网络协议分析

一、网络层典型协议数据包的抓取分析

1.打开 Wireshark，选择一张有波动的网卡，进行抓包。

2抓取arp数据包并分析（如果抓不到arp数据包可在cmd中执行arp -d命令）。

3抓取并过滤icmp协议数据包并分析（如果抓不到icmp数据包可以在cmd中执行ping命令）

icmp echo request 报文结构：

icmp 通用格式

分析一个 icmp 报文

差错报告 icmp 报文

4.抓取一个http包，打开后对其中的ip协议进行分析（如果抓不到http数据包可以访问一个http网站（非https）

二、传输层典型协议数据包的抓取分析

1.抓取 tcp 报文，首先通过 ping www.baidu.com 获取到百度 ip。

2.然后浏览器访问百度（通过ip地址），通过 wireshark 得过滤器过滤 ip.dst eq 112.80.248.75。

3.打开一个 tcp 请求报文进行分析。

4.使用 wireshark 过滤器过滤 UDP 协议。

5.打开一个 udp 报文进行分析。

三、 FTP安全性分析

1.主机A（已启动FTP服务）打开wireshark，选择本地连接开始抓包。

2.主机B使用winscp登陆主机A的FTP服务（或直接资源管理器访问）。

3.主机A使用 wireshark 的过滤器过滤 ftp，可以看到明文显示的登陆情况。

4.右键选择追踪流，tcp 流，可以看到完整的操作。

四、HTTP/HTTPS安全性对比分析

1.打开wireshark，选择本地连接开始抓包。

2.登陆一个http网站(使用HTTP协议的Web站点)

3.登陆完成后将抓到的流量保存为pcapng文件。

4.打开流量包分析，在包中搜索登录时的用户名。

5.可以发现，在使用HTTP时，数据明文传输，不会进行任何加密。

6.访问一个HTTPS站点，并抓包，保存为pcapng文件。

7.过滤443端口，对HTTPS的访问流量进行分析。

8.客户端向 443 端口发送 SYN 信号，请求连接。

9.服务器回应连接。

10.TCP/IP 三次握手完成。

11.Client Hello 信号，客户端发送随机数字+自己可以支持的加密方法。

12.服务器 ACK 应答

13.Server Hello 信号，服务器发送随机数字+选择双方都支持的加密方式，这里选择的是TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。

14.Certificate：服务器发送自己的公钥和从 CA 申请的证书；Server Key Exchange：告诉客户端开始转换成对称密钥；Server Hello Done：Server Hello 结束。

15.TCP/IP 四次挥手，断开连接。