结合wireshark理解tcp、http、dns、icmp、arp等协议

已于 2024-04-15 13:50:28 修改
阅读量2.1k 收藏 34
点赞数 40
文章标签: wireshark tcp/ip http
于 2024-04-15 10:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43872569/article/details/137687016
版权

相关资料链接

抓包+各种协议(http、arp、icmp)的过滤或分析
wireShark 抓包分析基础
wireShark抓包分析
分析数据详情

wireshark抓包获取访问指定服务端数据包

Step1:启动wireshark抓包,打开浏览器输入www.huawei.com。
Step2:使用ping www.huawei.com获取IP。(win+r cmd)
Step3:输入过滤条件获取待分析数据包列表 ip.addr == 211.162.2.183。

wireShark抓包

在这里插入图片描述

捕获过滤器

在设置了过滤项之后只抓取需要的包
类型Type:host、net、port;
方向Dir:src、dst;
协议Proto:ether、ip、tcp、udp、http、icmp、ftp;
逻辑运算符:and、or、not、&&、||、!
在这里插入图片描述

显示过滤器

抓取所有包,之后再根据过滤规则显示需要的包,显示过滤器的基本结构包括字段名、运算符和值。 eg:ip.src == 192.168.1.1
字段名通常对应于协议的某个特定部分;
运算符用于比较字段值;
值则是字段匹配的具体内容。

语法格式:一条基本的表达式由过滤项、过滤关系、过滤值组成
过滤项:协议+. +协议字段

过滤IP地址:ip.src、ip.dst、ip.addr、eth.addr、eth.type
eg:IP源地址 ip.src == 192.168.1.101
IP目的地址 ip.dst == 192.168.1.101
IP地址(包括源和目的) ip.addr == 192.168.1.101

过滤端口:tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn
eg:TCP端口 tcp.port == 80
TCP目的端口 tcp.dstport == 80
TCP源端口 tcp.srcport == 80
TCP 1 - 80 之间的端口 tcp.port >= 1 and tcp.port <= 80
tcp.flags.syn:SYN标志位,用于过滤TCP连接请求
tcp.flags.ask:ACK标志位,用于过滤确认段

过滤MAC地址:eth
eg:源(以太网)MAC地址 eth.src == 00 - BB - 60 - 7C - A4 - BB
目的(以太网)MAC地址 eth.dst == 00 - BB - 60 - 7C - A4 - BB
MAC地址(包括源和目的) eth.addr == 00 - BB - 60 - 7C - A4 - BB

过滤包长度:len、length
eg:整个UDP数据包 udp.length == 20
TCP数据包中的IP数据包 tcp.len >= 20
整个IP数据包 ip.len == 20
整个数据包 frame.len == 20

HTTP模式过滤:get、post、uri
eg:请求方法为GET http.request.method == “GET”
请求方法为POST http.request.method == “POST”
指定URI http.request.uri.path contains “x”
泛指 http contains “x”
http.host:HTTP请求的主机名

协议过滤:arp、tcp、udp、http、dns(直接在过滤框中输入协议名,协议名需要小写)
eg:udp.srcport:UDP源端口
udp.dstport:UDP目的端口
udp.port:UDP源或目的端口
dns.qry.name:DNS查询的域名

逻辑运算符:and、or、not、&&、||、!、in、contains、()
与:and 或 &&( ip.src == 192.168.1.1 and ip.src == 192.168.1.1)
或:or 或 ||( ip.src == 192.168.1.1 or ip.src == 192.168.1.1)
包含:contains(http.request.uri contains “google”)
匹配正则表达式:matches(http.user_agent matches “Chrome”)
非:not 或 !( not icmp)
组合和分组 :() eg: ip.src == 192.168.1.101 and ( ip.src == 192.168.1.101 or ip.src == 192.168.1.101)
比较操作符:==、!=、>=、> 、<=、<
在这里插入图片描述

wireShark抓包数据分析

数据包的大致结构
第一行:数据包整体概述;
第二行:链路层详细信息,主要的是双方的mac地址;
第三行:网络层详细信息,主要的是双方的ip地址;
第四行:传输层详细信息,主要的是双方的端口号;
第五行:和协议相关,不同的协议展示不同的内容。例如:dns协议,展示域名系统相关信息
在这里插入图片描述

1、物理层

frame
在这里插入图片描述

2、数据链路层

ethernet II

在这里插入图片描述

3、互联网层IP包头部信息

internet protocol version

在这里插入图片描述

报文

TCP

TCP:面向连接的通信协议,通过三次握手建立连接
当主动方发出SYN连接请求后,等待对方回答SYN,ACK
这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议

  • SYN指请求同步
  • ACK指确认同步
  • FIN指结束

三次握手
在这里插入图片描述
第一次握手:客户端发送一个数据包,SYN=1 ,ACK=0,序列号从0开始(seq=0),表示客户端请求建立连接;
第二次握手:服务器端发回数据包,SYN=1,ACK=1 ,seq=0,ack=seq+1表示已接收的数据包数量;
第三次握手:客户端重新传回确认包,SYN=0,服务器端检查 ACK=1 ,ack=seq+1表示当前段成功接收数据位数。

四次挥手
在这里插入图片描述
第一次挥手:发送带有 [FIN,ACK] 标志的数据包,Seq = 348,Ack = 748,发送后112.53.48.186进入FIN-WAIT-1(终止等待)状态;
第二次挥手:192.168.1.48收到 FIN 数据包,响应ACK数据包,Seq = 748(与FIN数据包ACK值相同),Ack = 349(等于FIN数据包的Seq + 1),后112.53.48.186进入了CLOSE-WAIT(关闭等待)状态;
第三次挥手:数据发送完后,192.168.1.48向112.53.48.186发送 [FIN,ACK] 报文,Seq = 748,Ack = 349;
第四次挥手:112.168.53.186向192.168.1.48发送标志为 [RST] 的报文,Seq = 349

TCP层FLAGS字段重要标识

ACK:为TCP报文段首部中的“ACK字段”,置1时该报文段为确认报文段。

ack:为TCP报文段首部中“确认号字段”的具体数值。
ack=x+1说明服务器希望客户端下次发来的报文段的第一个数据字节为序号=x+1的字节;
ack=y+1说明客户端希望服务器下次发来的报文段的第一个数据字节为序号=y+1的字节。
在这里插入图片描述

源IP地址:发送包的IP地址; 源端口:源系统上的连接的端口;
目的IP地震:接收包的IP地址; 目的端口:目的系统上的连接的端口。

1> 封包详细信息
2> Frame信息分析
3> EthernetII信息分析
4> IPv4协议信息分析
5> Trasmission Control Protocol信息分析
6> Data信息分析

HTTP

链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而Wireshark抓到的就是链路层的一帧。

1> 封包详细信息
2> Http请求报文分析
3> Http响应报文分析

ARP

Address Resolution Protocol(地址解析协议),通过目标设备的IP地址,查询目标设备的MAC地址。
第一个数据包信息
第一个数据包发送(或广播)一条请求信息,询问目标端:谁有192.168.1.4的MAC地址,告诉192.168.1.1

第二个数据包信息
第二个数据包表示:192.168.1.4的MAC地址是60:14:b3:7d:54:1d并单播数据帧回复给询问端

DNS

分布式的域名服务系统,每个DNS服务器上都存放着大量的机器名和IP地址的映射,并且是动态更新的
DNS协议基于TCP和UDP

1> 封包详细信息
2> DNS查询报文
3> DNS响应报文
4> Ping

UDP

User Datagram Protocol,OSI七层模型中一种无连接的传输协议
UDP信息包的标题很短,只有8个字节的大小,相比于TCP的20字节信息包,额外开销非常小

ICMP

ICMP协议是一种面向无连接的协议,用于传输出错报告控制信息。
当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。

icmp数据包解读
(1) Frame:物理层
(2)Ethernet II:数据链路层
(3)Internet Protocol Version 4:网络层
(4)Internet Control Message Protocol:icmp信息
在这里插入图片描述

TLS

TLS 是一种密码学协议,保证了两个端点之间的会话安全
TLS 的四个核心子协议:握手协议 (handshake protocol)、密钥规格变更协议 (change cipher spec protocol)、应用数据协议 (application data protocol) 和警报协议 (alert protocol)
最主要、最复杂是“握手协议”,协商对称密码就是在该协议中完成的

握手过程

HTTPS 链接建立、TLS 握手协议里参数传递、证书验证、协商对称密钥的过程↓

  1. Client Hello

  2. Server Hello

  3. Certificate(发送服务器证书信息到客户端)

  4. Server Key Exchange(密钥交换)

  5. Server Hello Done(将握手消息需要的数据发送完毕)

  6. Client Key Exchange(客户端发送给服务器的密钥交换信息)
    客户端验证证书和计算密钥
    验证服务器发来的证书合法性
    计算预主密钥
    计算主密钥
    构建会话密钥

  7. 客户端发出Change Cipher Spec,Encrypted Handshake Message
    Change Cipher Spec 客户端已生成加密密钥,并切换到加密模式
    Encrypted Handshake Message 将之前所有的握手数据做一个摘要,再用最后协商好的对称加密算法对数据做加密
    服务器计算密钥

  8. 服务器发出Change Cipher Spec,Encrypted Handshake Message
    Change Cipher Spec 告诉客户端,服务端已生成密钥,请求客户端切换加密模式
    Encrypted Handshake Message 服务器对握手的所有数据用协商好的对称加密算法加密,供客户端校验

  9. 应用数据协议

余光zqy
关注
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议
CoutCodes的博客
06-19 3万+
深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。
pcattcp下载_使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议...
weixin_39987211的博客
12-21 1164
实验一 Wireshark的使用一、实验目的1、熟悉并掌握Wireshark的基本使用;2、了解网络协议实体间进行交互以及报文交换的情况。二、实验环境与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。三、 实验步骤启动Web浏览器(如IE);启动Wireshark;开始分组捕获:单击工具栏的 按钮,出现如图1所示对话框,[options]按钮可以进行系统参数设置...
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-CSDN博客.html
11-10
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-CSDN博客.html
Wireshark分析HTTP请求数据包了解TCP协议
最新发布
ystyaoshengting的专栏
08-15 720
MSSSACK_PERMWS标志位。
使用Wireshark抓包分析TCP协议
new9232的博客
04-17 2万+
wireshark数据包详细栏每个字段对应的分层。 分层介绍 数据链路层 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 网络层 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 传输层 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP握手过程分析 TCP三次握手示意图 第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq。 第二次握手:服务端返回一个SYN(表示
利用WireShark进行DNS协议分析
weixin_33918114的博客
07-15 332
2019独角兽企业重金招聘Python工程师标准>>> ...
WireShark如何抓包,各种协议HTTPARPICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 2万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
使用WireShark抓包分析TCP_IP协议
十十办文武的博客
04-26 9197
TCP/IP 协议是一组用于互联网通信的协议。它由两个主要协议组成:传输控制协议TCP)和互联网协议IPTCP/IP协议是互联网上最常用的协议之一,它使得不同类型的计算机和网络设备能够相互通信。TCP负责将数据分割成数据包,并确保它们在网络上的传输。IP负责将数据包从源地址路由到目标地址。在计算机网络(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用Wireshark抓包分析 TCP/IP 协议,用实践来验证理论。
wireshark抓包协议解读及ARP攻击和泛洪攻击.docx
05-19
Wireshark抓包协议解读】...总的来说,通过Wireshark分析网络通信,我们可以深入理解TCP/IP协议的工作原理,识别并防范像ARP攻击这样的网络安全威胁,同时也能更好地管理网络服务和端口,提升网络的安全性和效率。
使用wireshark抓包分析PPPIPARPICMPDNS、UDP、TCP协议
05-17
2. 在抓包过程中,可以通过筛选器选择需要分析的协议,比如PPPIPARPICMPDNS、UDP、TCP等。 3. 分析PPPIP协议的步骤: a. 在Wireshark中打开抓包文件,选择“Statistics”菜单下的“Protocol Hierarchy”...
Wireshark抓包——TCP协议分析
热门推荐
fortune_cookie的博客
06-11 6万+
一. 实验目的 通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。 二. 实验内容 1.本次实验重点:利用WiresharkTCP包及TCP包的分析。 2.本次实验难点:分析抓到的TCP包。 3.本次实验环境:Windows 7,Wiresha...
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
Wireshark抓包实例分析 (DNSHTTP协议).
04-03
关于Wireshark抓包的基本操作流程,很详细的解释,很适合初学者
使用Wireshark抓包分析TCP协议:三次握手和四次挥手
m0_65890285的博客
04-18 1501
为了更好的学习和理解TCP协议的连接和断开连接的过程,我们来引入一个非常适合用来学习网络协议的抓包工具Wireshark。这个抓包工具可以详细看到每一层网络报文的详细信息。
WireShark实战笔记之DNS协议分析
weixin_43742894的博客
04-03 1万+
DNS协议分析DNS协议概述DNS工作机理概述dns报文WireSahrk分析DNS协议查看第一个包:查看第四个包(响应包) DNS协议概述 DNS协议也可以称为DNS服务,全称是Domain Name System,即域名系统,和HTTP协议一样,也是一个位于应用层的协议(服务),它是基于运输层的UDP协议的。 从DNS的名字我们就可以知道,它提供域名映射到IP地址的服务,那么在我们详细说DNS协议之前,先来大致讲讲互联网的域名结构。 通常被其他应用层协议所使用,包括http、smtp和ftp等。 这里
Wireshark协议分析之DNS
马赛克的博客
03-16 3070
一:前言 域名系统(DNS)是最重要的互联网协议之一,因为它是总所周知的黏合剂,把域名转换为IP地址。当我们想要和一台网络设备通信却不知道它的IP地址,可以使用它的域名来进行访问。 DNS服务器存储了一个有着IP地址和DNS名字映射资源记录的数据库,并将其和客户端以及其他DNS服务器共享 由于DNS服务器的结构很复杂,因此我们只关注于通常类型的DNS流量 二:DNS数据包结构 事...
《计算机网络—自顶向下方法》 Wireshark实验(三):DNS协议分析
CarpeDiem
05-10 6140
域名系统 DNS(Domain Name System) 是互联网使用的命名系统,用于把便于大家使用的机器名字转换为 IP 地址。许多应用层软件经常直接使用 DNS,但计算机的用户只是间接而不是直接使用域名系统。本文就详细讲解DNS协议,包括nslookup域名解析,查看与设置DNS服务器,DNS报文分析,最后通过实验抓包分析DNS协议
WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 2890
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议iptcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
【计算机网络】利用WireShark分析TCP/UDP协议
weixin_50765519的博客
12-07 8684
前期准备: IntelliJ IDEA 2021.1.3 (Ultimate Edition) Build #IU-211.7628.21, built on June 30, 2021 JDK 1.8或以上版本 WireShark网络协议解析器 Version 2.4.13 (v2.4.13-0-gf2c6a94a3f) 查询本地回环的工具RawCap 分析过程: 1、对TCP协议进行分析 (1)利用java编写TCP服务端和客户端(略) (2)打开抓包软件    &nb
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值