文章介绍了如何使用Wireshark抓包工具分析网络流量,包括TCP、ARP、ICMP协议的应用,以及三次握手和四次挥手的过程。重点讲解了IP配置、混杂模式、HTTP协议底层TCP封装等内容,展示了从网络请求到响应的详细流程。
目录
ipconfig结果分析:
以太网是在连接网线的情况下查看ip的
我这里连接的的是wifi:
我们上网的时候,使用的是wifi,比如访问百度,会先发一个请求给网关192.168.0.1,然后我的网关把我的网络请求发送给百度的服务器,百度服务器再把响应的数据包发给网关,网关在发给我的ip,所以网络连接的所有数据都是经过这个网络的。
使用wireshark抓包:
我这里连接的是wifi,所以在启动界面选择WLAN模式抓包
点击进去之后就可以看到出现了很多流量包了:
这个工具中对于数据包的抓取有混杂模式和普通模式
混杂模式抓取所有经过电脑网卡上面的数据,不管是正确的还是错误的,安全的,还是危险的,杜宇非法的行为,也可以抓到
过滤协议:
TCP协议
看到有tcp,http因为http底层也是tcp的封装
输入udp,可以看到udp,DNS,SSDP这些协议,是和udp协议相关的
输入:tcp.flags.ack==0查看tcp包的确定信息
tcp.flags.fin==1表示向服务器发送数据成功:
电脑开机就会不断向外面的服务器发包
source:发包方,destination:收包方
ip.src_host==192.168.0.102就是查找发包方主机ip是192.168.0.102的数据包:
寻找源IP是:192.168.0.102,而且目标ip:192.168.0.1是的数据包:
ip.src_host==192.168.0.102 and ip.dst_host==192.168.0.1
ip.addr==192.168.0.102会列出ip是192.168.0.102的数据包,不管是源IP为192.168.0.102还是目标ip是192.168.0.102都会列出来。
ARP协议
ARP地址解析协议:根据IP地址获取物理地址的一个TCP/IP协议。
局域网内两主机进行通信是通过物理地址进行通信的。
arp流量抓取一下:
查看:
找一个与网关的arp请求:
点开看一下详情:
我的网关ip:
主机要访问百度,他的请求是先发送给网关,网关再发请求给百度,百度回复给网关,网关再把回复给主机,其中请求发送给网关的时候,网关也要先找这个主机的mac地址是不是在自己的arp缓存表中,不在arp缓存表中,要加入到arp缓存表中。
ICMP协议
ping命用的就是这个协议,这里我们ping一下网关192.168.0.1
TCP协议
主机要向外发送信息之前要先和别的主机建立tcp连接,这分为三个阶段:
这里将主动发送请求的作为客户端,接受请求的服务端
- 第一次握手:
客户端发送请求,将TCP报文标志位SYN置为1。 - 第二次握手:
服务器端收到数据包后由标志位SYN=1知道客户端请求建立连接,服务器端将TCP报文标志位SYN和ACK都置为1。 - 第三次握手:
客户端收到确认后,检查ack是否为x+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=y+1,并将该数据包发送给服务器端,服务器端检查ack是否为y+1,ACK是否为1,如果正确则连接建立成功,客户端和服务器端进入ESTABLISHED状态,完成三次握手,随后客户端与服务器端之间可以开始传输数据了。
wireshark抓取TCP流量:
这里和云服务(ip:39.101.70.82)建立连接
抓取流量:
三次握手:
查看详情:
四次挥手:
HTTP协议:
底层是TCP的封装
向百度发起请求,抓取流量:
首先是建立TCP连接,然后发起请求,然后百度收到请求,响应请求
此时我的ip是192.168.2.199,百度的ip是1.192.193.119
追踪这个HTTP流来查看详细内容:
看到:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
