精华内容
下载资源
问答
  • WireShark入门使用详解

    千次阅读 2020-06-13 19:07:36
    wireshark软件使用详解(一) 随着wireshark的不断更新,官网已经自带了简体中文版本wireshark,但是对于数据帧摘要栏与被选中数据包详细信息栏对于不少小白还是完全陌生的,本博文将对这两方面进行详细介绍。 1. ...

    wireshark软件使用详解(一)

    随着wireshark的不断更新,官网已经自带了简体中文版本wireshark,但是对于数据帧摘要栏与被选中数据包详细信息栏对于不少小白还是完全陌生的,本博文将对这两方面进行详细介绍。

    1. 数据帧摘要栏(习惯原因原本应该称为数据帧本文统一称为数据包)

    例如首先打开wireshark界面如下图所示:
    ****
    图上有四个出现曲线的网卡代表这四个网卡有数据流量或者说网络发包收包,由于我的笔记本链接的是wifi所以可以直接忽略以太网,然后该文章是在本地PC上实现的忽略虚拟机的虚拟网卡,至于本地回环网卡此处不做赘述。此处双击WLAN网卡就ok,此时wireshark便开始了抓取网络数据包。

    可以使用浏览器随便访问一个网站,接着点击暂停然后查看数据包抓取界面:
    在这里插入图片描述
    现对上图数据包各模块表示含义进行详解:
    NO. :抓取的数据包编号。
    Time:抓取该数据包所用的时间。
    Source:发送该数据包的源ip地址(ip地址即逻辑地址)。
    Destination:该数据包到达的目的ip地址。
    Protocl:该数据包所使用的何种通信协议。
    Length:数据包的长度大小。
    Info:该条数据包的重要信息概况。

    2. 被选中数据包详细信息栏

    这一个信息框是wireshark最重要的核心包数据信息框,接下来做详细解释。

    Ps:补充一点wireshark中数据包的三种叫法 1.帧:数据帧的起始点和目的点存在于数据链路层。 2.包:数据包的起始点存在于网络层。 3.段:起始点和目的地都处于传输层的信息单元。(关于所述的各种计算机通信的各个层可以了解下OSI网络模型)

    以下着重分析数据包中的详细信息:
    在这里插入图片描述
    由于开始访问了一个网站,Web服务器与浏览器之间的通信使用了Http协议所以,在筛选框中输入http,找一个http协议包进行详细分析。(关于什么是http协议,他是如何工作的可以关注我的博客后续文章中将进行讲解)

    Frame:表示物理层数据包详细情况
    在这里插入图片描述
    Ethernet II, Src:表示数据链路层以太网帧的头部信息。
    在这里插入图片描述
    Internet Protocol Version 4, Src:表示网络层ip包的头部信息。**
    在这里插入图片描述

    Transmission Control Protocol, Src Port:表示传输层数据段头部信息。
    在这里插入图片描述

    Hypertext Transfer Protocol:http协议。(应用层),暂不详解,请期待后续文章具体解释。

    3. 被选中数据包内容栏

    在这里插入图片描述
    使用ASCII码与16进制形式显示数据包的内容,该图显示了一个数据包未经处理原始的样子,同时也是在链路上传播的样子。

    未完待续…

    展开全文
  • Wireshark抓包详解

    万次阅读 多人点赞 2017-01-06 14:25:33
    使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。   wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以...

    简述

    wireshark是非常流行的网络封包分析工具,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
    为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
     

    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.


    1、wireshark 开始抓包

    开始界面




    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包



        Wireshark 窗口介绍



    2、WireShark 主要分为这几个界面

    1> Display Filter(显示过滤器),  用于过滤

    2> Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表信息不同

    3> Packet Details Pane(封包详细信息), 显示封包中的字段

    4> Dissector Pane(16进制数据)

    5> Miscellanous(地址栏,杂项)


    显示过滤器:


    使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向,过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种:一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录,一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters中设置保存过滤,在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102"。


    Filter栏上就多了个"Filter 102" 的按钮。


    过滤表达式用途
    http只查看Http协议的记录
    ip.src ==192.168.1.102 or ip.dst==192.168.1.102源地址或者目标地址是192.168.1.102
      

      封包列表(Packet List Pane)

        封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。你也可以修改这些显示颜色的规则,  View ->Coloring Rules。



        封包详细信息 (Packet Details Pane)

    这个面板是我们最重要的,用来查看协议中的每一个字段。各行信息分别为:Frame:物理层的数据帧概况;Ethernet II: 数据链路层以太网帧头部信息;Internet Protocol Version 4: 互联网层IP包头部信息;Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP;Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议;

    Wireshark与对应的OSI七层模型:





             TCP包的具体内容

    从下图可以看到wireshark捕获到的TCP包中的每个字段。



     

    3、实例分析TCP三次握手过程

          看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例。三次握手过程为:





    这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入www.baidu.com ,在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图:




    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的


    第一次握手数据包:

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图:




    第二次握手的数据包:

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图:




    第三次握手的数据包:

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:




    就这样通过了TCP三次握手,建立了连接。


    另:

    WireShark分析RTP丢包率

    展开全文
  • wireshark抓包数据:理解与分析

    千次阅读 2018-08-13 10:54:36
    wireshark是一个非常好用的抓包工具,本文根据平时抓包经验,对之前wireshark抓包的一些常见知识点进行了整理。 有不当之处,欢迎指正   1.SYN,FIN会消耗一个序号,单独的ACK不消耗序号 2.WIN表示可以接收数据...

    注明:本文为原创文章,转载请注明出处。参考文章见本文末尾。

    wireshark是一个非常好用的抓包工具,本文根据平时抓包经验,对之前wireshark抓包的一些常见知识点进行了整理。

    有不当之处,欢迎指正

     

    1.SYN,FIN会消耗一个序号,单独的ACK不消耗序号


    2.WIN表示可以接收数据的滑动窗口(接收缓冲区)是多少,如果A发到B的包的win为0,就是A告诉B说我现在滑动窗口为0了,饱了,你不要再发给我了,就说明A端环境有压力


    3.ACK可以理解为应答。A发给B的ack是告诉B,我已收到你发的数据包,收到ack号这里了,你下次要发seq为ack号的给我

     

    4.连续传输的时候,且无乱序,无丢包的情况下:上一个包的seq + len  = 下一个包的 seq,如:

    包55976:

    包55977:

    7801(55977的seq ) = 6501(55976的seq) + 1300(55976的len)

     

    5.[TCP Previous segment not captured]

    在TCP传输过程中,同一台主机发出的数据段应该是连续的,即后一个包的Seq号等于前一个包的Seq Len(三次握手和四次挥手是例外)。

    如果Wireshark发现后一个包的Seq号大于前一个包的Seq Len,就知道中间缺失了一段数据。中间缺失的数据有的时候是由于乱序导致的,在后面的包中还可以找到

    如:包55974

    包55975:

    5201(55975的seq ) != 1(55974的seq ) + 1300(55974的len )

     

    6.在TCP传输过程中(不包括三次握手和四次挥手),同一台主机发出的数据包应该是连续的,即后一个包的Seq号等于前一个包的Seq Len。
    也可以说,后一个包的Seq会大于或等于前一个包的Seq。当Wireshark发现后一个包的Seq号小于前一个包的Seq Len时,就会认为是乱序了。跨度大的乱序却可能触发快速重传

    包55979:

    包55980

    seq(55979) > seq(55980),55980应该是紧跟着55974的(1301 =1300 + 1),从到达的时间来看,是乱序了

     

    7.关于SLE和SRE:

    SACK在数据丢包需要重传时起作用。

    比如,服务器已发送的数据为1~34454个包,但是,客户端只收到了“1~1301,5201~6501”这些序列的包,也就是说“1302~5200”这些包已经丢了。

    这个时候,客户端会向服务器请求发送ACK,说我收到了seq为1301的包,同时也乱序收到了"SLE为5201,SRE为6501"的包。

    那么,服务器就知道,接着从seq=1302的包开始发送,发送到seq=5200的包的时候,就不用在发送seq=5201的包了,因为客户端已经收到了。
    如果ACK中不带SLE和SRE会怎样呢?那服务器就会重发从"1302"开始之后的所有的包,包括其实客户端已经收到的"5201~6501"序号的包,那就浪费网络带宽了

     

    8.[TCP Dup ACK]

    当乱序或者丢包发生时,接收方会收到一些Seq号比期望值大的包。它每收到一个这种包就会Ack一次期望的Seq值,以此方式来提醒发送方,于是就产生了一些重复的Ack。

    同时,这些重复的ACK中,也会更新SLE和SRE的值,因为尽管ACK的值不变,即期望的seq没有收到,但可能又会新收到后面的乱序的包

     

     

    9.关于Seq,Ack,Win,Len的理解:

    1.指明本次数据发送的信息:本次发送的数据起始序号是Seq,发送的长度是Len

    2.发送端告诉接收端:我期望的Ack是多少,即希望接收端下次发从seq为ack号的给我,同时我还可以接收Win大小的数据,即接收端可以发送(Ack,Ack + Win)区间内的数据给发送端

     

    10.[TCP Window Update]

    这种情况下,Seq,Ack,Len都没有变,唯一变的是Win大小。说明这个ACK只是表明发送端接收数据的滑动窗口更新了

    一般出现这种情况,就是由于发送端的应用程序将数据从接收数据缓冲区中取出来了,导致接收缓冲区大小更新

     

     

    11.关于TCP重传:

    决定报文是否有必要重传的主要机制是重传计时器(retransmission timer),它的主要功能是维护重传超时(RTO)值。当报文使用TCP传输时,重传计时器启动,收到ACK时计时器停止。报文发送至接收到ACK的时间称为往返时间(RTT)。对若干次时间取平均值,该值用于确定最终RTO值。在最终RTO值确定之前,确定每一次报文传输是否有丢包发生使用重传计时器,下图说明了TCP重传过程。

    当报文发送之后,但接收方尚未发送TCP ACK报文,发送方假设源报文丢失并将其重传。重传之后,RTO值加倍;如果在2倍RTO值到达之前还是没有收到ACK报文,就再次重传。如果仍然没有收到ACK,那么RTO值再次加倍。如此持续下去,每次重传RTO都翻倍,直到收到ACK报文或发送方达到配置的最大重传次数。

    所以TCP RTO的值会越来越大

    如图所示:

    1.37527的包,在75.55s发出,期望的ack=120656

    2.知道42504的包,即103.85s的时候,才收到seq=120656的包,很显然,这个ack是超时重传的,因为中间过了28s的时间

    3.在75.55-103.85期间,112.90.135.235应该进行过多次重传,但是都丢失了。知道103.85这个时间点的重传,才到达了客户端

    4.每次重传后,RTO的时间会变大,所以如果重传一直不成功,两次重传之间的间隔时间也会越来越大,从而导致等待数据到达时间也会越来越长

    参考文章:

    1.Wireshark抓包常见问题解析:http://www.xianren.org/net/wireshark-q.html

    2.wireshark抓包常见提示含义解析 :http://blog.csdn.net/u012398362/article/details/52276067

    3.Wireshark抓包工具--TCP数据包seq ack等解读 :http://blog.csdn.net/wang7dao/article/details/16805337

    4.一站式学习Wireshark(四):网络性能排查之TCP重传与重复ACK:http://blog.jobbole.com/71427/

    5.wireshark中带有SLE和SRE的SACK包详解 :http://blog.csdn.net/season_hangzhou/article/details/48318599

    展开全文
  • Wireshark学习总结

    千次阅读 2017-02-08 23:12:45
    什么是Wireshark? No.2How? Wireshark是怎么工作的?   No.3Why? Wireshark为什么要被设计出来?   Wireshark是什么? 维基百科的介绍:https://en.wikipedia.org/wiki/Wireshark 百度百科的介绍:...

    No.1What?

    什么是Wireshark?

    No.2How?

    Wireshark是怎么工作的?

     

    No.3Why?

    Wireshark为什么要被设计出来?

     

    Wireshark是什么?

    维基百科的介绍:https://en.wikipedia.org/wiki/Wireshark

    百度百科的介绍:http://baike.baidu.com/item/Wireshark

    以上是较为权威的介绍了,我大概的说一下.

    Wireshark是一个跨平台以及开源的网络数据包分析工具,前身是一个叫做”Ethereal”的项目,后来因为各种原因演变成了现今的Wiresharkwireshark无论在协议支持还是在其他的方面都比很多同类的软件高出一个层次,它最突出的地方就是拥有强大的过滤器,让你可以捕获和显示你自己感兴趣的数据包.

     

    Wireshark是怎么工作的?

    我们学习一样东西,首先要知道它是什么,然后要知道它的运作方式和工作原理,最后还有明白它为什么被设计出来.

    工作过程.

    1:数据收集:通过开启混杂模式的网卡捕获网络上的二进制数据(010110101001.......

    2:数据转换:将捕获的二进制数据转换成可读的数据形式,目的是让我们可以看懂.

    3:数据分析:对转换后的数据进行分析.

     

    Wireshark为什么要被设计出来?

    最大的一个原因就是帮助网络管理员或网络工程师进行网络诊断与错误排除.

    在网络安全界,wireshark被用来通过网络流量来分析木马和恶意软件的网络行为,

    举个例子:

    当同一个局域网中的其他同事可以正常上网时,你无法上网,怎么办?

    这时你就可以利用Wireshark抓包,查看数据包发送的目的地是否正确,针对网关的arp请求是否成功,DNS查询是否有响应等等等等.


    学习Wireshark,是一个热爱网络技术的人应该掌握的技术.

     

     

     

     

     

     

     

     

     

    展开全文
  • Wireshark入门教程

    千次阅读 2017-04-18 18:31:46
    Wireshark入门教程 wireshark介绍 wireshark的官方下载网站: http://www.wireshark.org/ wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的...
  • Wireshark-win64-3.2.2.zip

    2020-03-29 19:26:03
    wireshark是非常流行的网络封包分析软件,功能十分强大。...使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
  • 使用Wireshark工具分析网络协议

    千次阅读 2020-09-22 13:50:02
    在正式接触网络协议之前,我们应先学习Wireshark的使用以及如何通过Wireshark抓取协议包,在后面的具体的网络协议学习,Wireshark将始终陪伴着我们。 0x00 Wireshark简介 Wireshark是一个网络封包分析软件。网络封包...
  • wireshark简介 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 emmm其实就是抓包 Wireshark使用WinPCAP作为接口,直接与网卡...
  • 使用wireshark抓包软件分析微信协议 计算机网络大作业 超级详细- -,不服找我,写了好久
  • wireshark怎么抓包、...使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,...
  • wireshark

    千次阅读 2019-06-19 23:34:57
    过滤器表达式书写是wireshark使用的核心,但在此之前,很多初学者还会碰到一个难题,就是感觉wireshark界面上很多东西不怎么。其实还是挺明了的我们下面简单说一下,如下图。 1号窗口展示的是wireshark捕获到的...
  • 教你看懂以太网数据包,PPP 包 教你看懂 ARP 教你看懂 IP 包和 ICMP包,ping 包 教你看懂 UDP 包和 NAT 教你看懂 TCP 握手,挥手,TCP 数据流控 教你看懂 HTTP 本文适合有一定网络基础知识,有一定的网络编程经验,...
  • Wireshark-win64-2.2.0.zip

    2019-11-27 20:19:55
    使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以...
  • wireshark使用及作用

    千次阅读 2020-05-14 20:35:06
    Wireshark 下载链接:https://www.wireshark.org/download.html 根据电脑版本下载。 一个非常好用的免费的抓包工具。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。获取网络数据封包,包括 HTTP、...
  • Wireshark数据包分析

    2020-02-22 22:01:46
    使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以...
  • 那我们先来下官方术语:广播风暴(broadcast storm)简单的讲是指当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”。一个数据帧或包被传输到本地网段 ...
  • WireShark网络安全分析

    千次阅读 2020-05-13 17:04:43
    wireshark介绍 ...wireshark是非常流行的网络封包...使用wireshark的人必须了解网络协议,否则就懂wireshark了。 Wireshark不能做的 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 Wire
  • 一、Wireshark介绍1、Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcapnetwork library来...
  • WireShark

    2019-10-03 23:38:11
    Wireshark 介绍 Wireshark(前称Ethereal):是一个开源的网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据...
  • wireshark网络抓包详解

    2021-07-27 23:43:43
    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看HTTPS中的内容 二、安装 2.1、安装地址 Wireshark开源地址:https://github.com/wireshark/wireshark Wireshark下载地址:https://
  • 数据流WireShark

    2017-10-30 10:44:55
    数据流 wireshark 是一个很强大的网络分析工具。今天171025对它又熟悉了一点,记录一下。 总结一下目前知道的东西 len:是指特定协议下,MsgBody的字符串长度。要查看内容看到len = 0,就可以下一个了。 首先...
  • wireshark抓包工具详细说明及操作使用 https://www.cnblogs.com/myseries/p/12653315.html
  • wireshark详细图文入门教程

    万次阅读 多人点赞 2020-05-17 20:17:09
    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark. 2.选择网卡 wireshark是捕获机器上的...
  • Ubuntu源码安装wireshark

    千次阅读 2019-06-24 12:17:43
    我的Ubuntu是14i386的,里面就装了git、tree、vim等一些基本工具,而这次安装wireshark,则是安装依赖到怀疑人生。 首先到官网下载源码: https://launchpad.net/ubuntu/+source/wireshark 选用你想要的版本。 ...
  • 使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以...
  • Wireshark 的前世今生

    2018-11-30 22:10:23
    但是作为Wireshark爱好者,了解一下这个软件的前世今生也是极好的,谁不想在中午和同(ling)事(dao)一起吃饭的时候讲个业内小故事,显得自己业务精湛又品味不俗呢?  故事要从20世纪90年代开始说起。那时的IT业欣欣向荣:...
  • Wireshark-win64-3.2.2.rar

    2020-07-02 16:45:45
    使用wireshark的人必须了解网络协议,否则就懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以...
  • Wireshark使用详解

    2021-02-10 22:22:22
      wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark 如果测试本地地址,需要在本地环...
  • Wireshark

    2017-08-09 17:08:46
    appendixWith a long Wireshark,never been tidied up, and now some of the basic things, do some arrangement, under the management of own ideas, and consolidate my memory.————————————————...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,216
精华内容 1,686
关键字:

如何看懂wireshark