精华内容
下载资源
问答
  • 使用wireshark分析tcp报文

    万次阅读 2019-05-12 19:21:12
    在分析tcp网络协议报文时,借助当前强力的工具wireshark可以起到很好的辅助作用。 首先抓取了一个简单的http请求报文, 选取其中的一次完整请求,追踪tcp流: 可以在报文中看到tcp的3次握手,以及http 的request ...

    前言

    TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议报文时,借助当前强力的工具wireshark可以起到很好的辅助作用。


    首先抓取了一个简单的http请求报文,

    选取其中的一次完整请求,追踪tcp流:

    可以在报文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。
    另外整个封包列表的面板中也有显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 可以看到不同的协议用了不同的颜色显示,当然也可以在View ->Coloring Rules中修改显示颜色的规则。

    TCP 基本概念


    上图圈起来的就是封包详细信息(Packet Details Pane):
    这是最重要的信息,用来查看协议中的每一个字段。而OSI七层模型分别为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
    在封包信息中,每行对应的含义及在OSI模型中的对应关系如下:
      Frame: 物理层的数据帧概况 ->对应OSI七层模型中的【物理层】
      Ethernet II: 数据链路层以太网帧头部信息 ->对应OSI七层模型中的【数据链路层】
      Internet Protocol Version 4: 互联网层IP包头部信息 ->对应OSI七层模型中的【网络层】
      Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP ->对应OSI七层模型中的【传输层】
    Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议 ->对应OSI七层模型中的【应用层】

    这根据报文的抓取的设备以及报文被封装的程度,会有不同的显示,比如截图里面的报文是在虚拟机上抓取的,就不会有物理设备的报文信息,在有些网络拓扑环境下,还会有封装成vlan或vxlan的报文,就可以在wireshark那里成功看到。
    不同的模型层和不同协议报文,对应的报文头部长度是不一致的,所以在计算报文的lengeth时,要考虑这些地方。

    tcp 3次握手和4次断开的报文梳理

    首先示例图来说明下tcp的连接/数据传输/断开的过程:

    百度百科解释TCP三次握手过程如下:

    第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN SENT状态,等待服务器确认;SYN:即是同步序列编号(Synchronize Sequence Numbers);

    第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN RECV状态;

    第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手。

    结合报文情况对比查看;
    client ----> SYN seq=480449269 ------> server
    Server -----> SYN seq=1569499109,ACK=480449270 ----> client
    Clinet (seq = 480449270) -----> ACK=1569499110 ------> server

    如下截图:

    这里的seq num 显示的是绝对值,所以在单纯分析本次请求流时,绝对值的seq num可能不易与阅读,可以调整wireshark配置,查看相对seq num。

    数据报文中,第1,2,3条数据包是进行tcp 3次握手,
    而,第4 到 9 是进行的数据传输,这里是完成了一次http 请求;
    第10,11,12,13 四条报文是进行了tcp的4次断开。

    在这里插入图片描述

    在数据传输中的报文,需要注意报文大小,length和 tcp传输窗口大小,大包/小包,切片/聚合等等,场景各种都有需要灵活分析,经验推理。

    tcp协议4次断开:

    关于断开请求的报文数据这一块,一般会主要关心是那端主要发起的FIN报文标记进行断开,非正常情况更会有RST报文标记。

    总之网络数据报文内容奇多无比,涉及到的知识和工具使用技巧都很多,在运维过程中,还是对运维过程有很大的帮助的。

    展开全文
  • wireshark抓取TCP

    2021-05-08 14:18:33
    Wireshark抓包是抓取网卡的数据包,如TCP等 一、安装 Wireshark官网下载地址:https://www.wireshark.org 下载完成后直接安装 二、配置 1、只有当手机或其他客户端处于同一网络下,才能抓到包(电脑开启热点,手机...

    Wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,且Wireshark不能像Fiddler拦截请求,修改返回结果。
    但Wireshark抓包是抓取网卡的数据包,如TCP等

    一、安装
    Wireshark官网下载地址:https://www.wireshark.org
    下载完成后直接安装

    二、使用
    只有当手机或其他客户端处于同一网络下,才能抓到包(电脑开启热点,手机连接此热点),这一点和Fiddler有所不同,Fiddler只要在同一局域网下即可。

    打开Wireshark后,可以看到本机的网卡驱动,要想捕获数据包,选择你要捕获的网卡,双击开始捕获数据。从图中可以看到流量的使用情况
    在这里插入图片描述
    数据着色规则
    https://www.cnblogs.com/still-smile/p/13589644.html

    上方可以输入过滤信息tcp.port == 80、ip.dst==14.215.177.38等等
    在这里插入图片描述

    可在列表表头处右击,编辑列,选择需要展示的信息。
    在这里插入图片描述
    选择抓到某一条TCP数据包,右击选择追踪流-TCP流,展示红色是源到目的地;蓝色反之;

    展开全文
  • Wireshark抓取TCP报文类型为RST的方法

    千次阅读 2015-03-06 09:53:00
    Wireshark中有时候需要抓取详细的TCP链接类型,最近需要抓取一个RST报文类型,后来经过研究发现,如果需要在抓取中过滤,则设置类型为tcp[13]&4==4 || tcp[13]&4==14 #tcp的flag在偏移13字节的地方,占据1字节...

    在Wireshark中有时候需要抓取详细的TCP链接类型,最近需要抓取一个RST报文类型,后来经过研究发现,如果需要在抓取中过滤,则设置类型为

    tcp[13]&4==4 || tcp[13]&4==14 #tcp的flag在偏移13字节的地方,占据1字节

    Display filter来自于Wireshark,用于对捕获包的显示过滤。Wireshark利用此filter还是实现了coloring rules,statistics等功能。

    展开全文
  • 这是计算机网络的一次作业,学习抓取TCP/IP建立连接和断开连接的过程,以下是正文: 步骤: 首先尝试抓百度,腾讯等网络连接,发现会有许多问题需要考虑,断开连接操作不好操作,且数据冗杂不利于学习。 ...

    原文地址:https://www.cnblogs.com/NickQ/p/9226579.html 

    最近,已经很久都没有更新博客了。看看时间,想想自己做了哪些事情,突然发现自己真的是太贪心,到头来却一个都没搞好。手头的嵌入式都还没学出名堂,竟然还想着学FPGA,物联网,机器学习。然而,遇到新奇的事物,就会控制不住的去想,去找资料,实际上只是逃避遇到的问题,不想去解决而已。。最后的结果就是手头的活堆起来了,然后花大把整块的时间解决。真的是讨厌现在的自己。

    以后还是慢慢记录吧,不管做了什么,都慢慢尝试积累。。其他的东西,像FPGA,机器学习什么的,让他随风去吧,用到啥学啥。其他的当看客,了解了解就好。

    这是计算机网络的一次作业,学习抓取TCP/IP建立连接和断开连接的过程,以下是正文:

    步骤:

    首先尝试抓百度,腾讯等网络连接,发现会有许多问题需要考虑,断开连接操作不好操作,且数据冗杂不利于学习。

    所以借助手机和电脑完成此次过程,操作如下:

    1、在手机端,安装TCP测试工具,开启TCP监听,端口8088;

    2、打开wireshark监听WIFI网卡。

    3、打开电脑端TCP测试客户端,连接TCP服务器。

    此处,我的手机IP为192.168.255.5,端口8088;电脑的IP地址为192.168.255.6。

    4、通过电脑客户端,发送两次信息到手机。

    5、通过手机客户端,发送两次信息到电脑。

    6、断开连接。

    7、通过ip.addr eq 192.168.255.5 and ip.addr eq 192.168.255.6 and tcp过滤掉其他报文。

    至于wireshark过滤的语法,可以参考其他的一些博文:https://blog.csdn.net/wojiaopanpan/article/details/69944970

    协议及过程分析:

    TCP三次握手:如下图中蓝色方框所示。

    TCP握手协议在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。

    第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;如下图中报文No.7

    第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;如下图中报文No.8

    第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。完成三次握手,客户端与服务器开始传送数据。如下图中报文No.9

    TCP四次挥手:如上图中红色方框所示。

    注:此处,由于先断开的服务器,所以手机服务器是客户端A。

    第一次挥手:客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送。

    如图中报文No.255

    第二次挥手:服务器B收到这个FIN,它发回一个ACK,确认序号为收到的序号加1。和SYN一样,一个FIN将占用一个序号。如图中报文No.256

    第三次挥手:服务器B关闭与客户端A的连接,发送一个FIN给客户端A。如图中报文No.257

    第四次挥手:客户端A发回ACK报文确认,并将确认序号设置为收到序号加1。如图中报文No.258

    其他:

    下图是其中一帧数据解析,可以看到数据是由192.168.255.6:62643(电脑客户端)发送给192.168.255.5:8088(手机服务端)。

    消息内容为:201521111083

    展开全文
  • wireshark 抓取tcp 数据报文

    万次阅读 2017-07-29 11:34:32
    图1:wireshark 抓取tcp 数据报文 0000 34 17 eb a9 73 88 58 69 6c 27 77 16 08 00 45 00 0010 00 34 00 00 40 00 3d 06 56 72 c0 a8 3d df c0 a8 0020 28 22 1f 98 ca 50 a3 e6 0a c4 74 47 e4 f7 80...
  • WireShark抓取TCP四次挥手报文实战

    万次阅读 2020-07-03 10:48:42
    TCP四次挥手 四次挥手的流程 挥手的过程可以由任何一方发起,这里以服务器端发起为例说明: 第一次挥手:服务器端发出FIN,用来断开服务器端到客户端的数据传送,进入FIN-WAIT-1状态 第二次挥手:客户端收到服务器...
  • 使用Wireshark抓取HTTP报文

    千次阅读 2019-02-25 19:35:12
    最近在学习计算机网络知识,学习过程中使用抓包工具Wireshark抓取网络数据包,来辅助理解网络协议。 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包...
  • 这是计算机网络的一次作业,学习抓取TCP/IP建立连接和断开连接的过程,以下是正文: 步骤: 首先尝试抓百度,腾讯等网络连接,发现会有许多问题需要考虑,断开连接操作不好操作,且数据冗杂不利于学习。 ...
  • 使用wireshark抓取网络报文并分析 参考 https://blog.csdn.net/budding0828/article/details/86560467?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task ...
  • 使用wireshark抓取TCP包分析

    万次阅读 2018-03-01 16:27:37
    准备工作在我自己机子上安装的是wireshark2.2.6版本,随机查找了某个TCP连接,并跟踪流。 传输创建连接No58: 10.60.45.187:17932(后面简称客户端)向131.25.61.68:443(后面简称服务端)发送了SYN请求连接,此时客户端...
  • 一:打开 wireshark 监听本地网卡,由于我连接的是 wifi ,监听无线网络连接。... 设置 ip.addr==14.215.177.38,然后打开百度的首页,回到 wireshark 再次刷新下,就抓取得到数据包。 三:由上图可以看出...
  • 做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到...对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tcp.po...
  • wireshark抓包分析TCP数据包

    千次阅读 2020-06-24 18:23:18
    1、直接从TCP的三次握手开始说起 三次握手就是客户与服务器建立连接的过程 客户向服务器发送SYN(SEQ=x)报文,然后就会进入SYN_SEND状态 服务器收到SYN报文之后,回应一个SYN(SEQ=y)ACK(ACK=x+1)报文,然后...
  • Wireshark抓取TCP三次握手包

    万次阅读 2020-07-03 09:31:41
    TCP三次握手 TCP协议是一个我们每天都在使用的网络通讯协议,因为绝大部分的网络连接都是建立在TCP协议上的,比如你此刻正在看的这篇文章是建立在HTTP应用层协议的基础上的,而HTTP协议的底层则是建立在TCP的传输层...
  • Wireshark抓取本地Tcp包(任何数据包)

    万次阅读 多人点赞 2016-11-14 11:03:55
    没有任何一个程序员在做项目的时候不会遇到网络编程的问题,要解决这些问题除了对各种网络协议深入了解之外,还需要掌握各种网络分析工具的用法,不用多说wireshark绝对是这方面的翘楚,可惜的是,wireshark不能对...
  • 选中关心的tcp报文中的一个,点击 Analyze-->Follow Tcp Stream 即可。 这个是等同于 tcp.stream eq 42 这样来过滤 参考自 :http://ptlogin2.qq.com/jump?clientuin=2368845947&clientkey=3CB90359BC...
  • 使用wireshark进行网络报文抓取与分析 Wireshark介绍 Wireshark(前称Ethereal)是一个免费的网络报文分析软件。网络报文分析软件的功能是抓取网络报文,并逐层显示报文中各字段取值。网络报文分析软件有个形象的...
  • wireshark抓取ICMP报文

    万次阅读 多人点赞 2018-06-06 14:56:39
    它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。ICMP报文作为IP层数据报的数据,加上数据报的首部,组成数据报发送出去。 ICMP报文的种类有两种,即ICMP差错报告报文和ICMP询问报文...
  • 最近在学习计算机网络知识,学习过程中使用抓包工具Wireshark抓取网络数据包,来辅助理解网络协议。 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包...
  • WireSharkTCP解析

    2020-09-29 19:43:00
    利用WireShark抓包,追踪流,抓取到一个会话的数据包。前三个TCP数据包对应了TCP建立连接的三次握手 上图为TCP报文段格式 SYN字段 SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用...
  •  使用wireshark监听daytime客户端连接服务器的数据报,过滤规则:tcp.port eq 13握手过程:数据包编号No.16-No.20。 握手一:数据包No.16,本地IP10.1.1.64端口52528向远程IP132.163.86.4端口13发起连接请求...
  • 以“金庸梦“游戏的客户端连接服务器(10.1.230.41)、断开服务器为例,用wireshark抓包分析TCP协议的三次握手连接、四次握手断开,与计算机网络原理进行验证。 游戏客户端详见C#实现网游客户端与服务器的连接 二、...
  • wireshark实验1:简单的抓取报文

    千次阅读 2020-03-13 19:34:39
    这是作者第一个博客,多多包涵O(∩_∩)O,由于学习计网的需要,我们开始接触网络抓包分析工具,笔者使用的是计算机网络:自顶向下这本书,自然就用作者推荐的工具wireshark了。 wireshark简介 Wireshark(前称...
  • 在使用ModBus Slave模拟从站的时候,发现Wireshark怎么都抓取不到包,原因是从站主站都在一台pc上,包不经过网卡,所有抓取不到。 用管理员打开cmd,输入route add本机ip mask 255.255.255.255网关ip ...
  • wireshark 解密加密报文

    千次阅读 2020-07-02 21:49:04
    wireshark 解密IPSec加密后的报文 序言 wireshark作为一款非常优秀的抓包工具,支持了各种各样的网络协议,成为了网络开发中必不可少的工具之一。...正常抓取报文wireshark无法解密。如果需要调试功能,但

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,991
精华内容 1,596
关键字:

wireshark抓取tcp报文