使用wireshark抓包理解tcp协议和tls

最新推荐文章于 2024-06-03 13:42:30 发布
最新推荐文章于 2024-06-03 13:42:30 发布
阅读量2.1k 收藏 7
点赞数
文章标签: tcp/ip wireshark 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1036548849/article/details/130273736
版权

首先下载安装wireshark
打开软件

1.选则自己连结的网络;
在这里插入图片描述
在这里插入图片描述
此时就会捕获的数据

2.加上端口过滤。
在这里插入图片描述

3.启动一个本地的http服务(这里采用的nodejs);

// server.js
import koa from 'koa';
const app = new koa();
app.use(ctx => {
    ctx.body = "hello"
})
app.listen(3000)

node server.js

4.curl http://localhost:3000
在这里插入图片描述

在这里插入图片描述

一个TCP报文段的最大长度为65495字节.
TCP封装在IP内,IP数据报最大长度2^16-1 ,头部最小20TCP头部长度最小20,所以最大封装数据长度为65535-20-20=65495
TCP固定首部20个字节,即除去选项及填充

Syn (Synchronize Sequence Numbers) 同步序列编码;
Seq (Sequence Number) 当前包序列号;
Sequence Number (raw)== Syn +Seq;
Next Sequence Number 下一个包的的序列号 ==Seq + Len
Acknowledgment Number 确认序号
Acknowledgment number (raw) ==确认序号 + (对方)Sequence Number (raw)
Len 数据包长度
点击SEQ=0的行,可以看到如下数据:

1. tcp第一次握手:客户端===>服务端 发起连接请求。
Sequence Number: 0    (relative sequence number) 
Sequence Number (raw): X
[Next Sequence Number: 1    (relative sequence number)]
Acknowledgment Number: 0
Acknowledgment number (raw): 0
...
.... .... ..1. = Syn: Set  #(不重复随机数X)
2. tcp第二次握手:服务端===>客户端 回应请求。
Sequence Number: 0    (relative sequence number)
Sequence Number (raw): Y 
[Next Sequence Number: 1    (relative sequence number)]
Acknowledgment Number: 1
Acknowledgment number (raw): X+1
...
.... .... ..1. = Syn: Set # (不重复随机数Y)
3.tcp第三次握手:客户端===>服务端 回应。
Sequence Number: 1    (relative sequence number)
Sequence Number (raw): X+1 #4257407297
Acknowledgment Number: 1
Acknowledgment number (raw): Y+1 #3318791688
...
.... .... ..1. = Syn: Set

三次握手

在这里插入图片描述

第1次挥手:客户端发送一个FIN,用来关闭客户端到服务端的数据传送,客户端进入FIN_WAIT_1状态;
第2次挥手:服务端收到FIN后,发送一个ACK给客户端,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),服务端进入CLOSE_WAIT状态;
第3次挥手:服务端发送一个FIN,用来关闭服务端到客户端的数据传送,服务端进入LAST_ACK状态;
第4次挥手:客户端收到FIN后,客户端t进入TIME_WAIT状态,接着发送一个ACK给Server,确认序号为收到序号+1,服务端进入CLOSED状态,完成四次挥手。

其中:FIN标志位数置1,表示断开TCP连接。

四次挥手

在这里插入图片描述

在这里插入图片描述

  1-3行:建立连接;
   6 行:服务端==>客户端:回答79号的内容:第1包 ,长度65495,下一个包编号65496;
   7 行:服务端==>客户端:回答79号的内容:第65496包 ,长度65495,下一个包编号130991;
   8 行:服务端==>客户端:回答79号的内容:第130991包 ,长度65495,下一个包编号196486;
   9 行:服务端==>客户端:回答79号的内容:第196486包 ,长度65495,下一个包编号261981;
  10 行:服务端==>客户端:回答79号的内容:第261981包 ,长度65495,下一个包编号327476;
  11 行:服务端==>客户端:回答79号的内容:第327476包 ,长度56384,下一个包编号383860;(完)
  12 行:客户端==>服务端:回答383860号内容:确认79号包
15-18行:断开连接;(同理)

http与https

从图中可以看出http是明文传输的:

在这里插入图片描述

https网络协议模型:

在这里插入图片描述

SSL/TLS握手过程

在这里插入图片描述
然后我们尝试抓取一下https
在这里插入图片描述

第一步,浏览器给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的加密方法。
在这里插入图片描述

第二步,服务器确认双方使用的加密方法,使用的tls版本号和一个随机数。
在这里插入图片描述

第三步,并给出数字证书、以及一个服务器运行Diffie-Hellman算法生成的参数,比如pubkey。
在这里插入图片描述

第四步,浏览器获取服务器发来的pubkey,计算出另一个pubkey,发给服务器。
在这里插入图片描述

第五步,服务器发给浏览器一个session ticket。
在这里插入图片描述

Z网球
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle sequence next number,TCP next sequence number问题求助,可能有些难度
weixin_42299032的博客
04-09 962
TCPnextsequencenumber问题求助,可能有些难度(2012-04-11 03:59:16)标签:nextsequencenumber杂谈TCP next sequencenumber问题求助,可能有些难度最近在使用wireshark的text2pcap工具生成一些报文(写培训材料用) ,偶然我发现wiresharktcp head中,还有一个神奇的字段:Next seque...
Wireshark抓包全集-85种协议
11-01
本资源"Wireshark抓包全集-85种协议"涵盖了85种不同的网络通信协议,包括基础的和复杂的协议,对于深入理解网络工作原理和提升网络问题解决能力非常有帮助。 首先,我们来探讨一下其中一些核心协议: 1. ARP(地址...
wireshark解密TLS流量
qq_45751032的博客
08-23 5073
利用wireshark解密TLS数据包
网络技术】【Kali Linux】Wireshark嗅探(十六)TLS(传输层安全协议)报文捕获及分析
weixin_43031313的博客
06-03 1203
传输层安全性协议(英语:Transport Layer Security,缩写:TLS),前身称为安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。
wireshark抓包分析TLS协议
m0_50084718的博客
01-29 1万+
一、SSL/TLS简介 1、协议介绍 SSL/TLS是保护计算机网络通讯安全的一类加密协议,它们在传输层上给原先非安全的应用层协议提供加密保护,如非安全的HTTP协议即可被SSL/TLS保护形成安全的HTTPS协议。 SSL、TLS协议其实是有所差异的,TLS协议是继承了SSL协议并写入RFC,标准化后的产物。因此,通常使用SSL来指代SSL协议TLS协议。 SSL (Secure Socket Layer)安全套接字层协议 • SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客
黑客工具之Wireshark安装,超详细使用教程(附安装包)
Python_0011的博客
02-04 6440
Display Filter(显示过滤器), 用于过滤Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表信息不同Packet Details Pane(封包详细信息), 显示封包中的字段Dissector Pane(16进制数据)Miscellanous(地址栏,杂项)显示过滤器(Display Filter)
wireshark抓包分析SSL/TLS协议
Alexwym的博客
10-15 8132
SSL/TLS协议一般有两种握手过程,一种是SSL握手,一种是会话恢复。前些时候在写HTTP和HTTPS协议区别的时候介绍了SSL协议的相关理论知识,但多少还是有点抽象,今天我们可以通过wireshark抓包来分析下SSL握手的过程。 一、正常的握手过程 (一)过程如下 (二)wireshark抓到的对应的包如下 (三)具体的包分析 Client Hello 包中...
Wireshark抓包全集(85种协议、类别的抓包文件).zip
11-30
本资源"Wireshark抓包全集(85种协议、类别的抓包文件).zip"包含了85种不同协议和类别的抓包文件,对于学习和理解各种网络协议有极大的帮助。 首先,让我们了解Wireshark的基本操作和功能。Wireshark提供了图形化...
使用wireshark抓包软件分析微信协议-计算机网络实验大作业.doc
06-07
通过这样的实验,学生能够深入理解网络协议工作原理,掌握使用Wireshark进行网络分析的基本技能,并对微信这类复杂应用的底层通信有直观的认识。这种实践操作对于学习计算机网络网络安全和协议分析等课程具有重要...
TCPTLS数据报文抓包
03-18
1、生成 wireshark 工具可读取的 capture.pcap 抓包文件; 2、学习 “DNS解析步骤”报文结构; 3、学习 “TCP三次握手”报文结构; 4、学习 “TLS握手与秘钥协商” 等过程。 详细介绍,可参考我的技术文章: 一文...
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
**TCP/IP通信协议详解与Wireshark抓包分析** 在信息技术领域,TCP/IP通信协议是互联网上数据交换的基础。TCP(传输控制协议)和IP(因特网协议)是这个协议族中的两个核心组件,负责确保数据的可靠传输和网络寻址。...
wireshark抓包解密TLS,解决个人环境看不到明文流量
Dui
10-20 894
按照上面的步骤抓到流量后,正常是可以看到明文数据,但在我的wireshark上一直看不到。因为有其它替代方案(在反向代理后面抓包、fiddler),几年前发现解不开,就认为是wireshark的问题。最近发现同事抓的流量包可以解出密文。导入其它环境正常的抓包,在我的电脑上还是没有变化。困扰了几年的问题得以解决成功看到wireshark明文。,实际上我的配置是开的。死马当活马医,勾选全部协议。在晚上各种找,偶然遇到一篇。
懂了!国际算法体系对称算法DES原理
xiexiaojing的博客
09-20 989
概念加密领域主要有国际算法和国密算法两种体系。国密算法是国家密码局认定的国产密码算法。国际算法是由美国安全局发布的算法。由于国密算法安全性高等一系列原因。国内的银行和支付机构都推荐使用国...
TCP报文段的数据长度是如何计算得到的
热门推荐
anlian523的博客
10-27 2万+
IP的总长度 - IP的头部长度- TCP的头部长度 = TCP的Data的长度
WireShark抓包TCP三次握手和四次挥手
子冉冰清的博客
02-23 2657
TCP和UDP TCP报文格式 TCP首部的报文格式如下: 宏观上来看如下: 来源连接端口(16位长)-识别发送连接端口 目的连接端口(16位长)-识别接收连接端口 序列号(seq,32位长): 如果含有同步化旗标(SYN),则此为最初的序列号;第一个数据比特的序列码为本序列号加一。 如果没有同步化旗标(SYN),则此为第一个数据比特的序列码。 确认号(ack,32位长)— 期望收到的数据的开始序列号。也即已经收到的数据的字节长度加1。 数据偏移(4位长)— 以4字节为单位
wireshark中怎么解析TLS, HTTPS数据包
yunsong233的博客
06-08 2924
注意, wireshark 3.0之后的版本, tcp协议中 Reassemble out-of-order segments 需要勾选上, 默认是不勾选的。
Wireshark基础使用,SSL解密及http抓包入门教程
米不开朗基罗的博客
11-18 7413
Wireshark VS Fiddler/Charles(一)下载与安装(二)抓取https等解密(三)报文传输各层简要介绍 Wireshark VS Fiddler/Charles Wireshark功能很多、作用效果很底层,并且可以监听指定的网卡上流过的所有流量,支持的协议如下: ARP 协议:地址解析协议,即ARP(Address Resolution Protocol),是根据 IP地址 获取 物理地址 的一个 TCP/IP协议 ICMP 协议:控制 报文 协议。 它是 TCP/I
理解HTTPS/TLS/SSL(一)基础概念+配置本地自签名证书
特别享受思考问题的过程
08-27 2381
对于HTTPS、TLS、SSL相关的概念,平时也是时常接触到。看过几篇文章之后,总以为自己真正了解了,实际上碰到问题时才知道,自己恐怕连入门都算不上。所以打算入个门,补上这一部分的基础知识,对于更深层次的东西,例如各种标准的解读,则不打算深入。
Fiddler -- 记录并检查所有你的电脑和互联网之间的http通讯
BugMaker
06-05 1029
fiddler 简介 Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。 Fiddler 要比其他的网络调试器要更加简单,因为它不仅仅暴露http通讯还提供了一个用户友好的格式。 使用 Fiddler支持断点调试技术,当你在软件的菜单—r...
国密https握手协议抓包分析Wireshark
最新发布
06-19
HTTPS (Hypertext Transfer Protocol Secure) 是HTTP协议的一个安全版本,通过SSL/TLS协议加密数据,提供数据传输的安全性和隐私保护。当你使用Wireshark抓包分析HTTPS流量时,你会看到实际的网络通信被包装在一个加密套接字中,这使得直接查看数据内容变得困难。 抓包分析HTTPS的主要步骤如下: 1. **启动Wireshark**:首先,打开Wireshark,并确保已经安装了SSL/TLS解密插件(如SSL dissector),以便正确解析加密流量。 2. **选择接口和过滤器**:选择你的网络接口,通常选择“Any”来捕获所有流量,然后添加过滤器`tcp.port == 443`,这样只会显示HTTPS流量。 3. **截取流量**:开始抓包,等待一段连接时间,确保捕获到完整的HTTPS会话,包括三次握手(TCP连接建立)和后续的数据交换。 4. **解密流量**:Wireshark会自动对SSL/TLS包进行解密,但解密过程可能会因为证书问题、私钥缺失等原因失败,这时可能需要手动导入相应的证书或信任链。 5. **查看会话信息**:在捕获的包中,你可以看到TLS/SSL连接的详细信息,如版本、加密算法、认证方法等。HTTP请求和响应会被转换为明文显示。 6. **分析数据**:通过查看HTTP请求头和响应头,可以了解请求的URL、方法、HTTP状态码以及任何附加的身份验证信息。 相关问题: 1. 如何在Wireshark中导入自定义的SSL证书来解密HTTPS会话? 2. HTTPS握手过程中,三次握手具体指什么? 3. Wireshark如何处理SSL/TLS连接失败的情况?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值