Wireshark
1 下载
2 Wireshark安装
3 Npcap安装
4 USBPcap安装
5 使用
这里选择自己电脑对应的网口,我的电脑是接的网线,所以是以太网2。
打开cmd,然后ping www.baidu.com
ICMP报文分析
左键点击对应的报文,可以查看具体信息。
ICMP echo request 即回应请求报文
类型是8,代码是0。然后是两个字节的校验和。
然后是俩个字节的标识 和 序列号 都是0x0001,图中为了网络字节顺序与主机字节顺序的转换,还用了BE-LE两种形式,即大端和小端(little-endian 和 big-endian)。
然后可以观察到,ping程序所发的数据长度为32个字节。
a-w 然后是a-i 一共23 + 9 = 32 个字节。
终于可以抓取USB数据了,如果早点知道这个就好了。因为很多工具类软件都是用USB做的,完全可以弄个USB转某种通信总之总线的板子,用来解析该总线。比如这个《Wireshark & CAN》
6 步骤
6.1 实现TCP通信
传输的数据为 单字符 “A”
注意
TCP_Client.c 源码中服务器 IP 的更换
注意双端要在同一网段内通信
6.2 获取
- 选择(网卡)通道
一般情况下是 客户端与那个IP通信 用到那个网卡,选择哪个即可
但是如果你是本地回环数据的话,数据不走网卡,所以选择虚拟网卡
<1> 方式一 开启软件默认弹出 双击选择
<2> 方式二 菜单栏-捕获-选项
6.3 过滤 + 抓取
(1) 过滤引用指令
tcp.port == 8080 //记得回车
//这里的端口号是我的
//你需要自行更改成和你的程序内一致
(2) 设置好过滤后开启抓取按钮
本程序实现的效果是
tcp Client 发送字符 " A " 给 Server
tcp Server 接收到后将 " A " 返回 Client
对应数据包共有 11 包
3包"握手" + 4包数据 + 4包"挥手"
(3) 运行程序 – 先运行服务端,在运行客户端 – 成功接收数据后
(4) 点击结束按钮,开始分析
6.4 分析
6.4.1 简要信息
-------------------------------- ( 详细请双击打开抓取的数据包自行解读 )--------------------------------
软件显示的数据栏非常的直观的标明了各种关键数据
| 名称 | 含义 |
|---|---|
| No. | 数据包编号 |
| Times | 时间 |
| Source | 源IP |
| Destination | 目标IP |
| Protocol | 协议 |
| Length | 包长 |
| Info | 其他信息 |
Info 的关键信息
首部信息
源端口号(前) -> 目标端口号(后)
Seq – 序列号 表示发送数据的位置,每发一字节数据 +1
Win – 窗口大小
首部 – 控制位( Control Flag )
ACK – ==1 应答有效, 表示已接收
SYN – ==1 希望建立连接
PSH – ==1 希望立刻传数据,==0 希望先缓存
FIN – ==1 希望断开连接
首部 – 选项( Options )
WS – Window Scale
SACK_PERM – SACK Permitted
数据信息
Len – 数据长度
MSS – 可发送最大长度
6.4.2 拆解
由于本人是实现的本地回环,所以
60770表示Client
8080表示Server
<1>三次"握手"
目的 : 建立连接 – 关键点已标注
从此开始
No. 53-55
Client 向 Server 发出请求连接 – SYN
Server 回应 Client – ACK,确认收到
并且,发出连接请求 – SYN
Client 向 Server 回复 – ACK,确认收到
<2>传输数据
目的 : 传输数据 – 关键点已标注
No. 56-57
56 Client 向 Server 发送数据 – PSH
及,重复一次 No. 54 的请求已收到(No. 55)
Len == 1 因为发送一个字节数据
57 Server 向 Client 回应 – ACK,确认收到
No. 58-59
58 Server 向 Client 发送数据 – PSH
及,重复一次 No. 56 的请求已收到(No. 57)
Len == 1 因为发送一个字节数据
59 Client 向 Server 回应 – ACK,确认收到
<3>四次"挥手"
目的 : 断开连接 – 关键点已标注
No. 60-63
60 Client 向 Server 发出断开连接请求 – FIN
及,重复一次 No. 58 的请求已收到(No. 59)
61 Server 向 Client 回应 – ACK,确认收到
62 Server 向 Client 发出断开连接请求 – FIN
及,重复一次 No. 60 的请求已收到(No. 61)
63 Client 向 Server回应 – ACK,确认收到
到此结束
3. ACK & Seq 变化
( 开始握手第一包 ACK == 0 , Seq == 0 )–Client
( 开始握手第二包 ACK == 1 , Seq == 0 )–Serve
一旦 - 回应上一包数据 - 确认接收后
下一包数据的 Seq = 当前ACK
下一包数据的 ACK+1
结语
-------------TCP源码
tcp_client.c
#include <stdio.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <netinet/in.h>
/**
* @berief: 主函数,建立tcp_client.c
* @param: argc 第几个参数
* @param: *arrgv[] 参数
* @rote: 参数可以使用也可以不使用
* @return: 0
*/
int main(int argc, char *argv[])
{
// while (1)
// {
unsigned short port = 8080; //端口号
char *server_ip = "192.168.20.61"; //服务器ip
char send_buf[512] = "A";
char recv_buf[512] = "";
int sockfd = 0; //套接字文件标识符
int err_log = 0; //错误返回
struct sockaddr_in server_addr; //tcp通信中服务器地址结构体
if(argc > 1)
{
server_ip = argv[1];
}
if (argc > 2)
{
port = atoi(argv[2]); //char --> int
}
//初始化服务器地址
bzero(&server_addr,sizeof(server_addr)); //将地址的数据长清零
server_addr.sin_family = AF_INET; //tcp udp
server_addr.sin_port = htons(port);
/*
htons(unsigned short k)
无符号短整型数值 --> 网络字节序
大端模式--高字节存放在内存的低地址处
--port == 0x1234
----内存中 addr addr+1
0x12 0x34
----网络字节序 0x34 0x12
*/
inet_pton(AF_INET, server_ip, &server_addr.sin_addr); //将地址的点分十进制转换为2进制
//创建通信端点--套接字
sockfd = socket(AF_INET,SOCK_STREAM,0);
if(sockfd < 0)
{
perror("socket");
exit(-1);
}
//链接服务器
err_log = connect(sockfd,(struct sockaddr*)&server_addr,sizeof(server_addr));
if(err_log != 0)
{
perror("connect");
close(sockfd);
exit(-1);
}
//通信
send(sockfd, send_buf, strlen(send_buf), 0); // 向服务器发送信息
recv(sockfd, recv_buf, sizeof(recv_buf), 0); // 接收服务器发回的信息
printf("%s\n", recv_buf);
//结束通信,关闭套接字文件标识
close(sockfd);
// sleep(5);
// }
return 0;
}
tcp_server.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
/**
* @berief: 主函数,建立tcp_server.c
* @param: argc 第几个参数
* @param: *arrgv[] 参数
* @rote: 参数可以使用也可以不使用
* @return: 0
*/
int main(int argc, char *argv[])
{
char recv_buf[2048] = ""; //接收缓存区
int sockfd = 0; //通信使用的套接字文件标识符
int connfd = 0;
int err_log = 0;
struct sockaddr_in my_addr;
unsigned short port = 80000; //监听端口号
//可以修改端口号
if(argc > 1)
{
port = atoi(argv[1]);
}
printf("TCP Server Started at port %d\n",port);
//创建通信中套接字文件标识符
sockfd = socket(AF_INET,SOCK_STREAM,0);
if(sockfd < 0)
{
perror("socket");
exit(-1);
}
//初始化服务器地址
bzero(&my_addr, sizeof(my_addr)); //地址清零
my_addr.sin_family = AF_INET; //选择TCP/UDP模式
my_addr.sin_port = htons(port);
/*
htons(unsigned short k)
无符号短整型数值 --> 网络字节序
大端模式--高字节存放在内存的低地址处
--port == 0x1234
----内存中 addr addr+1
0x12 0x34
----网络字节序 0x34 0x12
*/
my_addr.sin_addr.s_addr = htonl(INADDR_ANY); //将地址的32位无符号长整形转换为网络字节序
//套接字与端口和地址的绑定
printf("Binding server to port %d\n", port);
err_log = bind(sockfd, (struct sockaddr*)&my_addr, sizeof(my_addr));
/**
* bind()
* 对套接字-地址-端口绑定
*/
if( err_log != 0)
{
perror("binding");
close(sockfd);
exit(-1);
}
err_log = listen(sockfd, 10); //套接字是否来连接
/**
* 参数一 套接字
* 参数二 请求队列中可以放入的最大链接数
*/
if(err_log != 0)
{
perror("listen");
close(sockfd);
exit(-1);
}
printf("Waiting client...\n");
while (1)
{
size_t recv_len = 0;
struct sockaddr_in client_addr; //保存客户端地址
char client_ip[INET_ADDRSTRLEN] = ""; //保存客户端ip地址
socklen_t cliaddr_len = sizeof(client_addr); //初始化--必须
//获取已建立的链接
connfd = accept(sockfd,(struct sockaddr*)&client_addr,&cliaddr_len); //获得已建立的链接
if(connfd < 0)
{
perror("accept");
continue;
}
inet_ntop(AF_INET,&client_addr.sin_addr,client_ip,INET_ADDRSTRLEN);
printf("client ip = %s\n",client_ip);
//接收
while ((recv_len = recv(connfd,recv_buf,sizeof(recv_buf),0)) > 0)
{
send(connfd,recv_buf,recv_len,0);
}
close(connfd); //关闭已连接的套接字
printf("client closed!\n");
}
close(sockfd);
return 0;
}
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
