做網(wǎng)站的步驟流程seo外包杭州
目錄
一、開(kāi)啟WireShark的大門(mén)
1.1 WireShark簡(jiǎn)介
1.2 常用的Wireshark過(guò)濾方式
二、如何抓包搜索關(guān)鍵字
2.1 協(xié)議過(guò)濾
2.2 IP過(guò)濾
?編輯
2.3 過(guò)濾端口
2.4 過(guò)濾MAC地址
2.5 過(guò)濾包長(zhǎng)度
2.6 HTTP模式過(guò)濾
三、ARP協(xié)議分析
四、WireShark之ICMP協(xié)議
五、TCP三次握手與四次揮手
5.1 TCP三次握手
5.2 可視化看TCP三次握手
5.3 TCP四次揮手
5.4 可視化看TCP四次揮手
5.5 異常情況
一、開(kāi)啟WireShark的大門(mén)
相關(guān)文章:
【Linux】網(wǎng)絡(luò)診斷 ping命令詳解_linux ping-CSDN博客
【Linux】網(wǎng)絡(luò)診斷 traceroute命令詳解-CSDN博客
【Linux】nc 網(wǎng)絡(luò)診斷 | 文件傳輸 命令詳解-CSDN博客
【網(wǎng)絡(luò)】抓包工具Wireshark下載安裝和基本使用教程-CSDN博客
【網(wǎng)絡(luò)】路由器和交換機(jī)的區(qū)別-CSDN博客
【網(wǎng)絡(luò)】計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)概念入門(mén)-CSDN博客
【網(wǎng)絡(luò)】網(wǎng)絡(luò)層IP地址和IP數(shù)據(jù)報(bào)的格式-CSDN博客
【網(wǎng)絡(luò)】網(wǎng)絡(luò)層協(xié)議ARP和IP協(xié)議轉(zhuǎn)發(fā)流程-CSDN博客
【網(wǎng)絡(luò)】網(wǎng)絡(luò)層ICMP協(xié)議-CSDN博客
【網(wǎng)絡(luò)】傳輸層TCP協(xié)議-CSDN博客
1.1 WireShark簡(jiǎn)介
wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件,功能十分強(qiáng)大。可以截取各種網(wǎng)絡(luò)封包,顯示網(wǎng)絡(luò)封包的詳細(xì)信息。常用來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題、攻擊溯源、或者分析底層通信機(jī)制。
cmd輸入ipconfig,下圖中是我的IP:192.168.21.218
下圖左側(cè)對(duì)應(yīng)你的電腦網(wǎng)卡,可以注意旁邊的折線(xiàn)圖,有波動(dòng)的就是在使用的網(wǎng)卡。
停止運(yùn)行,再點(diǎn)擊捕獲,選項(xiàng),可以看到是否選擇混雜模式
如下選擇使用混雜模式
混雜模式︰混雜模式就是接收所有經(jīng)過(guò)網(wǎng)卡的數(shù)據(jù)包,包括不是發(fā)給本機(jī)的包,即不驗(yàn)證MAC地址。
普通模式:普通模式下網(wǎng)卡只接收發(fā)給本機(jī)的包(包括廣播包)傳遞給上層程序,其它的包一律丟棄。
一般來(lái)說(shuō),混雜模式不會(huì)影響網(wǎng)卡的正常工作,多在網(wǎng)絡(luò)監(jiān)聽(tīng)工具上使用。
1.2 常用的Wireshark過(guò)濾方式
- IP地址過(guò)濾:通過(guò)指定源IP地址或目的IP地址來(lái)過(guò)濾數(shù)據(jù)包,例如:ip.src==192.168.1.1 或 ip.dst==192.168.1.1。
- 網(wǎng)絡(luò)協(xié)議過(guò)濾:通過(guò)指定網(wǎng)絡(luò)協(xié)議來(lái)過(guò)濾數(shù)據(jù)包,例如:tcp、udp、Http等。
- 端口過(guò)濾:通過(guò)指定源端口或目的端口來(lái)過(guò)濾數(shù)據(jù)包,例如:tcp.srcport==80 或 tcp.dstport==443。
- 數(shù)據(jù)包長(zhǎng)度過(guò)濾:通過(guò)指定數(shù)據(jù)包的長(zhǎng)度來(lái)過(guò)濾數(shù)據(jù)包,例如:frame.len>100。
- 數(shù)據(jù)包內(nèi)容過(guò)濾:通過(guò)指定數(shù)據(jù)包中的特定內(nèi)容來(lái)過(guò)濾數(shù)據(jù)包,例如:http contains "passWord"。
- 協(xié)議字段過(guò)濾:通過(guò)指定協(xié)議字段的值來(lái)過(guò)濾數(shù)據(jù)包,例如:http.response.code==200。
- 時(shí)間窗口過(guò)濾:通過(guò)指定時(shí)間范圍來(lái)過(guò)濾數(shù)據(jù)包,例如:frame.time>= "2022-01-01 00:00:00" and frame.time<= "2022-01-01 23:59:59"。
- 組合過(guò)濾:可以通過(guò)使用邏輯運(yùn)算符(and、or、not)來(lái)組合多個(gè)過(guò)濾條件,例如:ip.src==192.168.1.1 and tcp.dstport==80。
二、如何抓包搜索關(guān)鍵字
2.1 協(xié)議過(guò)濾
點(diǎn)擊藍(lán)色鯊魚(yú)狀的是開(kāi)始捕獲,紅色方塊是停止。
比如說(shuō)查T(mén)CP、UDP建立連接的時(shí)候是什么樣的
tcp協(xié)議過(guò)濾
或者抓http的包,訪(fǎng)問(wèn) 192.168.2.153:8080
抓包結(jié)果如下,153 頁(yè)面刷新響應(yīng)218 HTTP 200 OK
2.2 IP過(guò)濾
或者搜一下我的網(wǎng)關(guān)試試
IP源地址:ip.src == 192.168.21.218
IP目的地址:ip.dst == 192.168.21.218
IP地址(包括源和目的): ip.addr == 192.168.21.218
邏輯運(yùn)算符為 AND/ OR
有著強(qiáng)大的聯(lián)想提示功能,我們輸入"ip."后會(huì)有提示
示例如下:過(guò)濾本地 192.168.21.218 到 192.168.2.153 且協(xié)議為 http 的數(shù)據(jù)包:
ip.src_host == 192.168.21.218 and ip.dst_host == 192.168.2.153 and http
2.3 過(guò)濾端口
語(yǔ)法格式:
TCP端口:tcp.port == 80TCP目的端口:tcp.dstport == 80TCP源端口:tcp.srcport == 80UDP端口:udp.port eq 15000TCP 1-80之間的端口:tcp.port >= 1 and tcp.port <= 80tcp.port == 8080 || udp.port == 80
如下過(guò)濾8080 端口,可以看到從本機(jī)192.168.21.218 到 192.168.2.153且為HTTP協(xié)議
2.4 過(guò)濾MAC地址
語(yǔ)法格式
源MAC地址:eth.src == 8c-ec-4b-bc-94-ad目的MAC地址:eth.dst == 8c-ec-4b-7c-3b-f8MAC地址(包括源和目的):eth.addr == e0-78-a3-02-83-38
windows執(zhí)行 arp -a可以看到本機(jī)所有網(wǎng)絡(luò)接口接收到的IP及對(duì)應(yīng)的物理地址
示例如下:
eth.addr==e0-78-a3-02-83-38
2.5 過(guò)濾包長(zhǎng)度
語(yǔ)法格式
整個(gè)UDP數(shù)據(jù)包:udp.length == 20TCP數(shù)據(jù)包中的IP數(shù)據(jù)包:tcp.len >= 20整個(gè)IP數(shù)據(jù)包:ip.len == 20整個(gè)數(shù)據(jù)包:frame.len == 20
2.6 HTTP模式過(guò)濾
請(qǐng)求方法為GET :http.request.method=="GET"請(qǐng)求方法為POST:http.request.method=="POST"指定URI:http.request.uri.path contains "x"泛 指:http contains "x"
如下獲取GET請(qǐng)求
http.request.method == "GET"
三、ARP協(xié)議分析
ARP(Address Resolution Protocol)即地址解析協(xié)議,由于是IP協(xié)議使用了ARP協(xié)議,因此通常就把ARP協(xié)議劃歸網(wǎng)絡(luò)層。ARP協(xié)議的用途是為了從網(wǎng)絡(luò)層使用的IP地址解析出在數(shù)據(jù)鏈路層使用的硬件地址。ARP的基本功能就是負(fù)責(zé)將一個(gè)已知的IP地址解析成MAC地址,以便主機(jī)間能正常進(jìn)行通信。
ping 192.168.21.254(這是我的網(wǎng)關(guān))
如下是我本地的IP和物理地址
示例如下:
192.168.21.218(本機(jī))發(fā)出一個(gè)廣播來(lái)詢(xún)問(wèn)MAC地址:Who Has 192.168.21.254? Tell 192.168.21.218
182.168.21.254 做出應(yīng)答:182.168.21.1254的MAC地址是 74: ea: c8: b1:51: 3f
ARP請(qǐng)求包(request)192.168.21.218——> 192.168.21.254
ARP響應(yīng)包(reply)192.168.21.254——> 192.168.21.218
四、WireShark之ICMP協(xié)議
網(wǎng)絡(luò)層使用了網(wǎng)際控制報(bào)文協(xié)議ICMP,Internet控制報(bào)文協(xié)議(Intemet Control Message Protocol, ICMP)是IP協(xié)議的一種補(bǔ)充,它與IP協(xié)議結(jié)合使用,以便提供與IP協(xié)議層配置和IP數(shù)據(jù)包處理相關(guān)的診斷和控制信息(IP協(xié)議本身并沒(méi)有為終端系統(tǒng)提供直接的方法來(lái)發(fā)現(xiàn)那些發(fā)往目的地址失敗的IP數(shù)據(jù)包,也沒(méi)有提供直接的方式來(lái)獲取診斷信息。)
ICMP通常被認(rèn)為是IP層的一部分,它是在IP數(shù)據(jù)報(bào)內(nèi)被封裝傳輸?shù)摹?/p>
icmp數(shù)據(jù)包解讀
(1) Frame: 物理層
(2) Ethernet II: 數(shù)據(jù)鏈路層
(3) Internet Protocol Version 4: 網(wǎng)絡(luò)層
(4) Internet Control Message Protocol: icmp信息ping www.baidu.com
具體詳情文章:【網(wǎng)絡(luò)】網(wǎng)絡(luò)層ICMP協(xié)議-CSDN博客
五、TCP三次握手與四次揮手
5.1 TCP三次握手
【網(wǎng)絡(luò)】傳輸層TCP協(xié)議 | 三次握手 | 四次揮手-CSDN博客
下面是常見(jiàn)的TCP層的常用FLAGS。
標(biāo)志位 | 描述 |
SYN | 建立連接 |
ACK | 確認(rèn) |
PSH | 有 DATA數(shù)據(jù)傳輸 |
FIN | 關(guān)閉連接 |
RST | 連接重置 |
標(biāo)志位:
SYN(synchronize)指請(qǐng)求同步
ACK指確認(rèn)同步
TCP 建立連接的過(guò)程叫做握手,握手需要在客戶(hù)和服務(wù)器之間交換三個(gè)TCP報(bào)文段。下圖為客戶(hù)端主動(dòng)發(fā)起的圖解:
獲取百度的IP地址
tcp && ip.addr == 110.242.68.3
www.baidu.com的IP地址(目的IP)
輸入后,回車(chē)。剛開(kāi)始頁(yè)面是空的流量信息,接下來(lái)打開(kāi)百度首頁(yè)(瀏覽器網(wǎng)址www.baidu.com),關(guān)注這里的流量信息,可以發(fā)現(xiàn)三次握手的流量包信息已經(jīng)顯示在下方了
第一次握手
客戶(hù)端發(fā)送一個(gè)TCP,標(biāo)志位為SYN=1, 代表客戶(hù)端請(qǐng)求建立連接。等待服務(wù)器收到數(shù)據(jù)包后,客戶(hù)端變?yōu)楸O(jiān)聽(tīng)狀態(tài)。
第二次握手
服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK。
SYN=1表示已經(jīng)同步數(shù)據(jù)包
ACK=1表示確認(rèn)收到
seq設(shè)為0,即服務(wù)器發(fā)出的第0個(gè)數(shù)據(jù)包
將確認(rèn)序號(hào)設(shè)置為客戶(hù)的seq加1,即ack=0+1=1
第三次握手
客戶(hù)端再次發(fā)送確認(rèn)包,SYN標(biāo)志位為0,ACK標(biāo)志位為1。
seq=0+1=1,客戶(hù)端發(fā)送的第二個(gè)包,編號(hào)為1
ack=0+1=1,回復(fù)給服務(wù)器,表示服務(wù)器發(fā)出的0數(shù)據(jù)包已經(jīng)收到。
5.2 可視化看TCP三次握手
統(tǒng)計(jì)——>流量圖
三次握手的整個(gè)過(guò)程簡(jiǎn)單總結(jié):
5.3 TCP四次揮手
本機(jī)地址:192.168.21.218,www.baidu.com的IP地址(IP 110.242.68.3)
第一次揮手:baidu.com發(fā)送帶有[FIN,ACK]標(biāo)志的數(shù)據(jù)包發(fā)送至本機(jī),Seq=849,ACK=2786,發(fā)送后baidu.com進(jìn)入FIN-WAIT-1(終止等待)狀態(tài)。
此時(shí)Fin和Ack都為1,是一個(gè)客戶(hù)端發(fā)送連接請(qǐng)求。
第二次揮手:本機(jī)收到baidu.com的FIN數(shù)據(jù)包,向baidu.com響應(yīng)ACK數(shù)據(jù)包,Seq=2786(與baidu.com的FIN數(shù)據(jù)包 ACK值相同),ACK=850(等于baidu.com FIN數(shù)據(jù)包的 Seq +1 )。后本機(jī)進(jìn)入了CLOSE-WAIT(關(guān)閉等待)狀態(tài)。
第三次揮手:數(shù)據(jù)發(fā)送完后,本機(jī)向baidu.com發(fā)送[FIN,ACK]報(bào)文,Seq=2786(與上一條報(bào)文的Seq值相同),ACK=850(與上一條報(bào)文的ACK值相同)。
第四次揮手:baidu.com向本機(jī)發(fā)送標(biāo)志為[RST,ACK]的報(bào)文,Seq=850(與本機(jī)發(fā)送baidu.com的FIN報(bào)文ACK值相同),ACK=2787(與本機(jī)發(fā)送到baidu.com的FIN報(bào)文的Seq值相同)。
RST:該標(biāo)志表示連接復(fù)位請(qǐng)求,用來(lái)復(fù)位那些產(chǎn)生的錯(cuò)誤連接,也用來(lái)拒絕錯(cuò)誤和非法的數(shù)據(jù)包
5.4 可視化看TCP四次揮手
統(tǒng)計(jì)——>流量圖
5.5 異常情況
異常情況:RST終止
在研究這三四次揮手的時(shí)候,發(fā)現(xiàn)了異常終止情況
我們一般都是正常的等待終止連接,但這時(shí)出現(xiàn)了服務(wù)器提出終止連接請(qǐng)求,看來(lái)是 TCP連接異常中斷,因?yàn)門(mén)CP是全雙工通信,兩者通信地位相等,雙方都有權(quán)利主動(dòng)終止請(qǐng)求。
在服務(wù)器主動(dòng)發(fā)送終止指令后,客戶(hù)端被動(dòng)響應(yīng)終止。然后客戶(hù)端主動(dòng)提出keep-alive不斷開(kāi)連接,服務(wù)器響應(yīng)再一次客戶(hù)端提出keep-alive的時(shí)候,服務(wù)器RST終止了異常的連接。
————————————————
參考原文鏈接:wireshark分析tcp協(xié)議(二)四次揮手(異常情況)【理論 + 實(shí)操】_wireshark監(jiān)測(cè)異常行為介紹-CSDN博客
【網(wǎng)絡(luò)安全】Wireshark過(guò)濾數(shù)據(jù)包&分析TCP三次握手_wireshark過(guò)濾tcp-CSDN博客