wireshark初学笔记

1.常见协议包抓取：

• ARP协议
• ICMP协议
• TCP协议
• UDP协议
• DNS协议
• HTTP协议

2.安装好wireshark

打开cmd管理员在DOS环境下输入ipconfig

出现IP，网关等信息，明确自己属于哪个网关（IP发送信息通过网关，网关接收发送给

网站，网站返回信息给网关，网关接收返回主机IP）

选择对应的网络，鼠标双击打开

3.混杂模式/普通模式

捕获-->选项勾选使用混杂模式（经过网卡的所有数据包都能被抓取，不会校验是否合法，方便网安人员抓取非法内容）——————不勾选是普通模式，网卡只抓取正确的数据，其他的接收不到

4.wireshark过滤器

关注我想要过滤的数据——蓝色左上角图标

搜索框输入tcp可抓取tcp的包（TCP三次握手四次挥手）。tcp.flags.ack==0（and****，表示同时*****，1表示数据已经发完了）发送相应确定信息，我是合法伙伴确定让我能连

三次握手：客户端发送请求信息，服务器接收到；服务器发送确认信息给客户端；客户端发送确认接收到的信息给服务器（就像打电话，我打电话给张三，张三电话响了；张三接电话：我是张三；我听到回：我是谁谁谁）确定身份以后就可以把报文发送到服务器上，进行下一步操作（查网页，数据传输等）

syn连接请求标志，电话拨号的数据过滤出来

数据发送成功会带一个fin标志tcp.flags.fin=1（1表示数据已经发完了）

过滤的数据包：tcp,udp,arp，http，dns域名解析(过虑时出现的mdns，OICQ等都是为udp协议服务的，在udp协议的上层，自上而下的封装)

Source下的表示源地址源Ip，发送方

destination目标电脑，接收方

可以搜索对应ip发送了哪些数据——ip.src_host==192.168.1.1 or ip.dst_host

ip.addr==192.168.1.1 只要IP地址的都展示出来，不管是源IP还是目标IP

5.ARP协议

上百度，先在网页上输入百度，然后发送到网关，网关发送给百度服务器（核心是确认物理地址是否真实） 

第一次保存百度物理地址，第二次直接拿出来不用再次解析
找百度或者其他网址，主机广播发送给所有电脑，在寻找网关的时候黑客电脑比你找网关的速度快，告诉你黑客电脑就是网关，然后就会连接到黑客电脑上，黑客电脑不是网关，上不了网，电脑就断网了

6.ICMP协议

 发送ping数据包会产生的，软件里输入ICMP筛选
Type 8发送的请求，网关回应会变成0
检验完整性,是否被黑客篡改，good没有被篡改
data发给网关的数据包，加密看不到

 

7.TCP协议3次握手

 发送一个连接请求，打电话接到了，喂，回应喂，连接建立
云服务器一般开放22端口，port端口
Windows 62524 接收的数据的大小不能超过
统计，流量图，报表形式比较好看，流量类型，tcp

8.断开连接4次挥手，

 主动断开是在已经连接的情况，ack确定消息，请问是不是要断开，发送断开指令过来，fin结束标记，现在还没正式断开，可能数据操作没传完，有一个等待过程等待数据传完，等待完成后，会有一个确定传完的消息，OK了，可以断开连接了
exit断开

9.Http抓包协议

 curl -I（HIJK） baidu.com DOS环境下，启动抓包软件
post发送给百度一个查看网页请求，百度收到回复ack确定收到
百度又发送一个响应成功 200 OK
收到数据后4次挥手
右键数据流最终流

10.获取用户密码实操

网络登录用户名密码，开启抓包软件，对应服务器地址和客户地址交互的数据，点开对应下方寻找用户名username和password即可找到对应密码