Wireshrk从入门到精通(实战篇)

最新推荐文章于 2020-05-30 16:18:43 发布
最新推荐文章于 2020-05-30 16:18:43 发布
阅读量752 收藏 6
点赞数
分类专栏: wireshark 文章标签: Wireshark 抓包分析工具 higlab.com 笔记

想要抓包的时候发现不会抓包,学习了一下http://www.higlab.com/的抓包技术,挺有意思的。写点笔记

1.无法访问Internet

问题场景
用户不能访问Internet。已经确认该用户可以访问所有内网资源,包括其他工作站上的所有内容,以及运行在本地服务器上的所有应用程序

先ping网关,看能不能通,能通再ping 8.8.8.8,访问外网,8.8.8.8到不了
能ping通8.8.8.8就和dns没有什么关系了
再抓包,清一色的query查询,没有回应

前面3个ARP的作用是什么?
	确认这个ip地址有没有人用,没有人用,就可以自己用了
4号和5号一对ARP的作用?
	确认网关
一直在发送DNS请求,却没有收到任何DNS回应,又说明什么?
	DNS包封装好了,但是一直没有发出
	发现配的网关不是真正的网关
通过最终抓包,你能得出什么故障结论
	在网关配错的情况下,可以访问内网,但是出不了外网

问题场景
用户可以访问Internet。但是不能访问www.higlab.com的网站,其他应用都可以访问,这个问题只影响她一个人。

抓包发现没有DNS,判断host文件可能被篡改了。

问题场景
用户可以访问Internet。但是不能访问www.higlab.com的网站,其他应用都可以访问,经查明,机构的每一个人都无法访问这个网站

抓包发现主机发送的SYN没有回应,  服务器端有问题,可能宕机了

2.奇怪的打印机问题

问题场景:网络工程师遇到一个打印机难题,销售部的同事说,他们大批量打印作业的时候,打印机会打印几页,然后停止工作,他们改动了许多驱动配置选项,但是没有任何效果,BOSS希望你去确认是不是网络问题

抓包分析
1.观察正常的数据包过程
2.分析出现描述故障可能的原因

建立tcp连接打印了两页后打印机挂了,主机就一直发送SYN,但是打印机不理,打印机死机

3.分公司的DNS困扰

问题场景:
一家公司在总部之外开了几家分公司,部署所有分支都放置一台备用域控制,公司所有IT核心设备都放置在总部,域控制器是一台代理DNS服务器,它接受来自总部的上游
DNS服务器的资源记录信息。现在发现所有分支的用户都能访问Internet和分支的内部服务器,却不能访问总部的内部服务器。

正常上网肯定是UDP53号端口,DNS之间递归查找时,用的是TCP53号端口

可能中间路由器写了一些acl,只允许UDP53,不允许TCP53

4.无谓的争吵

问题场景
程序员开发了一个应用程序,用于把多个商店的销售报告发回总部的数据库,为了节约正常工作时间的宽带,不是实时传输而是晚上集中传输。然而在集中传输的时候,出现一些地区的数据丢失,有的数据还存在错误,有的地区出现部分数据丢失,系统管理员很懊恼,因为程序员说这是网络的问题导致的数据损坏,BOSS让你证明,不是你管辖的网络问题

抓包之前的思考
	1.我们完全不了解程序员开发的应用程序,怎么分析问题
	2.抓包才是唯一出路
	3.先抓一个包去看看,程序员用的什么协议传输数据的
	4.很low,竟然用的FTP协议
	5.这下好办多了。
	6.只需要把中间传输的FTP数据抓出来跟原始传输的数据做个MD5
	7.保证MD5值是一致的,不就能证明跟网络一毛钱关系也没有吗
	
	md5是验证数据完整性的,只要一致,就和网络没关系
	ftp.request.command=="STOR"   找传输文件名字的
	ftp-data

5.上网为什么这么慢

问题场景
经常很多员工反映,上网速度很慢,需要系统管理员确认问题范围

抓包前的思考
	1.上网流量一般通过TCP的HTTP协议传输
	2.导致上网流量卡顿,有很多种可能性
	3.通过Wireshark抓取数据包分析问题一个很重要的步骤
	4.就是抓取正常数据包通讯过程,对比法才能很快确认问题点
	5.所以,我就看看一个正常HTTP数据通讯过程
	
上网慢原因:
	网络拥塞
	服务器没办法及时响应,处理的session太多了
	上层的HTTP可能被一些软件影响
	
SYN/ACK很久才回:(这个包一般很小,最多100字节,不会是网络延迟问题)
	线路延迟
7层协议请求发送的时间很长
	客户端延迟
7层协议数据回来的很慢
	服务器端延迟(80%的可能性)

6.SSH登录卡住了

问题场景:很多情况下我们在SSH登录一台Linux主机的时候,输入用户名和密码的时候老是出现卡住的现象,通过抓包来分析其中的根本原因

frame.number>27 and frame.number<34  看编号28到33之间的包,这些包是和ssh连接产生的包,中间time出现了很大的波动

结论问题分析
通过抓包现象,我们可以推出,这台linux服务器在接收到ssh访问请求时,会先查询该客户端IP所对应的PRT记录。
假如经过5秒还没有收到回复,就再发一次查询。如果第二次查询还是等了5秒钟还没有回复,就彻底放弃查询

解决方法:
1.在DNS上添加PRT记录,使得DNS查询成功,就不用等待这10秒了
2.关闭这台linux客户端的nameserver的DNS指向
3.关闭DNS客户端的服务功能
cat /etc/ssh/sshd_config|grep -I usedns
#UseDNS yes
vi /etc/ssh/sshd_config
UseDNS no

银子的风梦
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从零开始学Wireshark抓包-协议分析与故障排除教程【完整版】-晁海江-专题视频课程...
chaohaijiang的专栏
05-09 775
从零开始学Wireshark抓包-协议分析与故障排除视频培训课程,教大家学会借助于Wireshark抓包工具,对常见的协议进行分析,从而定位并解决相关的网络故障。本课程建议大家至少具有CCNA相关的网络基础知识,Wireshark使用教程涵盖五大部分:软件介绍、使用过滤器、使用统计工具、协议分析与故障排除,让大家彻底掌握Wifrshark。...
Wireshark从入门到精通
05-14
Wireshark从入门到精通非常实用的一个教程,Wireshark是一款免费的抓包软件,可以分享网络疑难故障。网络工程师必备工具
Wireshark协议分析从入门到精通
王温暖的博客
01-19 616
https://edu.51cto.com/course/3721.html
Wireshark协议分析从入门到精通
ikwen的博客
06-29 1117
http://edu.51cto.com/center/course/lesson/index?id=62643《Wireshark协议分析从入门到精通
Wireshark抓包简单入门
shizhan.dev
06-17 547
抓包流程 打开抓包窗口:Capture|Options 选择抓取的网卡 1、选择 input 2、选择网口 3、start 停止抓包 结果说明 说明: 显示过滤器,可以对抓包的报文进行过滤显示,比如只显示http报文,可以输入:http 参考: https://www.wireshark.org/docs/wsug_html/#ChUseMai...
sgip_smgp_lua
12-28
支持wireshark解析smgp和sgip协议的lua脚本: 1. 在wireshark安装目录下找到init.lua文件,MAC下位于:/Applications/Wireshark.app/Contents/Resources/share/wireshark 2. 在init.lua同目录下创建sgip.lua和smgp.lua...
Wireshark增加电信SMGP短信协议解码器
09-27
1. 在wireshark安装目录下找到init.lua文件 2. 将SMGP.lua拷贝到init.lua同目录下 3. 打开init.lua并在结尾增加下面这行: dofile(DATA_DIR.."SMGP.lua")
Wireshark从入门到精通抓包协议分析视频下.rar
08-11
01 Wireshark协议分析从入门到精通课程介绍avi 11.1 Wireshark安装入门之软件介绍avi 1.1.2 Wireshark安装入门之抓包原理,av 11.3 WireShark安装入门之初始安装av 114 Wire Shark安装入门之快速抓包.avi 115 Wireshark安装入门之界面介绍avi 1.2.1 Wireshark进阶调试之显示界面设置.av 1.2.2 Wireshark进阶调试之数据包操作,avi 1.2.3 Wireshark进阶调试之首选项设置.avi 1.2.4 Wireshark进阶调试之抓包选项设置.avi 1.25.1 Wireshark进阶调试-抓包过滤器设置avi 1.25.2 Wireshark进阶调试-显示过滤器设置.av 13. Wireshark高级功能之数据流追踪.avi 14 Wireshark高级功能之专家信息说明mp4 15 Wireshark高级功能之统计摘要说明.mp4 16. Wireshark高级功能之协议分层统计mp4 17 Wireshark高级功能之网络节点和会话统计mp4 18 Wireshark高级功能之数据包长度统计mp4 19 Wireshark高级功能之图表分析 -I0 Graph. mp4 20. Wireshark高级功能之图标分析- Flow Gragh.mp4
Wireshark使用教程
李欢欢的博客
10-12 7万+
文章目录安装使用开始捕获 以wireshark 2.6.3 汉化版为例 安装 除了路径是自定义之外,其它均默认即可。 使用 开始捕获 菜单“捕获-选项”,设置需要捕获的网络适配器,点击“开始”。也可以在菜单“捕获-开始”、“捕获-结束”来控制开始结束。在“捕获-捕获过滤器”编辑捕获表达式 在上述“捕获”菜单中进行的操作,也可以在工具栏进行,如下图 捕获结果 着色规则 在菜单“视图-着色规则”...
Wireshark从入门到精通 (高清最终修正版)
01-04
Wireshark从入门到精通 高清最终修正版 网络抓包入门好书,强烈推荐
Wireshark从入门到精通【学习网络必备
09-01
Wireshark从入门到精通【学习网络必备
Wireshark安装使用及报文分析(图文详解)
天道酬勤
03-22 3374
一、Wireshark介绍1、Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcapnetwork library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!2、wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wire...
网络抓包工具Wireshark下载安装&使用详细教程
热门推荐
小啊呜的博客
05-30 18万+
网络抓包工具Wireshark下载安装&使用详细教程 一、关于Wireshark 二、下载及安装 安装方法: 三、实施抓包 四、使用显示过滤器 五、分析数据包层次结构 叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
调试利器之wireshark
weixin_33829657的博客
04-12 4022
简介 Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wir...
Wireshark基本介绍和学习TCP三次握手
weixin_34358092的博客
10-10 2222
之前写过一篇博客:用 Fiddler来调试HTTP,HTTPS。 这篇文章介绍另一个好用的抓包工具wireshark,用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。 记得大学的时候就学习过TCP的三次握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料,但是从来没有真正见过这些数据包, 老是感觉在云上飘一样,学得不踏实。有了wiresha...
Wireshark协议分析入门开发
08-11
Wireshark是目前全球使用广泛的开源抓包软件(前身为Ethereal),是一个通用化的网络数据嗅探器和协议分析器,由Gerald Combs编写并于1998年以GPL开源许可证发布。如果是网络工程师,可以通过Wireshark对网络进行故障定位和排错;如果是安全工程师,可以通过Wireshark对网络黑客渗透攻击进行定位并找出攻击源。
Wireshrk 3.0.0网络抓包工具安装及使用(图文教程)
Python美丽星球--微信(Felixzfb)
08-04 4804
Wireshark网络抓包工具安装及使用 1 Wireshark干嘛用的? Wireshark可以从最底层从你选取的网卡 抓取从网络源头到目的地的所有数据(双方IP,端口,协议,数据等) 比如:从QQ给你的好友发送一条消息 Wireshark可以抓取整个过程的数据 Wireshark的作用 网络编程中,你的代码有问题还是网络有问题 可以通过Wireshark抓包进行判断 ...
ubuntu wireshrk
最新发布
03-28
Wireshark is a popular network protocol analyzer tool that is available on Ubuntu. To install Wireshark on Ubuntu, follow these steps: 1. Open the terminal by pressing Ctrl+Alt+T ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值