汉川市建设局网站,外网代理ip,wordpress ps.w.org,wordpress广告插件下载一、TCP/IP协议簇
网络接口层#xff08;没有特定的协议#xff09; 物理层#xff1a;PPPOE宽带拨号#xff08;应用场景#xff1a;宽带拨号#xff0c;运营商切网过来没有固定IP就需要拨号#xff0c;家庭带宽一般都采用的是拨号方式#xff09;数据链路层网络层…一、TCP/IP协议簇
网络接口层没有特定的协议 物理层PPPOE宽带拨号应用场景宽带拨号运营商切网过来没有固定IP就需要拨号家庭带宽一般都采用的是拨号方式数据链路层网络层IPv4/v6 ARP地址解析协议 RARP 、ICMPinternet控制报文协议 IGMP传输层TCP传输控制协议 UDP用户数据报协议应用层基于传输层协议的端口总共0-65535 固定协议端口号0-1023 http-80https-443 DHCPDNSHTTPHTTPSFTPSMTPPOP3IMAP流量抓取工具winshark
二、winshark工具简介
1、混杂 and 非混杂
winshark是对主机网卡上的数据流量进行抓取可以对网卡进行混杂模式和非混杂模式的抓包。
混杂模式不管目的是否是自己都接收。 数据镜像主机A正常与主机B通信做数据镜像端口将F0/0接口镜像到F0/2接口如果主机C开启混杂模式就能抓取澳主机A发往主机B的链路流量反之如果主机C是非混杂模式就会将丢弃该数据。非混杂模式默认情况下主机的网卡处于此模式不会接收目的非自己的数据 2、winshark软件界面介绍
1菜单栏
2网卡
winshark可以检测到本地的所有网卡 3混杂模式
在菜单栏-捕获-选项进入可以设置混杂模式默认是开启的。 3、抓取数据
1流量
No 抓取报文的序号time时间抓取这个流量耗费的时间Source源IP地址Destination目标IP地址Protocol协议length数据报文的长度Info简要信息
2数据包
看报文详细内容通过TCP/IP 五层来展现的。
Frame56物理层封装的信息很少去看Ethernet II 二层封装信息 源MAC 目的MAC Type下面会显示十六进制的消息 Internet Protocol version 4网络层数据User Datagram protocol传输层数据Domain Name Systemresponse应用层数据
3追踪流(用的比较多)
追踪流
Wireshark的跟踪数据流功能可以将捕获的数据包排好顺序使之容易查看右键捕获的数据包并选择追踪流假设选择HTTP流HTTP流就会在一个单独的窗口中显示。
我们可以注意到窗口中的文字以两种颜色显示红色用来标明从源地址前往目标地址的流量而蓝色用来区分从目标地址到源地址的流量。以访问www.xiaodi8.com为例。 其中黑底红字的报文是错误报文根据winshark菜单栏视图-着色规则可知是Bad TCP 4自定义显示的列
我们想快速看报文的某些字段信息就可以设置应用为列。例如想看报文的Type类型可以直接右击Ethernet II里面的Type选择应用为列。 5自定义Time列
菜单栏视图-日期时间格式下有很多显示时间的格式我们可以根据场景来选择显示时间的格式。例如当我们发现某个报文有问题时可以设置时间格式为日期和时间从而追溯到这个报文是在哪个时间点发的。
日期和时间 自从上一显示分组经过的秒数 自捕获开始经过的秒数: 设置参考时间
针对某一个报文也可以设置参考时间选中报文右击设置/取消设置时间参考下面报文Time显示的就是针对上面报文的间隔时间。 6、名称解析
默认显示Source和Destination都是IP地址的方式可以设置成名称的显示方式
可以看到MAC地址默认是做了名称解析的一个MAC地址前24位由厂商来代替后面24位是厂商的序列号。 勾选网络地址和端口的名称显示后抓包数据信息就会显示域名和端口443就直接解析成了https 4、过滤器
1两种过滤器
捕获过滤器在抓包之前先进行过滤只抓取某种类型的数据包 显示过滤器抓包前抓包后都可以进行过滤但是不会影响抓取的包 2过滤器语法 A 捕获过滤器语法
类型host net port方向src dst协议ether ip tcp udp http ftp……逻辑运算与、 || 或 、非举个栗子 抓取源地址是本机且目的端口是80的数据流量 src host 192.168.2.16 dst port 80 抓取IP地址为192.168.2.16 或者192.168.2.1 host 192.168.2.16 || 192.168.2.1 不抓广播报文 ! broadcast 抓取源IP为192.168.2.16或者192.168.2.0/24目的TCP端口号在200到10000之间并且目的位于47.0.0.0/8的数据流量。 (src host 192.168.2.16 || src net 192.168.18.0/24) (dst portrange 200-10000 dst net 47.0.0.0/8) B 显示过滤器语法
比较操作符 (eq) !(neq) 大于(gt) 小于(lt) 大于等于(ge) 小于等于(le)IP地址过滤ip.addr ip.host ip.dst端口过滤tcp.port udp.port tcp.dstport tcp.flag.syn tcp.flag.ack协议过滤arp ip icmp udp tcp http举个栗子 显示源IP为192.168.2.16并且tcp端口为443 ip.src 192.168.2.16 and tcp.port443 显示源不为192.168.2.16或者目的不为47.75.212.155的 ip.src!192.168.2.16 or ip.dst!47.75.212.155 三、案例
1、实验要求
开启winshark抓包抓取所有的报文
过滤DNS的报文找到对应的域名解析报文
根据DNS返回的IP地址找到主机与服务器的TCP交互过程
找到客户机请求服务器的HTTP报文 追踪HTTP流情况
2、实验过程
1关掉已打开的网页
2刷新DNS缓存 3精确查找
过滤DNSCtrlN输入域名精确查找 4定位请求/响应报文 5找目标IP地址
响应报文Answer中会显示目标IP地址为47.75.212.155 6追踪流分析
如果访问的是https的网站报文中protocol字段就是TLS追踪流追踪到的就是加密的内容看不到网页响应源码。
