【系统审计】 通过wireshark分析TCP三次握手

最新推荐文章于 2024-08-26 00:37:37 发布
最新推荐文章于 2024-08-26 00:37:37 发布
阅读量346 收藏 3
点赞数
分类专栏: 系统审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982304/article/details/110928271
版权

一、wireshark界面查看

       WireShark 主要分为这几个界面

           1. Display Filter(显示过滤器),  用于过滤

           2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 

           3. Packet Details Pane(封包详细信息), 显示封包中的字段

           4. Dissector Pane(16进制数据)

           5. Miscellanous(地址栏,杂项)

二、wireshark过滤规则

  1. 过滤IP,如来源IP或者目标IP等于某个IP
    如前面说的例子: ip.src==192.168.1.102 or ip.dst==192.168.1.102
    比如TCP,只显示TCP协议。
  2. 过滤端口
    tcp.dstport == 80 // 只显tcp协议的目标端口80
    tcp.srcport == 80 // 只显tcp协议的来源端口80
    也可以写成tcp.port eq 80 or udp.port eq 80 这样的模式
  3. 过滤协议
    单独写上tcp、udp、xml、http就可以过滤出具体协议的报文。你也可以用tcp or xml这样格式来过滤。
    我们还可以更加具体过滤协议的内容,如tcp.flags.syn == 0x02 表示显示包含TCP SYN标志的封包。
  4. 过滤mac地址
    eth.src eq A0:00:00:04:C5:84 // 过滤来源mac地址
    eth.dst==A0:00:00:04:C5:84 // 过滤目的mac地址
  5. http模式过滤
    http.request.method == “GET”
    http.request.method == “POST”
    http.request.uri == “/img/logo-edu.gif”
    http contains “GET”
    http contains “HTTP/1.”
    // GET包
    http.request.method == “GET” && http contains “Host: ”
    http.request.method == “GET” && http contains “User-Agent: ”
    // POST包
    http.request.method == “POST” && http contains “Host: ”
    http.request.method == “POST” && http contains “User-Agent: ”
    // 响应包
    http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
    http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
  6. 过滤内容
    contains:包含某字符串
    ip.src==192.168.1.107 and udp contains 02:12:21:00:22
    ip.src==192.168.1.107 and tcp contains “GET”
    前面也有例子,http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

 更多过滤规则查看官方文档:https://www.wireshark.org/docs/wsug_html_chunked/

三 、OSI模型 【参考博客:https://blog.csdn.net/u014530704/article/details/78842000】  

OSI定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层),即ISO开放互连系统参考模型。如下图左边部分。在每个分层中,都会对所发送的数据附加一个首部,在这个首部中包含了该层必要的信息,如源ip地址和目的ip地址等。
这里写图片描述
osi模型中,在下一层的角度看,当收到上一层的包时,全部会被认为是本层的数据,然后在本层中加上自己本层的首部,继续往下传递。一个数据包格式如下:
这里写图片描述
举一个例子,比如客户端应用程序A向远端服务器应用程序B发送“早上好”的数据,那么大致流程是这样的:

  1. 应用程序A把数据发送给下一层的TCP模块。
  2. TCP模块属于传输层。TCP在应用层数据的前端加上一个TCP首部。TCP首部中包含源端口号和目标端口号等信息。然后将包发送给IP模块。
  3. IP模块属于网络层。IP将TCP传过来的TCP首部和TCP数据合起来当做自己的数据,并且在TCP首部的前面加上自己的IP首部。IP首部包含了源ip地址和目的ip地址。然后,IP包将被发送给数据链路层,也就是以太网驱动程序。
  4. 从IP传过来的包,对于以太网驱动程序来说不过就是数据。给这些数据加上以太网首部,里面包含了源MAC地址和目的MAC地址。然后再通过物理层把数据发送给目的MAC地址。
  5. 服务器物理层接收到来自客户端的数据包时,首先从以太网的包首部找到MAC地址,判断是否为发给自己的包,如果不是就丢弃,如果是就向上转移给IP模块解析。
  6. IP模块收到IP包首部和后面的数据以后,判断包首部的目的ip地址与自己的ip地址是否匹配,如果匹配,就接收数据并传给TCP模块处理。
  7. TCP模块会检查端口号确定接收数据的应用程序是哪一个。
  8. 应用程序接收到数据包之后也会根据自己的规则判断做出一系列的处理。

通过上面例子大致的过程,可以体会到从上而下发包再到从下而上收包的过程。

四、通过wireshark查看tcp三次握手

通过wireshark 我们查看 src = 10.25.8.189  与 des = 104.193.88.91 IP之间tcp连接

第一次握手

第二次握手

第三次握手

三次握手流程为

  1. 客户端通过TCP首部发送一个SYN包作为建立连接的请求等待确认应答。
  2. 服务器发送ACK包确认应答,发送SYN包请求连接。
  3. 客户端针对SYN包发送ACK包确认应答。

查看报文参考图

这里写图片描述

没枕头我咋睡觉
关注
专栏目录
【网络】 WireShark实现TCP三次握手和四次挥手
2301_77899321的博客
01-30 1156
通过这个三次握手的过程,客户端和服务器都确认了对方的能力和愿望建立连接,并且双方都知道了自己和对方的初始序列号。这样就建立了一个可靠的双向通信通道,可以进行数据的传输。如果在握手过程中发生了超时、丢包或者其他错误,建立连接的过程会失败,需要重新进行握手。
Wireshark基本介绍和学习TCP三次握手
06-01
Wireshark是一款强大的网络封包...总之,Wireshark作为一款强大的网络分析工具,可以帮助我们深入理解TCP三次握手等网络通信机制。通过掌握Wireshark的使用,不仅可以提升网络故障排查能力,也有助于提升IT专业技能。
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
Wireshark抓包分析TCP协议:三次握手和四次挥手
NHB234567的博客
04-03 2221
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试掌握这两个底层协议的工作原理是非常有必要的!UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下TCP协议。
wireshark-tcp报文
最新发布
weixin_40073415的博客
08-26 575
wireshark查看客户端跟服务器之间的报文,了解其业务流程。分层介绍OSI体系结构,对应wireshark报文,如下图。图片:物理层数据链路层相邻两个设备的MAC地址。网络层本层主要负责将TCP层传输下来的数据加上目标地址和源地址传输层主要关注传输层中内容,flag。
使用wireshark查看TCP三次握手
春风化雨
08-24 6550
1、打开wireshark,输入http过滤: ip.addr == 47.102.168.177 and tcp。客户端,发送一个TCP,标志位为 [SYN] Seq = 0, 代表客户端请求建立连接。4、看到框出来的三条记录,即为wireshark截获到了TCP三次握手的三个数据包。服务器发回确认包,标志位为 [SYN,ACK] Seq=0,ACK = 1。客户端再次发送确认包[ACK] Seq=0,ACK = 1。如上面通过了TCP三次握手,建立了连接。2、打开浏览器,输入网址回车。
Wireshark分析TCP三次握手
buside的博客
07-18 370
第一次握手: 第二次握手: 第三次握手
使用WireShark查看TCP三次握手
大河之犬的博客
03-01 2750
待加载完成后,停止抓包,进行流量分析
Wireshark入门 tcp三次握手
12-12
为了更好地理解TCP三次握手的过程,我们可以通过Wireshark来进行实际的观察与分析。 ##### 4.1 准备工作 - **安装Wireshark**:首先确保您的计算机上已经安装了最新版本的Wireshark。 - **选择捕获接口**:启动...
Wireshark深入学习:解析TCP三次握手
在介绍TCP三次握手之前,我们先来详细了解一下Wireshark的基础操作。启动Wireshark后,你可以选择要捕获数据包的网络接口,然后开始抓包。Wireshark的界面主要由以下几个部分组成: 1. 封包列表(PacketListPane):...
Wireshark深度解析:入门TCP三次握手与网络封包查看
Wireshark是一款强大的网络封包分析工具,它的基本介绍和学习TCP三次握手是网络通信研究和故障排查的重要资源。本文将深入探讨Wireshark的功能、安装、使用方法以及它在TCP协议理解中的应用。 首先,Wireshark的...
wireshark抓包分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
TCP三次握手-wireShark分析
makeliwei1的博客
08-19 489
一、查询Server端IP地址 使用nslookup查询www.tmall.com的IP地址 PS C:\WINDOWS\system32> nslookup www.tmall.com DNS request timed out. timeout was 2 seconds. 服务器: UnKnown Address: 101.226.4.6 非权威应答: 名称: ...
Wireshark抓包分析TCP协议:三次握手和四次挥手_03 wireshark tcp
2401_84558983的博客
05-05 636
下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取 【保证100%免费】
【我的Android进阶之旅】使用Wireshark分析TCP三次握手
【我的Android进阶之旅】
09-13 490
TCP三次握手 TCP三次握手大家都不陌生,下面用wireshark这个工具抓包,进一步的说明三次握手...
利用Wireshark分析TCP三次握手
u013803262的专栏
03-16 947
首先打开 http://www.baidu.com这个网址进行抓包。 首先在过滤器中输入 http过滤 找到 GET /* /HTTP/1.1 我们可以看到在出现了三条TCP记录之后才出现了HTTP这也更加相信HTTP是基于TCP协议的。   第一次TCP握手 客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端
Wireshark 图解 TCP 三次握手
勇敢的心的网络笔记
02-08 507
一、什么是 Wireshark ? 简单地说,Wireshark 是抓包工具。官网说,“Wireshark 是一个网络包分析工具。 网络数据包分析仪将尝试捕获网络数据包并试图尽可能详尽显示该数据包。” 推荐一本书《Wireshark 网络分析就这么简单》,Wireshark 工具下载地址 https://www.wireshark.org/download.html。 Wiresha
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值