Wireshark介绍
是一个非常流行的网络封包分析软件。
可以截取各种网络封包,显示封包详细信息。
开源软件。
软件安装
Ubuntu系统:sudo apt-get install wireshark
windows系统:从网络下载安装包www.wireshark.org
安装完成后重启系统
设置中文![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/1ea4f0a7ffc8b66af7a84c67d051327e.png)
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/b59828822a2120833eab7dc5b14dfb9f.png)
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/c6babe74ad30def83a98721d16f888d7.png)
什么人会用到这个软件
网络管理人员、软件测试工程师
开始抓包
sudo wireshark打开
表达式规则
在过滤器中输入:
1)ip过滤:
筛选ip.addr == 192.0.2.1
排除!(ip.addr == 192.0.2.1)
2)udp或tcp
直接输入udp或tcp即可筛选
3)端口号过滤
筛选端口号tcp.port == 53
排除这个端口号!(udp.port == 53)
UDP包头
以太网头
IP头
TTL:生命周期:每过一个路由器就减去1,没有人接收包,就会被无情的抛弃。
TCP头
序号
序列号seq,用来标记数据段的顺序。
确认序列号ack,希望对方下一次发送的序列号。
TCP flag
确认ACK,当ack为1,确认序列号有效
同步SYN,建立连接用于同步序列号
终止FIN,终止一个连接,
通过确认和重发机制做到可靠传输
三次握手建立连接
四次挥手