c. 选择TCP协议的数据包,可以在“Packet Details”窗口中查看TCP协议的详细信息,包括协议头部信息和数据负载。 以上就是使用Wireshark抓包分析PPPIPARP、ICMP、DNS、UDP、TCP协议的步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值