Wireshark抓包以及常用協(xié)議分析

wireshark簡介和抓包原理以及過程

實戰(zhàn)wireshark抓包以及快速定位數(shù)據(jù)包的技巧

實戰(zhàn)wireshark對常用協(xié)議抓包并分析原理

實戰(zhàn)wireshark抓包解決服務器被黑上不了網(wǎng)

wireshark簡介和抓包原理以及過程

wireshark是一個網(wǎng)絡封包分析軟件.wireshark使用WinPCAP作為接口,直接與網(wǎng)卡進行數(shù)據(jù)報文交換.

快速分析數(shù)據(jù)包技巧

1. 確定wireshark的物理位置. 防止很多的無效數(shù)據(jù)包
2. 選擇捕獲接口. 一般都是Internet網(wǎng)絡接口.
3. 設置過濾器. 一方面是只捕獲特定數(shù)據(jù), 排除干擾; 另一方面是節(jié)省時間.
4. 顯示過濾器. 使用過濾器過濾的數(shù)據(jù)依舊很復雜,顯示過濾后的結果可以更清晰.
5. 巧用著色規(guī)則.
6. 構建圖標
7. 數(shù)據(jù)重組. 較大的文件和圖片可以通過這個重組成一個文件和圖片

實戰(zhàn)wireshark抓包以及快速定位數(shù)據(jù)包的技巧

首先要了解下常用協(xié)議的內(nèi)容.

mac下ipconfig生成很多縮寫, 通過networksetup -listallhardwareports 可以顯示每個縮寫的意思.

eth0 Link encap:Ethernet?
HWaddr 00:0C:29:F3:3B:F2?
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0?
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1?
RX packets:78 errors:0 dropped:0 overruns:0 frame:0?
TX packets:104 errors:0 dropped:0 overruns:0 carrier:0?
collisions:0 txqueuelen:100?
RX bytes:11679 (11.4 Kb)?
TX bytes:14077 (13.7 Kb)?
Interrupt:10 Base address:0x1080 

1行：連接類型：Ethernet（以太網(wǎng)）HWaddr（硬件mac地址）

第二行：網(wǎng)卡的IP地址、子網(wǎng)、掩碼

第三行：UP（代表網(wǎng)卡開啟狀態(tài)）RUNNING（代表網(wǎng)卡的網(wǎng)線被接上）MULTICAST（支持組播）MTU:1500（***傳輸單元）：1500字節(jié)

第四、五行：接收、發(fā)送數(shù)據(jù)包情況統(tǒng)計

第七行：接收、發(fā)送數(shù)據(jù)字節(jié)數(shù)統(tǒng)計信息。

混雜模式和普通模式

• 混雜模式就是接受所有經(jīng)過本機的包.
• 普通模式只接受發(fā)給本機的包(包括廣播包)傳遞給上層程序, 其他的包一律丟棄

打開和關閉方法

菜單欄->捕獲->捕獲選項里

我介使用過濾器輸入“udp〞以篩選出 udp 報文。但是為什么輸入udp之后出現(xiàn)那多種協(xié)議呢？

原因就是 oicq 以及 dns都是基于 udp 的傳輸層之上的協(xié)議

nmap是一個網(wǎng)絡連接端掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡連接端。

ARP

ICMP

工作過程：本機發(fā)送一個 ICMP Echo Request 的包接受方返回一個 ICMP Echo Repiy，包含了接受到數(shù)據(jù)拷貝和一些其他指令~

數(shù)據(jù)拷貝意思是, 發(fā)過去是什么樣子的傳回來也是什么樣的~

個人理解是因為ICMP是因為IP無法正常傳輸時候作為一個情報員~ 所以方便重傳的

TCP

流量圖

四次揮手

爺不給你發(fā)信息了! 行我知道了~ 我也不給你發(fā)了~ 行~

• fin標記位占1位

HTTP

• TCP三次握手后, 建立HTTP請求
• 接受正常 ok 200
• 三次揮手HTTP結束
•