wireshark抓包初体验

最新推荐文章于 2024-09-02 21:54:13 发布
最新推荐文章于 2024-09-02 21:54:13 发布
阅读量4.4k 收藏 19
点赞数 3
分类专栏: 计算机网络 文章标签: 计算机网络 wireshark http tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjh2622075127/article/details/100807910
版权

文章目录

一. 使用wireshark对百度进行抓包

进行抓包时, 需要得到ip(不知道怎么用域名). 我们可以通过nslookup baidu.com得到百度的ip, 然而, 在浏览器里访问baidu, ip不是这个命令得到的其中之一, 那么我在浏览器访问baidu.com后怎么在wireshark里找?

我的解决方法是, 在浏览器里不直接输入baidu.com进行查找, 而是输入刚刚查找到的ip, 访问的结果就是baidu.com, 但用这种方法我们可以在wireshark中过滤这个ip. 如图所示
在这里插入图片描述

在这里插入图片描述

比如在我这里搜索到的百度的ip是39.156.69.79220.181.38.148, 那么我就在浏览器访问39.156.69.79/s?word=python, 就在wireshark中过滤这个ip, 得到访问结果.

注意: 在wireshark中使用过滤规则如: ip.host == 39.156.69.79 限制抓取这个ip的包

在这里插入图片描述
还有另一种找ip的方式, 那就是在浏览器检查里找到的baidu的ip. 但是经过测试这样找到的ip的抓包抓到的包有很多很多, 比上面那种多多了, 从包的协议来看, 第一种应该都是http, 而第二种应该是https. 我认为初学者可以先用前一种方法抓百度的包, 从简单的开始分析. (关于这个后面有个彩蛋)在这里插入图片描述

二. 对http报文的分析


查看抓取的包, 有两个http协议, 其中第一个是我的ip发起的请求, 第二个是百度对我的回应.
在这里插入图片描述
点进去, 查看详细内容, 可以看到这段http请求报文. 虽然和<<自顶向下>>书上的不完全一样, 但包含的信息是差不多的.

在这里插入图片描述
这个是响应报文, 他给了我们一个302状态码, 维基百科的解释是这样的:

302 Found,原始描述短语为 Moved Temporarily ,是HTTP协议中的一个状态码(Status Code)。可以简单的理解为该资源原本确实存在,但已经被临时改变了位置;换而言之,就是请求的资源暂时驻留在不同的URI下[1],故而除非特别指定了缓存头部指示,该状态码不可缓存。

对于服务器,通常会给浏览器发送HTTP Location头部来重定向到新的新位置。

这说明没有成功响应…

三. 理解响应失败的原因

所以我好像明白了什么, 因为使用第一个方法找到的ip访问时, 它似乎经过了一个重定向, chrome浏览器的锁那里先是显示不安全, 然后进入了baidu.com. 所以有理由认为使用nslookup命令找到的ip进入的服务器使用的是http, 并不安全, 于是自动重定向到了https.

而这也是我们最开始发现的, 第一种方法得到的包很少的原因了

于是我去验证一下, 在没有直接通过https的百度ip访问百度的情况下, 过滤该ip的包, 看是否有很多包. 事实确实是这样, http自动重定向到了https. 有很多的包.
在这里插入图片描述
所以得出一个结论:
上面我介绍的第一种方法得到网站ip然后过滤抓包的方法是不可取的, 建议还是用在浏览器上用检查去获取网站的ip.

如图所示为加上ssl条件过滤, 协议都是TLSv1.2
在这里插入图片描述

四. tcp三次握手

然而我们的第一种方法完全没有价值吗? 并不, 前面说了, 它抓的包很简单, 而且是http协议. 书上介绍相关内容时, 是先从http介绍的, 因此我们可以用第一种在现在渐渐淘汰的http理解课本内容.

我想说的是http请求时的tcp三次握手.

第一次握手:客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;

第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

握手过程中传送的包里不包含数据,三次握手完毕后,客户端与服务器才正式开始传送数据。理想状态下,TCP连接一旦建立,在通信双方中的任何一方主
动关闭连接之前,TCP
连接都将被一直保持下去。断开连接时服务器和客户端均可以主动发起断开TCP连接的请求,断开过程需要经过“四次握手”(过程就不细写了,就是服务器和客
户端交互,最终确定断开)

如图所示, 三次握手建立起了tcp连接
在这里插入图片描述
出现了 SYN, ACK 这几个专业术语
在这里插入图片描述
因此我们可以直观地感受到tcp建立连接的过程

这一次不是非常顺利但收获颇多的抓包学习,在抓包的过程中遇到好些问题,然后在解决问题的过程中发现自己的漏洞,和一些新的猜测并验证。

参考: https://www.cnblogs.com/tiwlin/archive/2011/12/25/2301305.html

姬小野
关注
专栏目录
运维系列:[网络]从wireshark抓包百度https流程
weixin_54626591的博客
05-16 2064
[网络]从wireshark抓包百度https流程
wireshark抓包
u013046245的专栏
04-07 1199
信息安全原理 作业4 抓取访问本校主页时所有的包并进行分析 Linux上的wireshark不能选择interfaces,也就是不能探测到网卡 这个问题困扰了我好久,我觉得应该是权限问题,如果给root权限来跑wireshark应该是可以的 不管怎样,先用windows来试试吧 wireshark 1.10 64bit 安装时要卸载winpcap4.1.2,安装win
wireshark实验
weixin_54080191的博客
12-25 647
文章目录数据链路层 数据链路层 实作一 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
wireshark工具获取设备IP地址
lj19990824的博客
06-25 1998
1、连接好XX设备与笔记本,在网络连接里面找到以太网,没有出现红色X号,表示网线连接正常,硬件没问题(之前有遇到过,连上之后一直是X号,换了一块设备才正常)。8、在网络连接里找到以太网,单击右键选择属性,然后选择Internet版本4,使用下面的网址,改成跟通过wireshark工具读到的ip地址同一网段的。4、发现一直在刷新数据,代表网口有数据输出,Tell后面的ip就是设备IP(要升级程序的ip地址)每次需要一个一个试,比较麻烦。5、打开电脑左下角的搜索输入cmd,会出现一个命令提示符,打开它。
wireshark抓包tcp连接百度通信过程
11-12
TCP通信流程解析》博文中TCP连接百度抓包文件,使用wireshark打开。
[网络]从wireshark抓包百度https流程
热门推荐
让勤奋成为习惯
01-06 5万+
背景 虽然之前在学校学习过《计算机网络》课程,对https有所认识,但是当笔者最近在定位一个网络问题时,发现学习不够深入。为此深入了解了一下https的流程。这里做一下总结和分享。 https原理 http有如下的不足(参考自:【日本】上野 宣《图解HTTP》): 通信使用明文,内容可能被窃听; 不验证通信方的身份,因此有可能遭遇伪装; 无法证明报文的完整性,所有有可能遭篡改。 为了
wireshark抓包步骤
weixin_47295621的博客
08-22 2059
一:Wireshark是一款常用的网络协议分析工具,可以用于捕获和分析网络数据包。
wireshark_抓包浏览器中的网址(http)/百度首页抓包
xuchaoxin1375的博客
12-30 1万+
文章目录preface获取baidu.com的ip查看wireshake抓包情况 preface wireshark 可以抓到http的包,但是https和http不是一回事,所以在浏览器中输入www.baidu.com是抓不到http包的 不过如果在浏览器中输入ip地址(比如说点分十进制),那么应该是可以抓到包 我们百度首页为例进行专抓包测试 获取baidu.com的ip 通过 ping www.baidu.com 来获取百度ip地址(负载均衡,不同环境获取的ip不同) 通过浏览器访问:
npcap-1.75.zip wireshark 抓包驱动
06-24
该版本具有优化和改进,以提供更稳定和高效的网络抓包体验。通过本次更新,您可以免费获得最新版本的Npcap1.7.5.exe,为您的网络分析和安全测试提供更好的支持。立即下载并安装Npcap1.7.5,体验其出色的功能和性能!...
wireshark抓包方法
01-18
### Wireshark抓包方法详解 #### 一、Wireshark简介 Wireshark是一款功能强大的网络封包分析软件,常被用于网络安全分析、故障排查、协议开发与测试等场景。它能够捕获网络接口上的数据包,并提供丰富的过滤、解码...
揭开WebSocket的神秘面纱:利用Wireshark抓包分析
m0_59464259的博客
10-26 3411
一、引语 互联网发展迅速,最初的网页是以文本为主,但很快就发展到使用大量的图片、音频、视频,并且对页面的实时性要求也越来越高。 在学习HTTP协议后,我们知道了,人们已经陆续使用HTTP/1.1的持续连接、HTTP/2的TCP复用等技术来解决这一问题。 那么有没有其他的方式呢?答案是肯定的,那就是我们今天要介绍的WebSocket,它是一种在单个TCP连接上进行全双工通信的协议。 在这里我借助抓包软件Wireshark,图文并茂,辅助理解 一、抓包过程 抓包软件下载 Wireshark · G
wireshark抓包实验之HTTP
10-24
### Wireshark抓包实验之HTTP知识点解析 #### 一、HTTP版本 - **浏览器运行的HTTP版本**:实验中提到的浏览器运行的是HTTP 1.1版本。 - **服务器运行的HTTP版本**:同样地,服务器也运行HTTP 1.1版本。 HTTP 1.1相...
大学生超简单教程之使用wireshark抓包,抓取http、ftp、smtp、pop3、telnet
weixin_45586870的博客
03-30 9343
此教程主要针对于大学的上机实验课。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaTeX数学公式 语法; 增加了支持甘特图的mermaid语法1 功能; 增加了 多屏幕编辑 Mark
结合Wireshark抓包分析,沉浸式体验HTTP请求的一次完整交互过程
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-02 1206
HTTP连接本质就是使用TCP协议建立起的可靠连接进行请求发送与请求响应。1. DNS解析:当客户端(如浏览器)尝试访问一个网站时,它首先会尝试从本地缓存中查找域名对应的IP地址。如果本地缓存中没有找到,客户端会发送DNS查询请求到本地的DNS服务器。2. 建立TCP连接:客户端(如浏览器)向服务器发起连接请求,通常使用TCP/IP协议建立一个到服务器的TCP连接。这个过程称为三次握手(Three-way handshake),确保连接的可靠性。3. 客户端发送请求:客户端向服务器发送HTTP请求消息。
为什么我抓不到baidu的数据包
Huangjiazhen711的博客
11-15 3240
文章开头通过抓包baidu的数据包,展示了用wireshark抓包的简单操作流程。HTTPS会对HTTP的URL和Request Body都进行加密,因此直接在filter栏进行过滤会一无所获。HTTPS握手的过程中会先通过非对称机密去交换各种信息,其中就包括3个随机数,再通过这三个随机数去生成对称机密的会话秘钥,后续使用这个会话秘钥去进行对称加密通信。如果能获得这三个随机数就能解密HTTPS的加密数据包。
Wireshark实验
weixin_52686749的博客
12-21 1937
计算机网络实验报告
Wireshark基础使用,SSL解密及http抓包入门教程
米不开朗基罗的博客
11-18 7687
Wireshark VS Fiddler/Charles(一)下载与安装(二)抓取https等解密(三)报文传输各层简要介绍 Wireshark VS Fiddler/Charles Wireshark功能很多、作用效果很底层,并且可以监听指定的网卡上流过的所有流量,支持的协议如下: ARP 协议:地址解析协议,即ARP(Address Resolution Protocol),是根据 IP地址 获取 物理地址 的一个 TCP/IP协议 ICMP 协议:控制 报文 协议。 它是 TCP/I
wireshark工具使用(超详细的保姆级教程,ctf小白必会)
qq_68064663的博客
10-14 1942
流量分析工具wireshark,杂项小白手必学,一文搞定基础
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值