从Wireshark抓包来看IP分片

最新推荐文章于 2024-05-31 14:59:52 发布
最新推荐文章于 2024-05-31 14:59:52 发布
阅读量1.1w 收藏 56
点赞数 8
分类专栏: others 文章标签: 网络 udp python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/119154584
版权

文件来自于前几天CyBRICS 2021中的lx100题目,因为做题时候被IP分片坑到了,发现自己对于网络这一块的知识掌握的并不好,所以写一篇文章来理一下。为了省事就直接用比赛的pcap文件做样例了:点击

从Wireshark抓包来看IP分片

UDP/lPv4分片

一般来说我们都知道MTU是1500字节,因此超过1500字节的数据就需要进行ip分片。包含源和目的端口号的UDP头部只出现在第一个分片里,分片由IPv4头部中的标识(Identification)、分片偏移(Fragment offiet)和更多分片(More Fragments, MF)字段控制。

  • 这些分片的标识(Identification)都是同样的而且分片偏移(Fragment offiet)是以8字节为单位的偏移。同样的标识和不同的偏移让接收方可以对分片进行重组。
  • 更多分片(More Fragments, MF)标志指明该数据报后面是否还有更多的分组, 只有最后一个分片才应置成0。当MF = 0的分片被接收到时, 重组程序才能确定原始数据报的长度, 它等于分片偏移字段的值(乘以8)加上当前分片IPv4总长度字段的值。

下图是一个长度为3000字节的udp包(包括了udp包头的8个字节)。原始数据报要加上ipv4包头为3020字节,它超过了MTU的限制,因此发送的时候会进行分片。

  • 第一个分片中实际传送了1472字节的udp数据和8字节udp包头。此时偏移为0,因为接下来还有数据包要发因此MF置为1
  • 第二个分片传送1480字节的udp数据,因为第一个分片已经传送了1480,因此这里的偏移为1480/8 = 185,因为接下来还有数据包要发因此MF置为1
  • 最后一个分片传送剩下的40字节数据,并将MF置为0,此时接收方可以通过370*8+60来算出原始数据报的长度,因此也知道了udp包的大小为3000字节(减掉ip包头的20字节)。

在这里插入图片描述

wireshark中的视角

比赛用的这个pcap文件实际上抓的是照相机用udp传输图片的过程,我们以一个udp传输为例:
在这里插入图片描述
我们发现它和我们上一节讲的不太一样,UDP包按理应该是第一个出现,之后跟着一串分片后的IPv4包。而打开上面截图里所有的IPv4包我们发现它们的MF标志全都是1,且最后的udp包的length明显大于了MTU。这是因为wireshark的首选项中自动开启了重组分片数据的选项。这个默认开启的选项能直接帮我们重组原udp数据包并用它替换了MF=0的那个IPv4数据包,因此在开启该选项时我们是找不到MF=0的数据包的。
在这里插入图片描述
为了更好的理解这个过程我们关闭这个选项。可以看到下面的样子:
在这里插入图片描述
我们打开第一个UDP包,它的数据如下:
在这里插入图片描述
我们可以知道虽然它包头中的长度给出的Length为8537(包含8个字节包头,实际数据为8529字节),但是真实的Data里只有1472字节,1472+8(UDP包头)+20(IP包头) = MTU。我们再看这一组最后一个IPv4包:
在这里插入图片描述
我们可以看到它的MF=0,因此计算925*8+1157 = 8557,这是原始的数据报文,减掉20字节的IP包头,恰好为8537字节。与UDP包中所给的Length值一样。

回到这是一道ctf题目

上文也说了这是一道照相机传图片的题,因此一个udp包就是一张图,我们只需从pcap文件里提取图片就行。
用pyshark库对pcap文件进行处理,注意首选项中的改动是会影响到pyshark这个库的设置的。是否打开重组IPv4数据包选项会影响到UDP流的追踪结果(这很显然啦,毕竟两个选项下udp的DATA大小都不一样了)。
直接贴一手队友的代码(开启重组数据包的选项):

import pyshark

def get_jpeg(data, cnt):
    start = data.find('ffd8ff') #jpg文件头
    data = data[start:]
    l = len(data)//2
    bs = int(data, base=16).to_bytes(l, 'big')
    with open(f'jpgs/{cnt}.jpeg', 'wb') as f:
        f.write(bs)


pcap = pyshark.FileCapture('lx100.pcap', display_filter='udp', include_raw=True, use_json=True)
cnt = 0
for p in pcap:
    if p.highest_layer == 'DATA_RAW':
        data = str(p['UDP'].get('payload_raw')[0])
        if data.endswith('ffd9'): # jpg文件尾
            cnt += 1
            get_jpeg(data, cnt)

在这里插入图片描述

1mmorta1
关注
  • 8
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
通过 wireshark 体验 IP 层分包
HermanOpenGL的专栏
08-30 1233
不管是 TCP 包还是 UDP 包,如果 size 太大,到了 IP 层,都会进行分包处理。 如何才算 size 太大呢?这个跟具体的网络类型有关。 以最常用的以太网为例,允许的最大包 size 为 1500 字节,也就是我们俗称的 MTU(Maximum Transmission Unit)值。 今天我们通过 Wireshark 工具,直观的感受一下 IP 层是如何对 TCP 或者 UDP 包进行分包处理的。 实验环境:两台电脑+网络互通 操作系统:Windows 或者 Linux 均可
wireshark图解ip报文分片
wanggong_1991的博客
01-12 9002
前言: ip分片如果丢了一片,整个报文都需要重传。所以网络传输都会减少ip分片的概率。tcp用MSS,而udp依靠上层协议,比如tftp。 所以ip分片的报文不太好抓到,故使用两台pc运行vmware虚拟机。一台当client用udp发送4500字节的数据,一台当server接收后再用udp返回4500字节的数据。通过wirewark分析ip分片。最后会把程序附上。 IP头中和分片有关的三个字段,如下图。摘自 《计算机网络》第7版 谢希仁 1.49是客户端,1.50是服务器 ...
计算机网络实验IP数据报分片,计算机网络实验-使用Wireshark分析IP协议
weixin_33781072的博客
07-27 1124
实验三使用Wireshark分析IP协议一、实验目得1、分析IP协议2、分析IP数据报分片二、实验环境与因特网连接得计算机,操作系统为Windows,安装有Wireshark、IE等软件。三、实验步骤IP协议就是因特网上得中枢。它定义了独立得网络之间以什么样得方式协同工作从而形成一个全球户联网。因特网内得每台主机都有IP地址。数据被称作数据报得分组形式从一台主机发送到另一台。每个数据报标有源IP地...
python用pyshark抓包
最新发布
weixin_43842848的博客
05-31 350
pyshark
网络协议分析】利用Wireshark分析IP分片
qq_41626672的博客
01-29 1926
本次实验主要为利用Wireshark和eNSP软件进行分析IP分片,了解分片的过程。如果当传输数据量超过设置的MTU时,IP就会将数据报进行分片,将一个超过MTU的数据报分为多个不大于MTU的数据报进行发送。接收端收到后再进行组装,形成完整的数据报。在进行分片时,IP通过设置MF标志位为1作为标识是否为最后一个分片。mtu :设置当前接口的最大传输单元限制MTUdisplay current-configuration interface:查看全部接口的配置。
利用wiresharkIP协议及分片分析
04-09
利用wiresharkIP协议及分片分析
Wireshark查看
jingmiaowill的专栏
07-13 710
过滤器 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过滤器 Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. Host(s):可能的值: net, port, host, portrange.
WireShark网络安全之网络层安全-泪滴安全测试IP分片介绍
qq_43776408的博客
06-30 683
MTU最大传输单元是1500字节 一次传不完 所以就要分片传输 IP数据包很大情况下也无法一次性传输 分片<<分组 一个分组包括很多分片 通过wireshark的中的Identification来查看IP分片是否属于同一个分组 若值相同则为同一个分组 偏位移 前3位:标志位 确定是否还有更多的分片 后13位:分片在原始数据的位移 请看下图的Flags 实际数据包的大小:数据包大小-14-20 14:以太网帧 20:IP头 实战:ping4400 下面蓝字 说是第20个数据包传输1480字节(1
解决wireshark抓包校验和和分片显示异常
weixin_30781433的博客
08-16 1521
问题描述: 在使用wireshark抓取报文时,发现从10.81.2.92发过来的报文绝大部分标记为异常报文(开启IPv4和TCP checksum) 分析如下报文,发现http报文(即tcp payload)的长度远远大于实际的mss大小,如下图为4126 查看该报文的ip长度,为4148,远大于Ethernet的mtu 且tcp的校验和有来自wire...
基于WiresharkIP数据包头中ToS段介绍2-1
hou09tian的博客
08-14 2017
1 ToS简介 IP数据包头结构如图1所示。 图1 IP数据包头部结构 从图1中可以看出,ToS是Type of Sevices的简称,即服务类型。ToS长度是8bit,其含义可以是IP优先级或者DSCP(Differentiated Services Code Point),即差分服务代码点。服务器或交换机根据网络数据包中的ToS的值来提供相应的QoS。 相关链接1 QoS,是Quality of Sevice即服务质量的简称,网络的服务质量包括传输的带宽、传输的延时和数据的丢包率等。 2.
Wireshark抓包分析TCP IP协议
05-03
能够使用抓包工具捕获网络中的数据包,对捕获的数据包进行筛选分析,分析网络流量是否正常。 通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何...
wireshark进行手机抓包,有详细步骤
07-05
Wireshark手机抓包详解 Wireshark是一款功能强大的网络协议分析工具,广泛应用于网络故障诊断、网络安全测试、网络流量监控等领域。在这里,我们将详细介绍如何使用Wireshark进行手机抓包,掌握这项技能可以帮助您...
wireshark 抓包 实验报告
02-23
5. 分析抓取 ICMP 相应的 IP 包以及其分片的分析 实验步骤: 1. 抓取并筛选分组 使用 Wireshark 抓取网络接口 eth0 上的网络数据包, OPEN Wireshark 点击工具栏中的按钮,开始抓取网络接口 eth0 上的网络数据包...
Wireshark抓包全集-85种协议
11-01
总的来说,"Wireshark抓包全集-85种协议"是一个全面的学习资源,涵盖了网络通信的多个层面。通过深入研究这个资料,不仅可以增强对各种网络协议的理解,还能提高网络故障排查和安全分析的能力。无论你是网络管理员、...
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
**TCP/IP通信协议详解与Wireshark抓包分析** 在信息技术领域,TCP/IP通信协议是互联网上数据交换的基础。TCP(传输控制协议)和IP(因特网协议)是这个协议族中的两个核心组件,负责确保数据的可靠传输和网络寻址。...
Wireshark---几个关于分片的问题
m0_37039331的博客
09-15 1492
1.为什么要分片? 目的是为了提高链路的利用率。电路交换的双方要独占链路,所以利用率很低,后来发明了分组交换,将数据分割,分割就需要确定包的大小,即MTU(最大传输单元)。 2.发送方是如何确定分片大小的? 一般发送方是根据自身的MTU来决定分片大小的。 3.接收方是靠什么重组分片的? 包里面有个flag,More fragments=0时,表示他是最后一个分片。 4.TCP是如何避免被发送发分片...
Wireshark捕获IP报文——分片与不分片
weixin_43727680的博客
12-31 1万+
Wireshark捕获IP报文——分片与不分片Wireshark操作一、观察不分片标志对较短IP报文传输的影响Windows命令行提示窗口Wireshark二、观察不分片标志位对较长IP报文传输的影响Windows命令行提示窗口三、将IP报文分片Windows命令行提示窗口Wireshark Wireshark操作 步骤1:在 PC1 上运行 Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将 Wireshark 的 Captrue Filter 设置为“icmp”; 步骤2: PC1
wireshark捕获IP分片数据包实践
热门推荐
实践求真知
04-06 2万+
一 简介如果一个数据包超过1500个字节,就需要将该包进行分片发送。通常情况下,是不会出现这种情况的。下面通过使用ICMP包,来产生IP分片数据包。使用ICMP包进行测试时,如果不指定包的大小,可能无法查看被分片的数据包。由于IP首部占用20个字节,ICMP首部占8个字节,所以捕获ICMP包大小最大为1472字节。但是一般情况下,ping命令默认的大小都不会超过1472。这样,发送的ICMP包就可...
IP协议抓包分析 wireshark源文件,包括切片(一文看完IP包分析,附源文件,ppt,操作视频)
Alocus的博客
05-27 2966
一.原理 二.IP包分析 三.TTL字段分析 四.切片分析 五.源文件下载 下载地址:https://download.csdn.net/download/Crystal_remember/19130643 本文链接:
wireshark抓包及分析IP
06-03
好的,我来简单介绍一下 Wireshark 抓包及分析 IP 的方法。 1. 下载并安装 Wireshark,打开软件。 2. 选择需要抓包的网卡,点击开始抓包。 3. 进行需要抓包的操作,如打开一个网页或发送一封邮件。 4. 停止抓包并保存捕获的数据包。 5. 选择需要分析的数据包,查看各层协议的详细信息,包括源地址、目的地址、协议类型等。 6. 在过滤器中输入想要查找的 IP 地址或协议类型,可以快速定位到相关数据包。 以上是 Wireshark 抓包及分析 IP 的基本方法,希望能对你有所帮助。如果有什么不清楚的地方,可以继续咨询我。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值