抓包协议分析实验/Kali Linux --《网络安全》-- 使用 WireShark 对常用协议抓包并分析原理_小白信息安全笔记
前言
作为一款高效免费的抓包工具,可以捕获并描述网络数据包,其最大的优势就是免费、开源以及多平台支持,在GNU通用公共许可证的保障范围下,用户可以免费获取软件和代码,并拥有对其源码修改和定制的权利,如今其已是全球最广泛的网络数据包分析软件之一。接下来我就带大家用 实战:使用 对常用协议抓包并分析原理
常用协议分析-ARP 协议
地址解析协议(英语: ,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在 IPv4 中极其重要。ARP 是通过网络地址来定位 MAC 地址。
开始抓包---过滤 arp
我们使用 nmap 来基于 ARP 协议进行扫描
┌──(root xuegod53)-[~]
└─# nmap -sn 192.168.1.1
我们看一下我们抓取到的数据包分析第一个请求包
查看 () ARP 请求包内容:
Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ request ( 1 ) #操作码,该值为 1 表示 ARP 请求包
Sender MAC address: VMware_f1:35:ee (00:0c:29:f1:35:ee) #源 MAC 地址
Sender IP address: 192.168.1.53 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
Target IP address: 192.168.1.1 #目标 IP 地址
我们来分析第二个数据包 ARP 的应答数据包
查看: (reply) ARP 地址解析协议
Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ reply ( 2 ) #操作码,该值为 2 表示 ARP 回复包
Sender MAC address: XXXXXXXXXXXX (9c:61:21:75:55:50) #源 MAC 地址
Sender IP address: 192.168.1.1 #源 IP 地址
Target MAC address: VMware_f1:35:ee (00:0c:29:f1:35:ee) #目标 MAC 地址
Target IP address: 192.168.1.53 #目标 IP 地址
总结:我们可以看到到应答包补全了自己的 MAC 地址,目的地址和源地址做了替换我们再来看两个数据包的请求和过程
192.168.1.53 广播:谁有 192.168.1.1 的 MAC 地址?192.168.1.1 应答:192.168.1.1 的 MAC 地址是 很有趣的一个过程不是吗?
常用协议分析-ICMP 协议
我们把之前的数据包清空掉然后筛选 ICMP 协议的数据包
打开一个终端
┌──(root xuegod53)-[~]
└─# ping xuegod.cn -c 1
我们只发送一个 ping 包,方便我们分析发送完之后停止抓包即可。
我们先看请求包的内容我们可以看到这是个 4 层的协议包
下面我们开始分析 ICMP 协议包:ICMP 协议分析请求包
ICMP 协议分析应答包
工作过程:本机发送一个 ICMP Echo 的包接受方返回一个 ICMP Echo Reply,包含了接受到数据拷贝和一些其他指令
常用协议分析-TCP 协议
首先是清空数据包然后筛选 tcp 开始抓包
我们模拟一下 tcp 会话建立,那最简单的方式是什么呢?我们通过 远程连接 Kali Linux 就会捕获到完整的 TCP3 次握手的链接。
抓完数据包之后我们就停止抓包,接下来我们开始分析 TCP 的数据包TCP 协议最核心的概念无非就是 3 次握手 4 次断开,我们先讲 TCP 的 3 次握手
查看 TCP 协议:我们先来看第一个数据包 SYN 数据包
下面这样图是打开标志位的详细信息
我们从以上信息就可以看出这是一个 SYN 数据包,SYN=1 表示发送一个链接请求。这时 Seq 和ACK 都是 0
我们分析第二个数据包
Flags 位信息
我们可以看到服务端收到 SYN 连接请求返回的数据包 SYN=1,ACK=1 表示回应第一个 SYN 数据包。
我们看第三个数据包
到这里三次握手过程就结束了。我们生成一个图表来观察数据交互的过程
点击显示过滤器
前面 3 个就是 TCP 建立链接的过程,后面的就是相互通信的过程了这个时候 seq 就会根据数据包的大小改变。
我们清空一下数据包来看一下断开链接是一个什么样的过程.
我们在 窗口中输入 exit 退出
我们重新到 生成图标
们分析一下过程,我们在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的 端向客户端发起关闭链接请求。
第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入 状态
第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 进行确认,确认序号为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 状态。
第三次挥手:客户端发送 [FIN+ACK] 给对方,表示自己没有数据要发送了,客户端进入 状态,然后直接断开 TCP 会话的连接,释放相应的资源。
第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 状态,并发送 ACK 确认消息。
服务端在 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。
网络安全学习路线图(思维导图)
网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。
1. 网络安全视频资料
2. 网络安全笔记/面试题
3. 网安电子书PDF资料
~
7327
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
