精华内容
下载资源
问答
  • 2019-09-22 18:56:49

    1、首先我们打开 Wireshark,可以看到有很多的网络,选择自己正在使用的网络,比如我现在就是使用 WLAN,双击点开就可以了。
    在这里插入图片描述

    2、然后开始抓包分析,在浏览器中输入网址
    在这里插入图片描述

    3、可以看到 Wireshark 已经抓到很多数据包,然后过滤,筛选出 HTTP 数据包。
    在这里插入图片描述

    4、接下来才是对 HTTP 数据包的分析。
    双击点开HTTP请求、HTTP响应(最前面——箭头向右的是请求,箭头向左的是响应)

    (1)Frame
    物理层的数据帧概况。
    (2)Ethernet II
    数据链路层以太网帧头部信息,一般包含源(本机)、目的地(服务器)物理地址(MAC)。
    (3)Internet Protocol Version 4
    互联网层IP包头部信息,一般包含源(本机)、目的地(服务器)IP地址。
    (4)Transmission Control Protocol
    传输层的数据段头部信息,此处是TCP协议,一般包含源(本机)、目的地(服务器)端口和连接状态。
    (5)Hypertext Transfer Protocol
    应用层的信息,此处是HTTP协议。
    

    我着重要解读的是HTTP协议包解读。
    下面就是一个请求数据包
    在这里插入图片描述

    > Frame 432: 536 bytes on wire (4288 bits), 536 bytes captured (4288 bits) on interface 0
    > Ethernet II, Src: Cybertan_83:22:81 (60:14:b3:83:22:81), Dst: XiaomiEl_1b:75:f7 (40:31:3c:1b:75:f7)
    > Internet Protocol Version 4, Src: 192.168.31.208, Dst: 128.119.245.12
    > Transmission Control Protocol, Src Port: 56556, Dst Port: 80, Seq: 1, Ack: 1, Len: 482
    v Hypertext Transfer Protocol
    	v GET /ethereal-labs/HTTP-ethereal-file1.html HTTP/1.1\r\n										#请求信息
    		v [Expert Info (Chat/Sequence): GET /ethereal-labs/HTTP-ethereal-file1.html HTTP/1.1\r\n]	#专家信息
    			[GET /ethereal-labs/HTTP-ethereal-file1.html HTTP/1.1\r\n]
    			[Severity level: Chat]
    			[Group: Sequence]
    		Request Method: GET																			#请求方式 GET
    		Request URI: /ethereal-labs/HTTP-ethereal-file1.html										#请求地址
    		Request Version: HTTP/1.1																	#请求版本,即本机浏览器(客服端的版本)
    	Host: gaia.cs.umass.edu\r\n																		#请求主机
    	Connection: keep-alive\r\n																		#使用持久连接
    	Cache-Control: max-age=0\r\n																	#检验是否有本地缓存,max-age>0 时 直接从游览器缓存中 提取max-age<=0 时 向server 发送http 请求确认 ,该资源是否有修改 
    	Upgrade-Insecure-Requests: 1\r\n
    	User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36\r\n	#浏览器类型
    	Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3\r\n	#请求的类型
    	Accept-Encoding: gzip, deflate\r\n																#请求的编码格式
    	Accept-Language: zh-CN,zh;q=0.9\r\n																#请求的语言
    	\r\n
    	[Full request URI: http://gaia.cs.umass.edu/ethereal-labs/HTTP-ethereal-file1.html]				#完整的请求 URL 路径
    	[HTTP request 1/1]																				#HTTP请求进度 1/1
    	[Response in frame: 438]																		#响应帧,编号
    

    下面就是一个响应数据包,可以看到一些传递数据
    在这里插入图片描述

    > Frame 438: 538 bytes on wire (4304 bits), 538 bytes captured (4304 bits) on interface 0
    > Ethernet II, Src: XiaomiEl_1b:75:f7 (40:31:3c:1b:75:f7), Dst: Cybertan_83:22:81 (60:14:b3:83:22:81)
    > Internet Protocol Version 4, Src: 128.119.245.12, Dst: 192.168.31.208
    > Transmission Control Protocol, Src Port: 80, Dst Port: 56556, Seq: 1, Ack: 483, Len: 484
    v Hypertext Transfer Protocol
    	v HTTP/1.1 200 OK\r\n																			#响应信息
    		v [Expert Info (Chat/Sequence): HTTP/1.1 200 OK\r\n]										#专家信息
    			[HTTP/1.1 200 OK\r\n]
    			[Severity level: Chat]
    			[Group: Sequence]
    		Response Version: HTTP/1.1																	#响应版本,即服务器版本
    		Status Code: 200																			#状态码
    		[Status Code Description: OK]																#响应状态码描述
    		Response Phrase: OK																			#响应短语
    	Date: Sat, 21 Sep 2019 08:34:51 GMT\r\n															#响应时间
    	Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16 mod_perl/2.0.10 Perl/v5.16.3\r\n	#服务器信息
    	Last-Modified: Sat, 21 Sep 2019 05:59:02 GMT\r\n												#上一次修改时间
    	ETag: "7e-59309e22c0357"\r\n																	#上一次修改标志
    	Accept-Ranges: bytes\r\n																		#接收范围
    	v Content-Length: 126\r\n																		#内容长度
    		[Content length: 126]
    	Keep-Alive: timeout=5, max=100\r\n																#保持响应时间,以及最大值#
    	Connection: Keep-Alive\r\n																		#持久连接
    	Content-Type: text/html; charset=UTF-8\r\n														#响应的内容类型
    	\r\n
    	[HTTP response 1/1]																				#HTTP响应进度 1/1
    	[Time since request: 0.253416000 seconds]														#响应时间
    	[Request in frame: 432]																			#请求帧,编号
    	[Request URI: http://gaia.cs.umass.edu/ethereal-labs/HTTP-ethereal-file1.html]					#完整 URL 路径
    	File Data: 126 bytes																			#文件长度
    v Line-based text data: text/html (4 lines)															#响应数据内容
    	<html>\n
    	Congratulations.  You've downloaded the file \n
    	http://gaia.cs.umass.edu/ethereal-labs/HTTP-ethereal-file1.html!\n
    	</html>\n
    
    更多相关内容
  • tcp/ip选修课期末大作业,资源内有为分析相关微信功能所抓取的数据包和完整大作业报告(word版),适合Wireshark入门的小伙伴们或者赶期末大作业无从下手的uu们。铁汁们,放心食用
  • arduino的MDNS库,开发测试时的wireshark抓包分析,已过滤其他杂包
  • Wireshark抓包实例分析

    2017-10-17 19:57:07
    Wireshark抓包实例分析Wireshark抓包实例分析Wireshark抓包实例分析
  • wireshark抓包分析过程

    2019-05-06 11:31:10
    通过wireshark抓包分析http数据包 解析帐号密码通
  • 使用wireshark抓包软件分析微信协议 计算机网络大作业 超级详细- -,不服找我,写了好久
  • WireShark抓包分析

    2022-02-21 21:49:03
    WireShark抓包分析 一、首先准备好WireShark工具 去官网 https://www.wireshark.org/ 下载WireShark抓包工具。本地默认安装即可 熟悉一下WireShark的界面 Display Filter(显示过滤器), 用于设置过滤条件进行数据包...

    WireShark抓包分析

    一、首先准备好WireShark工具

    去官网 https://www.wireshark.org/ 下载WireShark抓包工具。本地默认安装即可

    熟悉一下WireShark的界面

    1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。

    image-20220221205950177

    1. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

    image-20220221210125496

    1. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为

    image-20220221210211221

    (1)Frame: 物理层的数据帧概况

    (2)Ethernet II: 数据链路层以太网帧头部信息

    (3)Internet Protocol Version 4: 互联网层IP包头部信息

    (4)Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP

    (5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

    具体的该工具的一些介绍,还可以参考这里 https://www.cnblogs.com/mq0036/p/11187138.html

    二、抓包分析

    先开启WireShark,然后选择以太网

    image-20220221204741713

    这样子等会儿自己在浏览器的网络请求就都可以通过WireShark去抓包分析。

    2.1 HTTP报文的抓包分析

    (1)GET请求报文的抓包分析

    在筛选栏输入以下文本:

    http.request.method == "GET"
    

    然后可以筛选出对应的GET方法的HTTP报文。

    image-20220221204134562

    选中一条,然后右键单击选择->追踪流->HTTP流。

    image-20220221205514897

    接下来就可以查看到此次即可显示这一次HTTP传输的所有数据包

    image-20220221205258229

    (2)POST请求报文的抓包分析

    http.request.method == "POST"
    

    image-20220221204404351

    2.2 TCP报文的抓包分析

    image-20220221213657746

    2.2 TCP的三次握手抓包分析

    image-20220221214047171

    展开全文
  • wireshark抓包实验分析

    2017-05-06 17:00:33
    抓包实验 wireshark
  • wireshark抓包中的rtp inband dtmf频谱分析.doc
  • Wireshark 抓包 协议 网络 Wireshark 抓包 协议 网络 工具 网络技术 网络协议
  • 使用wireshark抓包软件分析微信协议 计算机网络大作业 压缩包包含做实验时候配套抓取的包文件 超级详细- -,不服找我,写了好久
  • Wireshark 抓包分析工具

    2019-03-13 17:49:45
    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络封包分析软件...
  • wireshark抓包视频教程

    2019-01-31 12:11:54
    wireshark抓包视频教程
  • 本节我们看看ftp协议的数据包格式,同时使用代码...接着我从手机上使用ftp客户端连接到服务器,同时使用设置好的用户名密码登陆,在wireshark抓包结果如下: 注意到前3条是tcp连接的三次握手,第四条是双方沟通tcp
  • 进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码,也可以在一台电脑上开两个 VS2019同时编译两个端,...
  • Wireshark抓包分析基础

    千次阅读 2022-04-13 00:14:02
    Wireshark抓包分析 (仅作为个人笔记,如有雷同,请联系删除。。) 下载:https://www.wireshark.org/#download 1、设置时间格式:视图–>时间显示格式 2、设置解析:视图–>Name Resolution,可以直接将mac...

    Wireshark抓包分析

    (仅作为个人笔记,如有雷同,请联系删除。。)

    下载:https://www.wireshark.org/#download
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mvgt05Xp-1649780036559)(images/W6du7OwPpCU6tW7wMgXtqcvN5x4pwY8xovZ6v9lFCHs.png)]

    1、设置时间格式:视图–>时间显示格式

    2、设置解析:视图–>Name Resolution,可以直接将mac地址、ip地址转换为易懂的名字

    3、数据包的处理

    1. 合并数据包:当需要抓多个较大的包时,可能需要将抓到的几个数据包进行合并
    2. 打印数据包:将数据包打印成pdf格式,Ctrl+P
    3. 导出数据包:可以选择是导出标记的数据包、选择的数据包、全部数据包

    4、编辑-首选项:一些全局配置,能进行布局调节,颜色设置,Ctrl+Shift+P

    5、抓包选项设置
    在这里插入图片描述

    1. 输入:选择抓包接口。要开启混杂模式:是指也会抓取不属于自己主机的数据包。

    2. 输出:将抓到的数据包分文件保存。可以设置文件大小,保存为多个文件,还可以设置路径。可以设置每多少秒保存为一个文件,可以设置为每多少个分组保存为一个文件,也可以设置一个目标达成之后停止抓包。

    3. 选项:抓到的包显示设置。

      显示选项解析名称
      实时更新分组列表:抓到的包一直更新解析MAC地址
      实时捕获:平常数据包在不停的滚动就是因为打开了这个解析网络名称
      在实时捕获期间显示过滤信息:打开之后可以显示解析传输层名称

    在这里插入图片描述

    6、抓包过滤器:在设置了过滤项之后只抓取需要的包
    在这里插入图片描述

    1. 类型typhost、net、port
    2. 方向dirsrc、dst
    3. 协议protoether、ip、tcp、udp、http、ftp
    4. 逻辑运算符and、or、not、&&、||、!
      在这里插入图片描述
    # 举例
    # 过滤mac地址(适用于目标主机ip地址、端口号一直在变动)
    ether host 8c:78:d7:08:57:10
    # 过滤ip地址
    src host 192.168.1.101
    # 过滤端口号
    !src port 80
    # 过滤协议:对于那些二三层不常用的协议,直接输入协议名就好
    icmp
    # 整合:利用与运算符&&或者或运算符||来加强过滤条件的限制
    ecp and src host 192.168.1.101 and !src port 80
    

    7、显示过滤器:抓取所有包,之后再根据过滤规则的不同显示需要的包。

    语法格式:一条基本的表达式由过滤项、过滤关系、过滤值组成。eg: ip.src == 192.168.1.101

    过滤项:协议 + . + 协议字段
    在这里插入图片描述

    1. 过滤IP地址ip.src、ip.dst、ip.addr、eth.addr、eth.type

    2. 过滤端口tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn

    3. 过滤协议arp、tcp、udp、http

    4. 逻辑运算符and、or、not、&&、||、!、==、in、contains

      # 举例
      ip.src == 192.168.1.101
      ip.dst == 10.90.11.88
      ip.src == 192.168.1.101 and ip.dst == 10.90.11.88
      tcp.port == 80
      tcp.srcport == 80
      tcp.dstport == 80
      tcp.flag.syn == 1
      not http
      !udp
      ip.src == 192.168.1.101 and tcp.srcport == 80 or ip.dst == 10.90.11.88 and tcp.flag.syn == 1
      http.request.method == "POST" # 过滤请求方式
      http.request.url contains admin # 过滤要求u rl中包含admin
      http.request.code == 404 # 过滤请求状态码
      

    8、数据分析界面
    在这里插入图片描述

    1. 捕获到的所有数据包的列表,注意最后一列info是组织说明列,不一定是该数据包中的原始内容;
    2. 选中数据包的分层协议展示,选中某一层,在下面对应的原始数据会高亮显示;
    3. 选中数据包的原始数据,其中左侧十六进制表示,右侧ascii码表示

    9、着色规则:视图–>着色规则
    在这里插入图片描述

    10、数据包的大致结构
    在这里插入图片描述

    1. 第一行:数据包整体概述
    2. 第二行:链路层详细信息,主要的是双方的mac地址;
    3. 第三行:网络层详细信息,主要的是双方的IP地址;
    4. 第四行:传输层的详细信息,主要的是双方的端口号;
    5. 第五行:和协议相关,不同的协议展示不同的内容。例如:dns协议,展示域名系统相关信息

    11、数据流的追踪

    一个完整的数据流一般都是由很多个包组成的。想要查看某条数据包对于的数据流:选中数据,右键选择追踪流。里面就会有tcp流、udp流、ssl流、http流。数据包属于哪种流就选择对应的流。然后会弹出该流的完整的数据流以及这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则。
    在这里插入图片描述
    在这里插入图片描述

    12、专家信息:分析–>专家信息。可以对数据包中特定的状态进行警告说明。errors[ 错误 ]、warnings[ 警告 ]、notes[ 标记 ]、chats[ 对话 ]
    在这里插入图片描述

    13、统计:对抓取的数据包进一步的分析。可以根据数据包的属性、已解析的地址、协议分级、IO graphs(显示抓包文件中的整体流量情况)等等进行统计分析
    在这里插入图片描述

    展开全文
  • WireShark抓包分析telnet
  • 点击上方蓝字关注【程序IT圈】WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCA...

    2d48240b2207a95c48ce426be4788310.gif  点击上方蓝字 关注【程序IT圈】


    WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。

    本文主要内容包括:

    • 1、Wireshark主界面介绍。

    • 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。

    • 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。

    我们首先来介绍一下Wireshark这款软件。007ed0c7ca72b57cea7cc1e03d73ee07.png

    首先我们先认识一下这个软件的主界面是长这样的

    efefbfbe5f4122af3166c68b2b7191ec.png

    在这个界面中为Wireshark的主界面

    选择菜单栏上Capture -> Option,勾选WLAN网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡)。点击Start。启动抓包。

    baade2a8a9e826507d35ac0880a11142.png

    wireshark启动后,wireshark处于抓包状态中。

    26ee1d71d7c7811ce564cfb3b72e446c.png

    1、执行需要抓包的操作,如ping www.baidu.com。

    2、操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 119.75.217.26 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包。

    de25fb89b7ef98804b087e69f924b299.png

    3、wireshark抓包完成,就这么简单。关于wireshark过滤条件和如何查看数据包中的详细内容在后面介绍。

    Wireshakr抓包界面

    67c864145fd61f24f84c96c1f43f4c2d.png

    说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示

    e7b9efed11350ff5fd39e531a949addd.png

    WireShark 主要分为这几个界面

    1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。

    6a7656e429629203a97210a61d389d5c.png

    1. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

    1f9f4234aae71524500c463f38c52c5e.png

    1. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为

    (1)Frame:   物理层的数据帧概况

    (2)Ethernet II: 数据链路层以太网帧头部信息

    (3)Internet Protocol Version 4: 互联网层IP包头部信息

    (4)Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

    (5)Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

    2c108b10813176b7ad17cef34eb652a6.png

    TCP包的具体内容

    从下图可以看到wireshark捕获到的TCP包中的每个字段。87f22be6a34929239ea76be594f29a88.png

    1. Dissector Pane(数据包字节区)。

    Wireshark过滤器设置

    初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

    (1)抓包过滤器

    捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

    281b9987147c9361e2a6e70ace74d165.png

    如何使用?可以在抓取数据包前设置如下。

    244f539075d0d01d1d4d407032a8d7e5.png

    ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下:

    1b75d4c11c260079f637b73d1ec60af8.png

    (2)显示过滤器

    显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛,抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景,在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包,如下

    d5cadaa468abe54a3eacd1013808a9ac.png

    执行ping www.huawei.com获取的数据包列表如下

    a871819748db253636d1370bb420ed4f.png

    观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。743c64bf53534500ad07f11f91c34a25.png

    上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。下面介绍一下两者间的语法以及它们的区别。

    wireshark过滤器表达式的规则

    1、抓包过滤器语法和实例

    抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

    (1)协议过滤

    比较简单,直接在抓包过滤框中直接输入协议名即可。

    TCP,只显示TCP协议的数据包列表

    HTTP,只查看HTTP协议的数据包列表

    ICMP,只显示ICMP协议的数据包列表414a4b25cbaa4aa0f0c8fc5cfe5e41cc.png

    (2)IP过滤

    host 192.168.1.104

    src host 192.168.1.104

    dst host 192.168.1.104

    (3)端口过滤

    port 80

    src port 80

    dst port 80

    (4)逻辑运算符&& 与、|| 或、!非

    src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

    host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

    !broadcast 不抓取广播数据包

    2、显示过滤器语法和实例

    (1)比较操作符

    比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

    (2)协议过滤

    比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

    tcp,只显示TCP协议的数据包列表

    http,只查看HTTP协议的数据包列表

    icmp,只显示ICMP协议的数据包列表

    (3) ip过滤

    ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

    ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

    ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

    a189f133fd4af667b0a3822720e4f1f5.png

    (4)端口过滤

    tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

    tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

    tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

    cfe3e238f81816f9d8545e82e0749d5e.png

    (5) Http模式过滤

    http.request.method=="GET",   只显示HTTP GET方法的。

    (6)逻辑运算符为 and/or/not

    过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

    6e7ebf4bff92c65b63ddf52eaa262943.png

    (7)按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。如下

    b3be1bbe00f1bbf45e55370bc13b6b7a.png

    右键单击选中后出现如下界面

    cbc89db16a6adf06e58e6cdea1160b12.png

    选中Select后在过滤器中显示如下

    37a4c2e91ea90d88feb4eadd718618a4.png

    后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

    9c736257d91282dcfe92c558fecce9be.png

    看到这, 基本上对wireshak有了初步了解。

    Wireshark抓包分析TCP三次握手

    (1)TCP三次握手连接建立过程

    Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;

    Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;

    Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。

    a4c9ac8e18f1c2cdf58f44e6f338623d.png

    (2)wireshark抓包获取访问指定服务端数据包

    Step1:启动wireshark抓包,打开浏览器输入www.huawei.com。

    Step2:使用ping www.huawei.com获取IP。

    9116c0a9d44a825da152cfe8338281fd.png

    Step3:输入过滤条件获取待分析数据包列表 ip.addr == 211.162.2.183

    8381a56bd8d96be0037c528171a56244.png

    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

    第一次握手数据包

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。如下图。

    fd3db675ae10969b176e1ca46c851f04.png

    数据包的关键属性如下:

    SYN :标志位,表示请求建立连接

    Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据

    Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据

    第二次握手的数据包

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

    e2c327d6797770b76f1a8ec25d44ba95.png

    数据包的关键属性如下:

    [SYN + ACK]: 标志位,同意建立连接,并回送SYN+ACK

    Seq = 0 :初始建立值为0,表示当前还没有发送数据

    Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)

    第三次握手的数据包

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

    1ea4f332af7adcb1af89353ce1622cff.png

    数据包的关键属性如下:

    ACK :标志位,表示已经收到记录

    Seq = 1 :表示当前已经发送1个数据

    Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。

    就这样通过了TCP三次握手,建立了连接。开始进行数据交互

    86ea1b441a3b05892de0bd91e387f5f7.png

    下面针对数据交互过程的数据包进行一些说明:

    b973b5ab3f0c9303571755ce44c7f8dc.png

    数据包的关键属性说明

    Seq: 1

    Ack: 1: 说明现在共收到1字节数据

    15373c76be137d6f227df4ebbc533c43.png

    Seq: 1
    Ack: 951: 说明现在服务端共收到951字节数据

    在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG。如下

    f451abb3c4843749b624a7f92ec2ed9d.png

    其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有DATA数据传输,RST表示连接重置。


    Wireshark分析常用操作

    调整数据包列表中时间戳显示格式。调整方法为View -->Time Display Format --> Date and Time of Day。调整后格式如下:

    7bcaafa5c83dea6b97b33ff66350e84a.png

    这些就是WireShark的常用操作了。

    
     

    —— 推 荐 阅 读 ——

    2021 年最常用密码公布,第一毫无悬念!

    黑客干货|命令行/终端下载指令大全

    推荐大家学习100个黑客小知识!

    
     

    --- EOF ---

    
     
    
     
    
     

    👇

    
     
    
     

    9b2d0a03e9c1f636b3f868f11cbc74c2.png

    
     
    最近整理一份小白入门黑客资料《初学者如何入门黑客教程》,覆盖了网络渗透、网络攻击、防御、各种黑客常用工具入门等等。
    获取方式:关注公众号并回复 黑客 领取,更多内容陆续奉上。

    明天见(。・ω・。)ノ♡

    展开全文
  • wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
  • RTSP wireshark抓包分析

    2022-03-09 15:25:43
    RTSP wireshark抓包分析
  • WireShark抓包后数据分析

    千次阅读 多人点赞 2020-10-14 12:32:53
    分析数据之前,我们先了解一下我们传输数据的结构体系,如下图: 这是两种体系,我们常知的一般都是TCP/IP体系结构。 TCP/IP体系架构分析 ...这是我自己抓包的一个例子,我从我自己的QQ发了一条消息给朋友,
  • wireshark抓包分析

    2018-12-07 15:20:08
    wireshark抓包,选取其中一个报文,详细分析
  • wireshark抓包实验

    2018-07-09 02:40:08
    wireshark网络抓包,TCP,UDP的抓包,包括三次握手,四次挥手。
  • Wireshark wireshark抓包结果的统计程序
  • 1、WireShark快速分析数据包技巧 (1)确定 Wireshark的物理位置。如果没有一个正确的位置,启动 Wireshark后会花费很长时问捕获一些与自己无关的数据。“ (2)选择捕获接口。一般都是选择连接到Internet网络的接口,...
  • wireshark抓包分析——TCP/IP协议

    万次阅读 多人点赞 2018-08-29 09:32:22
    在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓包分析。Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。Wireshark下载安装,略。...
  • wireshark抓包简单分析

    千次阅读 2019-07-01 15:14:27
    在进行网络分析时往往只需要知道两个节点是不是能够联通,具体的传输信息并不重要,所以抓包的时候可以设置只抓包头,这样就大大减少了数据包的大小,有利于数据分析。 设置方法:Capture(捕获)–>Options...
  • 今天继续给大家介绍渗透测试相关知识,本文主要内容是使用wireshark抓包分析实战。 一、wireshark分析ARP协议 二、wireshark分析TCP协议 三、wireshark分析HTTP协议
  • Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料
  • 前段时间看到群里在讨论Wireshark抓包工具,想写一篇使用笔记但一直没来得写,本篇就通过实例来分享wireshark抓包工具的使用。Wireshark简介 Wireshark 是一个...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 38,261
精华内容 15,304
关键字:

wireshark抓包及分析

友情链接: vad1.rar