加强政协网站建设,福建省建设职业注册资格管理中心网站,手机搭建网站工具,网站内页制作WireShark一、开启WireShark的大门二、如何抓包 搜索关键字2.1 协议过滤2.2 IP过滤2.3 过滤端口2.4 过滤MAC地址2.5 过滤包长度2.6 HTTP模式过滤三、ARP协议分析四、WireShark之ICMP协议五、TCP三次握手与四次挥手5.1 TCP三次握手实验5.2 可视化看TCP三次握手5.3 TCP四次挥手5.…
WireShark一、开启WireShark的大门二、如何抓包 搜索关键字2.1 协议过滤2.2 IP过滤2.3 过滤端口2.4 过滤MAC地址2.5 过滤包长度2.6 HTTP模式过滤三、ARP协议分析四、WireShark之ICMP协议五、TCP三次握手与四次挥手5.1 TCP三次握手实验5.2 可视化看TCP三次握手5.3 TCP四次挥手5.4 总结TCP三次握手和四次挥手wireshark是非常流行的网络封包分析软件功能十分强大。可以截取各种网络封包显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。一、开启WireShark的大门
cmd——ipconfig
我连的是WIFI这是我的IP 左侧对应你的电脑网卡可以注意右侧的折线图有波动的就是我在使用的网卡。
先停止运行再点击捕获选项可以看到是否选择混杂模式 混杂模式︰混杂模式就是接收所有经过网卡的数据包包括不是发给本机的包即不验证MAC地址。 普通模式:普通模式下网卡只接收发给本机的包(包括广播包传递给上层程序其它的包一律丢弃。 一般来说混杂模式不会影响网卡的正常工作多在网络监听工具上使用。
二、如何抓包 搜索关键字
2.1 协议过滤
点击箭头指向的红色方框就会出现蓝色鲨鱼状的。
比如说查TCP、UDP建立连接的时候是什么样的至于协议为什么有其他的协议是因为这些协议的最顶层都是TCP或者UDP 再或者如何抓http的包 其他的协议同理咯。
2.2 IP过滤
或者搜一下我的网关试试 注意抓包的时候蓝色的亮 语法格式
IP源地址ip.src 192.168.1.1IP目的地址ip.dst 192.168.1.1IP地址包括源和目的ip.addr 192.168.1.1我凭感觉试了一个还真能弄出来
ip.src_host 192.168.1.108 and ip.dst_host 192.168.1.1欢迎关注宝藏女孩的成长日记 地址https://blog.csdn.net/hanhanwanghaha
2.3 过滤端口
语法格式
TCP端口tcp.port80TCP目的端口tcp.dstport 80TCP源端口tcp.srcport 80UDP端口udp.port eq 15000TCP 1-80之间的端口tcp.port 1 and tcp.port 80例如
tcp.port 80 || udp.port 802.4 过滤MAC地址
语法格式
源MAC地址eth.src00-BB-60-7C-A4-BB目的MAC地址eth.dst00-BB-60-7C-A4-BFMAC地址包括源和目的eth.addr00-BB-60-7C-A4-BB2.5 过滤包长度
语法格式
整个UDP数据包udp.length20TCP数据包中的IP数据包tcp.len20整个IP数据包ip.len20整个数据包frame.len202.6 HTTP模式过滤
请求方法为GEThttp.request.method“GET”请求方法为POSThttp.request.method“POST”指定URIhttp.request.uri.path contains x泛指http contains x例如
http.request.method GET三、ARP协议分析
ARP的基本功能就是负责将一个已知的IP地址解析成MAC地址以便主机间能正常进行通信。
cmd
ping 192.168.1.1(这是我的网关)192.168.1.108发出一个广播来询问MAC地址Who Has 192.168.1.108? Tell 192.168.1.1 182.168.1.108做出应答182.168.1.108的MAC地址是 ee: bb: 60: 7c:a4: bb
ARP请求包 ARP响应包 四、WireShark之ICMP协议
ICMP协议是一种面向无连接的协议用于传输出错报告控制信息。它是一个非常重要的协议它对于网络安全具有极其重要的意义。 [3] 它属于网络层协议主要用于在主机与路由器之间传递控制信息包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时会自动发送ICMP消息。
icmp数据包解读
1 Frame: 物理层
2 Ethernet II: 数据链路层
3 Internet Protocol Version 4: 网络层
4 Internet Control Message Protocol icmp信息
ping www.baidu.com可以看到windows下ping默认执行四次ping因此Wireshark抓到8个ICMP查询报文随便点一个看 分析 Code: 0 表示发成功
校验完整性
Checksum: ex4d32 [ correct] [checksum Status: Good]
检查数据有么有被黑客篡改过
五、TCP三次握手与四次挥手
SYN(synchronize)指请求同步
ACK指确认同步5.1 TCP三次握手实验 获取百度的IP地址
ping www.baidu.comtcp ip.addr 163.177.151.110
www.baidu.com的IP地址(目的IP)输入后回车。可以看到下面还是空的流量信息。现在再打开百度首页(浏览器网址www.baidu.com)关注这里的流量信息,可以发现三次握手的流量包信息已经显示在下方了 第一次握手 第二次握手 第三次握手 欢迎关注宝藏女孩的成长日记 地址https://blog.csdn.net/hanhanwanghaha
5.2 可视化看TCP三次握手
统计——流量图 这种说实话还挺好看的hhh。 SYN洪泛攻击:一直发送第一次握手的SYN数据包并不进行确认导致服务器有大量挂起等待确认的TCP连接消耗CPU和内存进而导致死机 解决方法:SYN cookie
5.3 TCP四次挥手 SYN指请求同步
ACK指确认同步
FIN指结束四次挥手
本机地址192.168.1.108
百度地址163.177.151.110注意这个每个人不一样要ping www.baidu.com查第一次挥手本机发送带有[FINACK]标志的数据包发送至baidu.comSeq21939ACK115238发送后 主机A进入FIN-WAIT-1终止等待状态。
192.168.1.108 163.177.151.110 TCP 5463085 443[FINACK] Seq21939 Ack115238 Win131584 Lene第二次挥手baidu.com收到本机的FIN数据包向本机响应ACK数据包Seq115238与本机的FIN数据包 ACK值相同ACK21940等于本机 FIN数据包的 Seq 1 。后baidu.com进入了CLOSE-WAIT关闭等待状态。
163.177.151.110 192.168.1.108 TCP 54 443 → 63085 [ACK] Seq115238 Ack21940 win75264 Len0
第三次挥手数据发送完后baidu.com向本机发送[FINACK]报文Seq115269在半关闭状态服务器可能又发送了一些数据数据长度为31我自己的理解ACK21940与上一条报文的ACK值相同。
163.177.151.116 192.168.1.108 TCP 54 443 → 63085 [FINACK] Seq115269 Ack21940 win75264 Len0第四次挥手本机向baidu.com发送标志为[RSTACK]的报文Seq21940与baidu.com发送至本机的FIN报文ACK值相同ACK115269与baidu.com发送到本机的FIN报文的Seq值相同。
192.168.1.108 163.177.151.110 TCP 54 63085 → 443 [RSTACK ] Seq21940 Ack115269 win0 Len0四次挥手过程完成等过等待计时器设置的2MSL最长报文段寿命后TCP连接才真正释放。本机才真正进入COSED状态。 可视化 看刚刚第三次握手数据长度为31证明我的理解是对的。
以上为我参考了n多资料后自己的理解如有大佬看到有不对的地方还请指教
5.4 总结TCP三次握手和四次挥手
总结
这周六或者周天的时候打算自己写一个web页面测试黑客是如何利用WireShark获取用户密码的最迟下周末flag立下了感觉很有意思。
