Wireshark分析
Wireshark
简介
Wireshark(导线鲨鱼,前称Ethereal,空灵)是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。
在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制的权利。
界面信息
Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息
Hypertext Transfer Protocol: 应用层信息
IP过滤
ip.src ==
ip.dst ==
ip.addr ==
I .三次握手&四次挥手
SYN(synchronous建立联机) 、
ACK(acknowledgement 确认) 、
PSH(push传送)、 FIN(finish结束) 、
RST(reset重置) 、URG(urgent紧急)、
Sequence number(顺序号码) 、
Acknowledge number(确认号码)。
三次握手
第一次握手:客户端发送syn包(syn=x)的数据包到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=x+1),同时自己也发送一个SYN包(syn=y),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=y+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
握手过程中传送的包里不包含数据,三次握手完毕后,客户端与服务器才正式开始传送数据。理想状态下,TCP连接一旦建立,在通信双方中的任何一方主动关闭连接之前,TCP连接都将被一直保持下去。
第一次握手
第二次握手
第三次握手
四次挥手
第一次挥手:主动关闭方发送一个FIN,用来关闭主动方到被动关闭方的数据传送;
第二次挥手:被动关闭方收到FIN包后,发送一个ACK给对方,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号);
第三次挥手:被动关闭方发送一个FIN,用来关闭被动关闭方到主动关闭方的数据传送;
第四次挥手:主动关闭方收到FIN后,发送一个ACK给被动关闭方,确认序号为收到序号+1,至此,完成四次挥手。
第一次挥手
第二次挥手
第三次挥手
第四次挥手
II .DNS包分析
http://www.baidu.com/DNS查询包
第一个包: DNS查询的请求包
源IP为: 192.168.1.113(Kali Linux ip)
目的ip为: 202.117.128.2(网关,充当DNS本地服务器角色)
第二个包: DNS查询的应答包
源IP为: 202.117.128.2(网关)
目的ip为: 192.168.1.113(Kali Linux ip)
DNS请求
DNS响应
III .分析HTTP包
请求包(Kali发起请求)
源IP: 192.168.1.113
目的IP: 14.251.177.39
应答包(baidu做出应答)
源IP: 14.251.177.39
目的IP: 192.168.1.113