计算机基础第二篇—安全类抓包教程

已于 2023-10-26 18:50:22 修改
阅读量176 收藏
点赞数
分类专栏: 计算机网络概念篇 文章标签: 网络 tcp/ip 网络协议
于 2022-09-14 18:54:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16510189/article/details/126835374
版权
  • Burp Suite
  • wireshark
    • 安装教程
    • 语法
      • 过滤ip
        • ip.addr eq 192.168.1.107
      • 过滤端口
        • 来源和目标都筛选
          • tcp.port eq 80 
        • 目标端口
          • tcp.dstport == 80
        • 来源端口
          • tcp.srcport == 80
      • 过滤Mac
        • 来源和目标都筛选
          • eth.addr eq A0:00:00:04:C5:84
        • 过滤目标
          • eth.dst == A0:00:00:04:C5:84
        • 过滤来源
          • eth.src eq A0:00:00:04:C5:84
      • http模式过滤
        • http.request.method == "GET"
        • http.request.method == "POST"
    • Mac 抓包
      • 开启mac端蓝牙和手机端蓝牙
      • 打开wireshark
        • 查看更新的蓝牙设备,点击进入

    • 数据分析

      • Frame
        • 物理层的数据帧概况。
          • -Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0 //5号帧,对方发送66字节,实际收到66字节 -Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD}) //接口id为0 -Encapsulation type: Ethernet (1) //封装类型 -Arrival Time: Jul 5, 2017 15:14:31.865685000 //捕获日期和时间(中国标准时间) -[Time shift for this packet: 0.000000000 seconds]-Epoch Time: 1499238871.865685000 seconds-[Time delta from previous captured frame: 0.006861000 seconds] //与前一包时间间隔 -[Time delta from previous displayed frame: 0.006861000 seconds]-[Time since reference or first frame: 0.613985000 seconds] //#此包与第一帧的时间间隔 -Frame Number: 5 //帧序号 -Frame Length: 66 bytes (528 bits) //帧长度 -Capture Length: 66 bytes (528 bits) //捕获字节长度 -[Frame is marked: False] //是否做了标记 -[Frame is ignored: False] //是否被忽略 -[Protocols in frame: eth:ethertype:ip:tcp] //帧内封装的协议层次结构-[Coloring Rule Name: HTTP] //着色标记的协议名称 -[Coloring Rule String: http || tcp.port == 80 || http2] //着色规则显示的字符串
      • Ethernet II
        • 数据链路层以太网帧头部信息。
          • -Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5)- Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) //目的MAC地址 - Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) //源MAC地址(就是我电脑的MAC地址) - Type: IPv4 (0x0800) //0x0800表示使用IP协议
      • Internet Protocol Version 4
        • 互联网层IP包头部信息
          • Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.142 0100 .... = Version: 4 //IPV4协议 .... 0101 = Header Length: 20 bytes (5) //包头长度 -Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) //差分服务字段 -Total Length: 52 //IP包总长度 -Identification: 0x3849 (14409) //标识字段 -Flags: 0x02 (Don't Fragment) //标记字段 -Fragment offset: 0 //分段偏移量 -Time to live: 128 //生存期TTL -Protocol: TCP (6) //此包内封装的上层协议为TCP -Header checksum: 0xd100 [validation disabled] //头部数据的校验和 -[Header checksum status: Unverified] //头部数据校验状态 -Source: 192.168.2.112 //源IP地址 -Destination: 116.211.185.142 //目的IP地址 -[Source GeoIP: Unknown] //基于地理位置的IP -[Destination GeoIP: Unknown]
      • Transmission Control Protocol
        • 传输层的数据段头部信息,此处是TCP协议。
          • Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0-Source Port: 60606 //源端口号(ecbe) -Destination Port: 80 //目的端口号(0050) -[Stream index: 0] -[TCP Segment Len: 0] -Sequence number: 0 (relative sequence number) //序列号(相对序列号)(四个字节fd 3e dd a2)-Acknowledgment number: 0 //确认号(四个字节00 00 00 00) -Header Length: 32 bytes //头部长度(0x80)- Flags: 0x002 (SYN) //TCP标记字段 -Window size value: 8192 //流量控制的窗口大小(20 00)-[Calculated window size: 8192] -Checksum: 0x97ad [unverified] //数据段的校验和(97 ad) -[Checksum Status: Unverified] -Urgent pointer: 0 //紧急指针(00 00) -Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted //选项(可变长度
      • User Datagram Protocol
        • UDP协议
          • User Datagram Protocol, Src Port: 7273, Dst Port: 15030-Source Port: 7273 //源端口(1c 69) -Destination Port: 15030 //目的端口(3a 6b) -Length: 1410 //长度(05 82) -Checksum: 0xd729 [unverified] //校验和(d7 29) -[Checksum Status: Unverified]-[Stream index: 6335]
      • Hypertext Transfer Protocol
        • 应用层的信息,此处是HTTP协议
    • 应用场景
      • 网络管理员会使用wireshark来检查网络问题
      • 软件测试工程师使用wireshark抓包,来分析自己测试的软件,测试网络性能
      • 从事socket编程的工程师会用wireshark来调试
    • 图形化组件
      • IO Graphs
      • Time/Sequence Graph
        • 横坐标代表了时间偏移量,纵坐标代表着tcp数据包中的seq值得变化
    • 分析断开链接原因

    • 分析网络延迟
      • 1、网络线路本身有延迟
      • 2、客户端存在延迟
      • 3、服务器端存在延迟
  • tcpdump
    • socket抓包工具
    • 服务端抓包
      • mac使用必须用root授权
        • sudo tcpdump
        • 规则 tcpdump option dir typt
          • option可选参数
          • proto类过滤器
            • tcp
            • ump
            • imp
            • ip
            • ip6
            • arp
          • type类过滤器
            • host
            • net
            • port
          • direction类过滤器
            • src
            • dsr
        • 分析
          • 14:39:00.738343 IP 10.13.12.49.56320 > 203.119.129.64.https: Flags [.], ack 3823168929, win 65535, length 0
            • 第一列:时分秒毫秒
              • 14:39:00.738343
            • 第二列:网络协议
              • IP
            • 第三列:发送方的ip地址+端口号
              • 10.13.12.49.56320
            • 第四列:箭头 >, 表示数据流向
            • 接收方的ip地址+端口号
              • 203.119.129.64.https
            • 第六列:冒号
            • 第七列:数据包内容,包括Flags 标识符,seq 号,ack 号,win 窗口,数据长度 length,其中 [P.] 表示 PUSH 标志位为 1,更多标识符见下面
              • Flags [.], ack 3823168929, win 65535, length 0
        • 过滤规则
          • 主机过滤
            • tcpdump host 192.168.10.100
          • 源、目标
            • tcpdump -i eth2 src 192.168.10.100
            • tcpdump -i eth2 dst 192.168.10.200
          • 网络过滤
            • tcpdump net 192.168.10.0/24
          • 端口过滤
            • 单端口
              • sudo tcpdump tcp port 80
            • 双端口
              • tcpdump port 80 or port 8088
          • 协议名
            • tcpdump tcp port http
            • tcpdump tcp port https
            • tcpdump icmp
          • ip版本
            • tcpdump 'ip proto tcp'
            • tcpdump 'ip6 proto tcp'
        • 过滤结果输出到文件
          • 写文件
            • tcpdump icmp -w icmp.pcap
        • 文件包读数据
          • 读文件
            • tcpdump icmp -r all.pcap
    • 手机端抓包
      • beanshell脚本
        •  
          • #!/bin/bash
          • savepath=$(cd `dirname $0`; pwd)
          • function pause(){
          • read -n 1 -p "$*" INP
          • if [ [$INP != ''] ] ; then
          • echo -ne '\b \n'
          • fi
          • }
          • adb wait-for-device
          • echo '连接设备'
          • result=`adb devices`
          • ipAddr=${result#*attached}
          • ipAddr=${ipAddr%%device*}
          • ipAddr=${ipAddr:1:19}
          • echo '设备名称:'$ipAddr
          • DATE="`date +%Y%m%d%H%M%S`"
          • echo $DATe
          • source_path=/sdcard/
          • out_path=$source_path$DATE
          • echo $out_path
          • echo $DATE
          • echo "按下任意键停止抓包"
          • adb shell /data/local/tcpdump -i any -vv -s 0 -w $out_path.pcap
          • pause '按下任意键保存文件'
          • adb pull $out_path.pcap $savepath
          • echo "save cap_$DATE.pcap to $savepath success!"
      • 将脚本工具tcpdump放到手机中
        • adb push /Users/xm210407/Desktop/tcpdump /data/local
      • 更改权限
        • adb shell
        • cd data/local/
        • chmod 777 tcpdump
      • 执行抓包
        • ./tcpdump -i any -p -vv -s 0 -w capture.pcap
      • 停止抓包
        • ctrl+c

Aurora Top
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Wireshark数据包分析之TCP协议包解读
weixin_33860528的博客
06-06 3361
*此篇博客仅作为个人笔记和学习参考 三次握手建立连接(SYN标志) 客户端发送链接请求,此时处于等待确认状态;服务端收到请求,回应确认请求;最后客户端确认;建立完毕,开始传输数据! 四次握手断开连接(FIN标志) 客户端发送断开请求,此时处于等待确认状态;服务端收到请求,回应确认请求,并再次确认是否断开;客户端最后确认;断开链接! TCP协议包首部格式 三次握手建立连接---分析 ...
Wireshark基础使用,SSL解密及http抓包入门教程
米不开朗基罗的博客
11-18 7289
Wireshark VS Fiddler/Charles(一)下载与安装(二)取https等解密(三)报文传输各层简要介绍 Wireshark VS Fiddler/Charles Wireshark功能很多、作用效果很底层,并且可以监听指定的网卡上流过的所有流量,支持的协议如下: ARP 协议:地址解析协议,即ARP(Address Resolution Protocol),是根据 IP地址 获取 物理地址 的一个 TCP/IP协议 ICMP 协议:控制 报文 协议。 它是 TCP/I
BUG——ERR_SSL_PROTOCOL_ERROR
Today_He的博客
10-09 1073
问题描述 直接上图 浏览器不同,报错样式略有差别,不过提醒都差不多(ERR_SSL_PROTOCOL_ERROR) 网页报错 控制台报错 解决方案 错误访问地址——https://localsht:8080/ 正确访问地址——http://localsht:8080/ 科普 ????参考链接????https://blog.csdn.net/xiaoming100001/article/details/81109617 http与https 1、什么是http? 超文本传输协议,是一个基于请求与响应,无
TCP 协议的操作(TCP Operation)
maimang1001的专栏
01-15 359
TCP的主要目的是在两个建立连接的进程之间提供可靠,安全的逻辑电路或连接服务。 为了在可靠性较差的Internet通信系统之上提供此服务,需要以下列举的设施: 基本数据传输 可靠性 流量控制 多路复用 连接 优先与安全 以下各段介绍了上面列举的TCP的基本操作 基本数据传输: 通过将一定数量的八位字节打包成段,以便通过Internet系统传输,TCP能够在其用户之间的每个方向上传输连续的八位字节流。 通常,TCP根据自己的便利决定何时阻止和转发数据。 有时,用户需要确保已提交给TCP的所有
IPTV抓包教程.doc
07-05
IPTV 抓包教程 本文档提供了一份关于使用 Wireshark 抓包软件和 VLC 播放器在局域网中抓包 IPTV 流量的教程。该教程详细介绍了抓包的步骤、设置镜像口、使用 Wireshark 抓包和使用 VLC 播放 IPTV 流量的过程。 一...
科莱,抓包网络安全,渗透
最新发布
01-04
科莱,抓包网络安全,渗透必备工具中文方便使用
BurpSuite的下载安装_http抓包改包重放_安全渗透教程.rar
11-14
BurpSuite2021的下载安装,环境变量配置,http抓包,改包,重放, 以及安全测试,渗透攻击教程
Fiddler数据抓包基础教程.pdf
09-17
Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求,可以针对特定的HTTP请求,分析请求数据、设置断点、调试web应用、修改请求的数据,...
Fiddler数据抓包基础教程
11-23
Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件,这些都可以让你胡乱修改的意思)。...
TCP协议及数据结构
zyy247796143的博客
09-14 3729
特点 面向连接:通讯双方交换数据前必须建立连接 可靠的:多种确保可靠性的机制 关键名词解释 字节流服务:8bits(1Byte)为最小单位构成的字节流 套接字地址: TCP 使用“连接”(而不仅仅是“端口”)作为最基本的抽象,同时将TCP连接的端点称为插口(socket),或套接字、套接口。 插口和端口、IP地址段关系是: TCP 发送进程以字节流的形式传递数据,而接收进程也把数据作为字节流来接收,类似于假想的管道 UDP 发送进程的数据报文都是独立的,因此UDP不是面向流的协议。 缓存:数据流向的每一
TCP报文格式
热门推荐
怀揣梦想,努力前行
06-10 9万+
TCP(Transmission Control Protocol)传输控制协议是一种面向连接的、可靠的、基于字节流的传输层协议TCP报文格式:源端口号(2字节):    d5 df(54751)目的端口号(2字节):    22 b8(8888)TCP报头中的源端口号和目的端口号同IP数据报中的源IP与目的IP唯一确定一条TCP连接序号(4字节):    37 59 56 75    用来标识T...
结合Wireshark捕获分组深入理解TCP/IP协议栈之TCP协议
laughing_zhu的专栏
01-14 1767
结合Wireshark捕获分组深入理解TCP/IP协议栈之TCP协议 (2013-01-11 14:22) 标签:  的  是  IP协议  客户机  style  分类: 网络 摘要: 本文简单介绍了TCP面向连接理论知识,详细讲述了TCP报文各个字段含义,并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析。 一、概述
TCP选项
专注互联网后端技术
11-28 713
       TCP首部可以由多达40字节的可选信息。选项用于把附加信息传递给终点,或用来填充对齐其他选项。我们将定义两大类选项:1字节选项和多字节选项。第一类选项包括两种选项:选项列表结束和误操作。在大多数实现中,第二类选项包括了五种选项:最大报文段长度、窗口扩大因子、时间戳、允许SACK和SACK,见下图。   选项结束(EOF)        选项结束(end of optio...
tcp的option字段
woxiaozhi的专栏
11-10 1万+
找到了RFC文档中关于tcp报头中option字段的内容,好好阅读一下,有时间再给翻成中文的。   TCP选项(RFC793和更新的RFC1323) – 这里充满了各种组合的可能性 – 应答方式“Query-Reply”,可以把多个选项 放到一个包中 – 有些高级选项在新的协议栈实现中加入 TCP选项   每个选项的开始是1字节的kind字段,说明选项的类型。 Kind=
网络:传输层 TCP报文格式解析
Sharp_UP的博客
05-27 4265
一、TCP报文格式 1概述 为了提供可靠的数据传输,TCP报文首部字段有较多的字段,TCP报文格式如下图: 图2 TCP报文格式 16位源和目标端口(16位) 用于多路复用/多路分解来自或送至上层应用的数据,可以这样理解,端口用来标识同一台计算机的不同进程。 16位源端口号(Source Port):16位的源端口字段包含初始化通信的端口号。源端
Wireshark抓包工具使用以及数据包分析
whateverccc的博客
04-28 3674
-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0 //5号帧,对方发送66字节,实际收到66字节-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD}) //接口id为0 -Encapsulation type: Ethernet (1) //封装类型-Arrival Time: Jul
计算机网络 理解流量控制与SACK机制
anlian523的博客
08-18 1607
如果应用进程读取数据时相对缓慢,而发送方发送得太多、太快,发送的数据就会很容易地使得接收缓存溢出。所以TCP为它的应用进程提供了流量控制服务(flow-control service)以消除接收缓存溢出的可能性。 流量控制实际上是一个速度匹配服务,即发送方的发送速率与接收方应用程序的读取速率相匹配。
[转]WireShark的抓包-TCP三次握手
苏法迪的专栏
04-24 447
原文拜读 https://www.freebuf.com/column/155600.html https://blog.csdn.net/zeze_z/article/details/57919479 1. 三次握手 1.0 追踪流 为了快速看到TCP握手,我们可以找到任一TCP协议项目,右键->追踪流->TCP即可 例如一个比较完整的三次握手如下 具体如下 1.1 第一次握手 查...
工具使用,抓包wireshark
11-15
"本文介绍了如何使用Wireshark这一网络抓包工具进行基本的抓包操作,包括启动抓包、设置过滤条件以及保存抓包结果。此外,还详细讲解了Wireshark的主界面组成部分,如菜单栏、工具栏、过滤栏、数据包列表、数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aurora Top

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值