wireshark抓包使用教程与通过抓包对TCP三次握手进行分析

已于 2022-06-14 19:10:57 修改
阅读量2.6k 收藏 64
点赞数 6
分类专栏: netty 与IO编程 工具 文章标签: wireshark tcp/ip 网络 抓包
于 2022-06-14 19:06:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36654629/article/details/125209492
版权

世事千帆过,前方终会是温柔和阳光。。。。
在这里插入图片描述

wireshark使用教程与TCP三次握手分析

在这里插入图片描述

一、wireshark安装教程

wireshark安装包下载地址
下载地址:链接:https://pan.baidu.com/s/17wff8ecKF2xGzEIA75Tmgg
提取码:qxxl

安装教程
在这里插入图片描述

下载2.6.1版本对应安装。
在这里插入图片描述
直接next

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、简单抓包测试

由于我本次使用的是抓取本地电脑请求baidu.com的示例。所以 打开软件以后选择 捕获以太网。。然后双击两下

在这里插入图片描述
.进入以下界面
在这里插入图片描述
接下来执行需要抓包操作。使用CMD命令 :ping www.baidu.com .获取需要捕获的ip地址信息

在这里插入图片描述
然后在wireshark 软件过滤拦输入 过滤条件: ip.addr == 163.177.151.110
说明:ip.addr 表示过滤出目的主机ip地址为 163.177.151.110 或者源地址为163.177.151.110 的数据包。一次简单的抓包就是这样完成了.
在这里插入图片描述
但是你可能会很疑惑。。还是不太使用 。接下来为你介绍一下软件的使用教程。

三、软件页面介绍

主界面如图所示

在这里插入图片描述

  • 过滤栏:用于设置过滤条件进行数据包列表过滤。菜单路径:【分析】->【显示过滤器】
  • 数据列表区【数据包列表】:显示捕获到的数据包记录。每条记录包含编号、时间戳、源地址、目标地址、协议长度。以及数据包信息。
  • 数据包详细信息:点击数据包列表内任意一条记录会显示改数据包所以详细内容

选择主列表任意一行,点击可以展示如下页面。这里展示的就是一个请求数据包的详细信息
在这里插入图片描述
Frame对应了物理层
Ethernet II 对应了数据链路层
Internet protocol 对应网络层
Transmission control Protocol 对应传输层
Hypertext Transfer Protocol 对应应用层 【图片中未展示】

四、过滤器表达式语法

1.抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

(1) 协议过滤

比较简单,直接在抓包过滤框中直接输入协议名即可。

TCP
HTTP
ICMP
(2)IP过滤

源地址或目的主机 ip为192.168.1.104

 host 192.168.1.104

源地址为192.168.1.104

src host 192.168.1.104

目标地址为192.168.1.104

dst host 192.168.1.104
(3)端口过滤
tcp.port == 80
或
tcp.port in {80}
(4)逻辑运算符过滤

抓取主机地址为192.168.1.104、目的端口为80、81的数据包

ip.addr == 192.168.1.104 && tcp.port in {80 81}

抓取主机为192.168.1.104或者192.168.1.102的数据包

ip.addr == 192.168.1.104 || ip.addr == 192.168.1.102

2.显示过滤器语法和实例

(1)比较操作符

比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

(2)协议过滤

比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写:udp、tcp、icmp

(3)ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表
#####(4)过滤端口

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表

(5) http 模式过滤

http.request.method==“GET”, 只显示HTTP GET方法的

(6)逻辑运算符 为 and/or/not 或者【&& 、|| 、!】

过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

(7)按照内容格式过滤

如下我想过滤出data数据包中为abcd"内容的数据流。包含的关键词是contains 后面跟上内容。
data contains “abcd”
如果知道明确内容,和ip
ip.addr == 192.168.1.104 && data.text== ‘abcd’

更多过滤规则可参考:
wireshark过滤规则

五、TCP三次握手分析

TCP的头部格式示例图
在这里插入图片描述
序列号:在初次建立连接时,客户端和服务端为【本次连接】随机初始化一个序列号。【序列号用于解决网络包乱序的问题】
确认号:用于表示【接收端】告诉【发送端】对上一个数据包已经成功接收。【确认号,可以用来解决网络包丢失的问题】
标记位: SYN为1 表示希望创建连接。ACK为1,表示确认号字段有效。FIN为1表示,希望断开连接。RST为1,表示TCP连接出现异常,需要断开。SEQ请求序列号

序列号和确认号作用图例
在这里插入图片描述

1.tcp三次握手连接建立过程

  1. 服务端主动监听某个端口,处于LISTEN状态
  2. 第一次握手建立连接,客户端向服务端发送 SYN 报文 (SYN=1,SEQ=X,X为客户端序列号client_isn)
  3. 第二次握手,服务端接收到请求并允许连接,就会返回SYN+ACK报文(SEQ=Y,ACK_NUM=X+1,SYN=1,ACK=1)给客户端,告诉它确认允许连接。报文说明【SEQ为服务端序列号,即Sequence Num。ACK_NUM为确认号(Acknowledgement),ACK_NUM=X(客户端序列号)+1】
  4. 第三次握手,当客户端接收到服务端返回的【SYN+ACK报文】后,客户端需要再次发送确认包ACK(SEQ=X+1. ACK_NUM=Y+1)。
  5. 连接建立成功

2.wireshark抓包获取访问指定服务端数据包

Step1: 由于我这提前知道了需要过滤的ip,所以可以直接启动wireshark, 输入过滤条件 ip.addr== 192.168.140.82 开始抓取。你也可以自行去编写个接口测试

Step2:浏览器访问接口

192.168.140.82:10100/api/addressResolution?instId=XPOSDZ_01_INST&address=山东省济宁市任城区济宁市草桥口

Step3: 观察wireshark
在这里插入图片描述
观察前3行可以看到。主机192.168.73.52和192.168.140.82来回发了三次应答请求。

  1. 第一次由我本机73.52的49799端口请求到140.82主机的10100端口,发送syn报文
  2. 第二次由140.82主机的10100端口向73.52主机 发送了【SYN+ACL】报文。
  3. 第三次由73.52主机的49799端口向140.82主机的10100端口,发送【ACK】报文

shark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

详细说明

第一次握手数据包

点击第一条发送记录,可以看到如下界面。客户端73.52发送一个tcp到140.82服务端, 标志位SYN=1. 序列号为0,代表客户端建立链接。
在这里插入图片描述
在这里插入图片描述
数据包的关键属性如下:
SYN :标志位,表示请求建立连接
Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据
Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据

第二次握手的数据包

第二行记录可以看到。服务器140.82发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1,即0+1=1, 如下图

在这里插入图片描述
在这里插入图片描述
数据包的关键属性如下:
Seq = 0 :初始建立值为0,表示当前还没有发送数据
Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)

第三次握手的数据包

第三行记录可以看到。客户端发送了ACK确认包。SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1

在这里插入图片描述
在这里插入图片描述
数据包的关键属性如下:
ACK=1 :标志位,表示已经收到记录
Seq = 1 :表示当前已经发送1个数据
Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。
就这样通过了TCP三次握手,建立了连接。开始进行数据交互。

一个完整的tcp三次握手就是这样完成的。

学习抓包过程还是挺有趣的,有兴趣的小伙伴去尝试玩耍一下tcp四次挥手的抓包过程。再来一起讨论哦。

详细教程

https://zhuanlan.zhihu.com/p/350195734

关注【一起收破烂】回复【006】获取最新大厂java面试资料以及简历模型120套哦~**
在这里插入图片描述

收破烂的小熊猫~
关注
  • 6
    点赞
  • 64
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
实战 | wireshark抓包解析TCP三次握手和四次分手的过程
波波诸葛伟
01-04 1862
本章节通过在ENSP模拟器器上搭建环境模拟客户端访问网站,从而抓包验证了TCP建立连接三次握手过程和关闭连接的四次分手过程。
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5334
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
WIREshark抓取流量数据TCP三次握手四次挥手建立连接过程分析
最新发布
m0_59580677的博客
05-29 1027
3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
TCP三次握手wireshark抓包分析
牛仔的blog
12-19 7万+
本文内容有以下三个部分: wireshark过滤规则 osi模型简述 tcp三次握手 一、wireshark过滤规则wireshark只是一个抓包工具,用其他抓包工具同样能够分析tcp三次握手协议。以下这张图片完整地展现了wireshark的面板。使用好wireshark一个关键是如何从抓到的众多的包中找到我们想要的那一个。这里就要说filter过滤规则了。如上图,在过滤器方框,我们加上了ip.sr
Wireshark学习 与 TCP/IP协议分析
迷途
11-09 1913
打开wireshark,显示如下网络连接。选择你正在使用的,(比如我正在使用无线网上网),双击可以先看下自己的ip地址和网关ip地址(看抓包数据时候会用到)
工具WireShark抓包筛选使用
思维小刀
05-25 3944
根据通讯协议进行筛选数据包,例如http协议、dns协议等等。
Wireshark-IO曲线图
Coding···
05-25 3806
基本IO Graphs: IO graphs是一个非常好用的工具。基本的Wireshark IO graph会显示抓包文件中的整体流量情况,通常是以每秒为单位(报文数或字节数)。默认X轴时间间隔是1秒,Y轴是每一时间间隔的报文数。如果想要查看每秒bit数或byte数,点击“Unit”,在“Y Axis”下拉列表中选择想要查看的内容。这是一种基本的应用,对于查看流量中的波峰/波谷很有帮助。要进一步查看,点击图形中的任意点就会看到报文的细节。 为了讲解方便,点击示例报文包,或用自己的wireshar
Wireshark抓包分析TCP三次握手,四次挥手”.doc
07-08
在本文中,我们将通过 Wireshark抓包分析 TCP三次握手,四次挥手”过程。 是什么是抓包网络传输信息是通过层层打包,最终到达客户端物理层,经过网线等设备传输到服务器端后,再进行层层拆包,最后获取...
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
**TCP/IP通信协议详解与Wireshark抓包分析** 在信息技术领域,TCP/IP通信协议是互联网上数据交换的基础。TCP(传输控制协议)和IP(因特网协议)是这个协议族中的两个核心组件,负责确保数据的可靠传输和网络寻址。...
( 1分钟内抓到WPA握手包的方法
10-08
怎样才能抓到WPA握手包,看完这篇文章你就知道了,1分钟内抓到WPA握手包的方法。
wireshark抓包分析tcp三次握手四次挥手
06-25
总的来说,使用Wireshark进行TCP握手和挥手的分析,可以帮助我们深入理解TCP连接的生命周期,以及HTTP协议在TCP上的运作机制,这对于网络诊断、性能优化和安全分析都是非常有价值的。通过对网络封包的细致观察,我们...
wiresharktcp包使用指南
执念斩长河
03-20 605
本博文源于笔者不断探索加上去网络总结获得的经验,撰写wireshark如何抓tcp
wireshark抓包教程详解
热门推荐
lixinkuan的博客
02-17 12万+
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。过滤器包含两种类型,一种是抓包过滤器,就是抓取前设置过滤规则。另外一种是显示过滤器,就是在数据包分析进行过...
使用Wireshark浅析Tcp三次握手
weixin_42931631的博客
12-27 6712
用一些简单的实例,让大家真正了解三次握手
WireShark抓包TCP三次握手和四次挥手
子冉冰清的博客
02-23 2657
TCP和UDP TCP报文格式 TCP首部的报文格式如下: 宏观上来看如下: 来源连接端口(16位长)-识别发送连接端口 目的连接端口(16位长)-识别接收连接端口 序列号(seq,32位长): 如果含有同步化旗标(SYN),则此为最初的序列号;第一个数据比特的序列码为本序列号加一。 如果没有同步化旗标(SYN),则此为第一个数据比特的序列码。 确认号(ack,32位长)— 期望收到的数据的开始序列号。也即已经收到的数据的字节长度加1。 数据偏移(4位长)— 以4字节为单位
wireshark抓取分析TCP数据包三次握手
智识帮的博客
01-17 3102
编译运行DaytimeClient,访问"time.nist.gov"获取时间信息。 package tcpClient.daytime; import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.net.Socket;importjava.nio.c...
TCP3次握手4次挥手】Wireshark抓包分析TCP建立和断开连接的过程
weixin_30596165的博客
05-29 1893
使用wireshark抓网口的包,然后查找特定的tcp流,wireshark命令和使用不做解释。 #tcp.stream eq 23 一.网络模型简介 常见的网络模型是大家熟知的OSI7层网络模型和TCP/IP4层网络模型,简单介绍如下。   >OSI 7层网络模型   >TCP/IP 4层模型   >5层模型 从前面的4层模型可以看到,最...
WireShark抓包使用.pdf
12-31
WireShark抓包使用.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

收破烂的小熊猫~

你的鼓励将是我创造最大的东西~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值