精华内容
下载资源
问答
  • wireshark抓取数据包该怎么分析,怎样找到tcp/ip的地址并提取出来?
  •  使用wireshark监听daytime客户端连接服务器的数据报,过滤规则:tcp.port eq 13握手过程:数据包编号No.16-No.20。 握手一:数据包No.16,本地IP10.1.1.64端口52528向远程IP132.163.86.4端口13发起连接请求...

    编译运行DaytimeClient,访问"time.nist.gov" 获取时间信息。

    package tcpClient.daytime;
    import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.net.Socket;import java.nio.charset.StandardCharsets;/** * 使用客户端获取时间,协议指定的字节必须是ASCII */public class DaytimeClient {    public static void main(String[] args) {        String hostname = args.length > 0 ? args[0] : "time.nist.gov";        Socket socket = null;        try {            socket = new Socket(hostname, 13);            socket.setSoTimeout(15000);            InputStream in = socket.getInputStream();            StringBuilder time = new StringBuilder();            InputStreamReader reader = new InputStreamReader(in, StandardCharsets.US_ASCII);            for (int c = reader.read();c != -1;c = reader.read()){                time.append((char) c);            }            System.out.println("time = " + time);        } catch (IOException e) {            e.printStackTrace();        } finally {            if (socket != null) {                try {                    socket.close();                } catch (IOException e) {                    e.printStackTrace();                }            }        }    }}

        使用wireshark监听daytime客户端连接服务器的数据报,过滤规则:tcp.port eq 13握手过程:数据包编号No.16-No.20。

    握手一:数据包No.16,本地IP10.1.1.64端口52528向远程IP132.163.86.4端口13发起连接请求SYN。

    Transmission Control Protocol, Src Port: 52528, Dst Port: 13, Seq: 0, Len: 0
      Source Port: 52528//源端口
      Destination Port: 13//目的端口
      [Stream index: 2]//流索引
      [TCP Segment Len: 0]//此片TCP数据段长度
      Sequence number: 0   (relative sequence number)//序列号(相对序列号)
      [Next sequence number: 0   (relative sequence number)]
      Acknowledgment number: 0//确认序列号
      1010 .... = Header Length: 40 bytes (10)//首部长度
      Flags: 0x002 (SYN)//标志位
          000. .... .... = Reserved: Not set
          ...0 .... .... = Nonce: Not set
          .... 0... .... = Congestion Window Reduced (CWR): Not set
          .... .0.. .... = ECN-Echo: Not set
          .... ..0. .... = Urgent: Not set
          .... ...0 .... = Acknowledgment: Not set
          .... .... 0... = Push: Not set
          .... .... .0.. = Reset: Not set
          .... .... ..1. = Syn: Set//标志当前报文用于同步序号来发起一个连接
              [Expert Info (Chat/Sequence): Connection establish request (SYN): server port 13]//详细信息:连接建立请求
                  [Connection establish request (SYN): server port 13]
                  [Severity level: Chat]
                  [Group: Sequence]
          .... .... ...0 = Fin: Not set
          [TCP Flags: ··········S·]
      Window size value: 29200//窗口大小
      [Calculated window size: 29200]
      Checksum: 0xf016 [unverified]//校验和
      [Checksum Status: Unverified]
      Urgent pointer: 0//紧急指针
      Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window scale//可选项
          TCP Option - Maximum segment size: 1460 bytes//MSS 1460字节
          TCP Option - SACK permitted
          TCP Option - Timestamps: TSval 2795695397, TSecr 0
          TCP Option - No-Operation (NOP)
          TCP Option - Window scale: 7 (multiply by 128)
      [Timestamps]//时间戳
          [Time since first frame in this TCP stream: 0.000000000 seconds]
          [Time since previous frame in this TCP stream: 0.000000000 seconds]

    客户端发送SYN=1,seq=0给远程服务器,发送成功后进入SYN_Sent状态。

    握手二:数据包No.19,远程服务器回复本地主机的SYN报文。

    Transmission Control Protocol, Src Port: 13, Dst Port: 52528, Seq: 0, Ack: 1, Len: 0
      Source Port: 13
      Destination Port: 52528
      [Stream index: 2]
      [TCP Segment Len: 0]
      Sequence number: 0   (relative sequence number)
      [Next sequence number: 0   (relative sequence number)]
      Acknowledgment number: 1   (relative ack number)//确认序列号从0变为1
      1010 .... = Header Length: 40 bytes (10)
      Flags: 0x012 (SYN, ACK)//标志位
          000. .... .... = Reserved: Not set
          ...0 .... .... = Nonce: Not set
          .... 0... .... = Congestion Window Reduced (CWR): Not set
          .... .0.. .... = ECN-Echo: Not set
          .... ..0. .... = Urgent: Not set
          .... ...1 .... = Acknowledgment: Set//ACK置1
          .... .... 0... = Push: Not set
          .... .... .0.. = Reset: Not set
          .... .... ..1. = Syn: Set//SYN置1
              [Expert Info (Chat/Sequence): Connection establish acknowledge (SYN+ACK): server port 13]//连接建立确认
                  [Connection establish acknowledge (SYN+ACK): server port 13]
                  [Severity level: Chat]
                  [Group: Sequence]
          .... .... ...0 = Fin: Not set
          [TCP Flags: ·······A··S·]
      Window size value: 65535//窗口大小
      [Calculated window size: 65535]
      Checksum: 0x0616 [unverified]//校验和
      [Checksum Status: Unverified]
      Urgent pointer: 0
      Options: (20 bytes), Maximum segment size, No-Operation (NOP), Window scale, SACK permitted, Timestamps可选项
          TCP Option - Maximum segment size: 1412 bytes//MSS 1412字节
          TCP Option - No-Operation (NOP)
          TCP Option - Window scale: 6 (multiply by 64)
          TCP Option - SACK permitted
          TCP Option - Timestamps: TSval 2251642254, TSecr 2795695397
      [SEQ/ACK analysis]
          [This is an ACK to the segment in frame: 16]
          [The RTT to ACK the segment was: 0.270227949 seconds]//本次RTT值
          [iRTT: 0.270281602 seconds]//总RTT值
      [Timestamps]//时间戳,发送上一个报文到收到这个报文经过了0.27s
          [Time since first frame in this TCP stream: 0.270227949 seconds]
          [Time since previous frame in this TCP stream: 0.270227949 seconds]

    服务器收到客户端发的SYN后,响应了一个seq=0,ack=1,SYN=1,ACK=1的响应报文。发送成功后进入SYN_RCVD状态。

    握手三:数据包No.20,本地客户端发送ACK以建立连接

    Transmission Control Protocol, Src Port: 52528, Dst Port: 13, Seq: 1, Ack: 1, Len: 0
      Source Port: 52528
      Destination Port: 13
      [Stream index: 2]
      [TCP Segment Len: 0]
      Sequence number: 1   (relative sequence number)
      [Next sequence number: 1   (relative sequence number)]
      Acknowledgment number: 1   (relative ack number)//确认序列号从0变为1
      1000 .... = Header Length: 32 bytes (8)//首部长度32字节
      Flags: 0x010 (ACK)
          000. .... .... = Reserved: Not set
          ...0 .... .... = Nonce: Not set
          .... 0... .... = Congestion Window Reduced (CWR): Not set
          .... .0.. .... = ECN-Echo: Not set
          .... ..0. .... = Urgent: Not set
          .... ...1 .... = Acknowledgment: Set//ACK置1
          .... .... 0... = Push: Not set
          .... .... .0.. = Reset: Not set
          .... .... ..0. = Syn: Not set
          .... .... ...0 = Fin: Not set
          [TCP Flags: ·······A····]
      Window size value: 229//窗口大小
      [Calculated window size: 29312]
      [Window size scaling factor: 128]
      Checksum: 0xf00e [unverified]
      [Checksum Status: Unverified]
      Urgent pointer: 0
      Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
          TCP Option - No-Operation (NOP)
          TCP Option - No-Operation (NOP)
          TCP Option - Timestamps: TSval 2795695667, TSecr 2251642254
      [SEQ/ACK analysis]
          [This is an ACK to the segment in frame: 19]
          [The RTT to ACK the segment was: 0.000053653 seconds]
          [iRTT: 0.270281602 seconds]
      [Timestamps]
          [Time since first frame in this TCP stream: 0.270281602 seconds]
          [Time since previous frame in this TCP stream: 0.000053653 seconds]

    客户端发送seq=1,ack=1,ACK=1的确认报文,进入ESTABLISHED状态。在服务器收到此报文后也进入ESTABLISHED。至此连接已经建立完成。

    注:本文为小yip原创,未经许可不得在任何平台转载。如需转载,与作者联系~

    欢迎加入linux交流群:734638086,分享工作经验。

    关注微信公众号:技术训练营(微信ID:TechBootcamp),获取更多资讯~

    微信扫一扫,发现更精彩。

    展开全文
  • 使用Wireshark工具、Microsoft Edge浏览器,抓取TCP数据包,网络封包分析窗口如下所示: 很意外地,发现有52.114.77.164与168.63.202.111这两个IP地址的报文。 我们的源主机IP地址为192.168.0.101,目的服务器IP...

    先说问题。使用Wireshark工具、Microsoft Edge浏览器,抓取TCP数据包,网络封包分析窗口如下所示:
    在这里插入图片描述
    很意外地,发现有52.114.77.164168.63.202.111这两个IP地址的报文。

    我们的源主机IP地址为192.168.0.101,目的服务器IP地址为128.119.245.12,我们要分析的三次握手过程、数据包传输过程应该在这两个IP之间,很明显52.114.77.164与168.63.202.111这两个IP地址干扰了我们的分析。
    我们知道,IP地址可以作为域名使用(域名本身就对应着IP地址),所以我们首先尝试能否登录这两个IP地址对应的网址。

    并不能。我们换种思路,查证一下这两个IP地址的归属。
    在这里插入图片描述
    在这里插入图片描述
    破案了,这两个IP地址均归属于微软。这说明我的电脑正在向微软传递数据,推测原因出自Windows 10系统默认开启的客户体验改善计划传输了TCP报文。另一个可能的原因是,Microsoft Edge浏览器也向微软发送了用户的使用数据。根据自己的了解,Windows 客户体验改善计划将收集硬件配置以及用户使用软件和服务的相关信息并上传。

    首先关闭客户体验改善计划。我们在运行中输入gpedit.msc,打开本地组策略编辑器。
    在这里插入图片描述
    按照下图,找到关闭 Windows 客户体验改善计划。
    在这里插入图片描述
    观察到当前处于未配置状态。
    在这里插入图片描述
    将其改为“已启用”,之后点击确定。现在,我们已经关闭了Windows客户体验改善计划。捕获报文,发现已经不存在52.114.77.164。

    接下来,在Microsoft Edge浏览器的设置中,找到了可能收集数据的选项,如下图。
    在这里插入图片描述
    观察到,Microsoft Edge浏览器会自动向微软发送数据,且该功能是无法关闭的。因此,切换到IE浏览器。IE大法好。

    最后,再次启动Wireshark捕获报文。结果如下,问题解决。
    在这里插入图片描述
    做个总结:
    52.114.77.164:Windows 10用户体验改善计划
    168.63.202.111:Microsoft Edge收集用户数据并发送

    这两个IP地址具体是什么可能因机器而异,以上提供了一个排查的思路。如果这篇文章对你有帮助,请给博主点个赞吧!

    展开全文
  • wireshark抓取TCP

    2021-05-08 14:18:33
    Wireshark抓包是抓取网卡的数据包,如TCP等 一、安装 Wireshark官网下载地址:https://www.wireshark.org 下载完成后直接安装 二、配置 1、只有当手机或其他客户端处于同一网络下,才能抓到包(电脑开启热点,手机...

    Wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,且Wireshark不能像Fiddler拦截请求,修改返回结果。
    但Wireshark抓包是抓取网卡的数据包,如TCP等

    一、安装
    Wireshark官网下载地址:https://www.wireshark.org
    下载完成后直接安装

    二、使用
    只有当手机或其他客户端处于同一网络下,才能抓到包(电脑开启热点,手机连接此热点),这一点和Fiddler有所不同,Fiddler只要在同一局域网下即可。

    打开Wireshark后,可以看到本机的网卡驱动,要想捕获数据包,选择你要捕获的网卡,双击开始捕获数据。从图中可以看到流量的使用情况
    在这里插入图片描述
    数据着色规则
    https://www.cnblogs.com/still-smile/p/13589644.html

    上方可以输入过滤信息tcp.port == 80、ip.dst==14.215.177.38等等
    在这里插入图片描述

    可在列表表头处右击,编辑列,选择需要展示的信息。
    在这里插入图片描述
    选择抓到某一条TCP数据包,右击选择追踪流-TCP流,展示红色是源到目的地;蓝色反之;

    展开全文
  • 1、 Frame:物理层数据帧 Ethernet II:数据链路层以太网帧头部信息 Internet protocol version4:网络层IP包头部...首先需要了解数据包的结构 以下依次是 1、网络层头部信息 2、ipv4头部结构 3、tcp头部结构 ...

    在这里插入图片描述
    1、
    Frame:物理层数据帧
    Ethernet II:数据链路层以太网帧头部信息
    Internet protocol version4:网络层IP包头部信息
    Transmission control protocol:传输层的数据段头部信息

    首先需要了解数据包的结构
    以下依次是
    1、网络层头部信息
    在这里插入图片描述
    2、ipv4头部结构
    在这里插入图片描述
    3、tcp头部结构
    在这里插入图片描述

    展开全文
  • wireshark如何抓取WebSocket数据包

    千次阅读 2019-10-24 11:27:10
    wireshark如何抓取WebSocket数据包 前文 WebSocket目前在web端使用官网,可以使用websocket来传输数据,解决了web端无法跟服务器维持高效的长链接的问题。什么是websocket呢?websocket是一种浏览器与服务器进行全...
  • wiresharek简介与抓取TCP数据包实战

    千次阅读 2012-11-28 10:00:31
    这段时间测试采集项目的时候用到TCP抓包工具,之前用的 EtherPeek ... NX 3.0 ,后来使用tcpcopy进行负载测试后,测试环境切换到ubuntu/linux下,于是就选择了开源,免费,跨平台的wireshark作为抓包工具  阅读全文
  • 没有任何一个程序员在作项目的时候不会遇到网络编程的问题,要解决这些问题除了对各类网络协议深刻了解以外,还须要掌握各类网络分析工具的用法,不用多说wireshark绝对是这方面的翘楚,惋惜的是,wireshark不能对...
  • 一:打开 wireshark 监听本地网卡,由于我连接的是 wifi ,监听无线网络连接。... 设置 ip.addr==14.215.177.38,然后打开百度的首页,回到 wireshark 再次刷新下,就抓取得到数据包。 三:由上图可以看出...
  • Wireshark抓取本地Tcp包(任何数据包

    万次阅读 多人点赞 2016-11-14 11:03:55
    没有任何一个程序员在做项目的时候不会遇到网络编程的问题,要解决这些问题除了对各种网络协议深入了解之外,还需要掌握各种网络分析工具的用法,不用多说wireshark绝对是这方面的翘楚,可惜的是,wireshark不能对...
  • Wireshark抓取telnet连接中的数据包

    万次阅读 2020-12-15 10:46:27
    本篇使用Sireshark抓取telnet的TCP数据包,下面是详细实验步骤。 0x01.开启telnet客户端 win10默认关闭了telnet的客户端,需要手动开启。 开启方法: 设置-》应用-》程序和功能。 启用或关闭Windows功能...
  • wireshark如何抓取WebSocket数据包wireshark如何抓取WebSocket数据包前文WebSocket目前在web端使用广泛,可以使用websocket来传输数据,解决了web端无法跟服务器维持高效的长链接的问题。什么是websocket呢?...
  • 在调试SSL时要抓包,通过tcpview和minisniffer等工具明明看到tcp连接已经建立并开始收发数据了,但wireshark却总是无法抓到相应的数据包。 今天早上,HQ的高工告诉我“wireshark在windows下无法抓取localhost...
  • wireshark抓取不到本地IP的数据包

    千次阅读 2019-01-21 11:18:08
    在测试时,要用wireshark抓取本地回路的测试包,结果发现怎么都抓不到127.0.0.1(或者任意其它本机设定的IP地址)的tcp数据包,不管怎么看,都没有127.0.0.1的数据包.弄了半上午,发现如果是tcp客户端向别的IP通信...
  • wireshark抓取不到本地回路的数据包

    千次阅读 2017-08-28 22:20:15
     在测试时,要用wireshark抓取本地回路的测试包,结果发现怎么都抓不到127.0.0.1的tcp数据包,不管怎么看,都没有127.0.0.1的数据包.弄了半上午,发现如果是tcp客户端向别的IP通信wireshark都能正常截获,如果是本机则...
  • 2-1.数据序号32位,TCP为发送的每一个字节都编一个号码,这里存储当前数据包数据第一 包括 网络编程结构数据JavaTCPIP的信息,所有JAVA网络编程:TCP/IP数据包结构相关内Java实现以太网帧的封装... wireshark抓取分析htt...
  • 利用tcpdump抓取ios的tcp数据包

    千次阅读 2014-07-29 15:02:34
    pc平台抓取TCP包使用wireshark,http包有http
  • 使用Java抓取Socket通信TCP数据包 使用WireShark默认使用的是winpcap去抓本地环回的数据包,需要安装npcap再在Wireshark选择本地环回的网卡抓包 在Java-Socket中,在本地Socket不使用127网段无法与服务端进行通信。 ...
  • Wireshark通过TCP协议抓取QQ好友IP以及定位

    千次阅读 热门讨论 2020-05-29 18:27:31
    Wireshark通过TCP协议抓取QQ好友IP以及定位 废话不多说,直接上干货!! 首先我们要用到工具: 1.Wireshark: 2.QQ: 3.一首智慧的手 首先我们打开Wireshark,看到如下选项界面,根据自己的网络情况选择,我...
  • Wireshark嗅探数据包

    2019-12-13 13:59:49
    Wireshark原理不再叙述,总体就是将网卡设置为混杂模式。...抓取TCP包(三次握手与四次挥手) TCP包的包头信息 抓取http数据包 追踪http请求的TCP流,查看登陆教务系统的账号密码 查看数据包的ip头 ...
  • 转载于:https://www.cnblogs.com/jodyccf/p/10476615.html
  • 使用Java抓取Socket通信TCP数据包使用WireShark默认使用的是winpcap去抓本地环回的数据包,需要安装npcap再在Wireshark选择本地环回的网卡抓包在Java-Socket中,在本地Socket不使用127网段无法与服务端进行通信。...
  • 数据的获取与分析利用————WinShark抓取数据后(TCP、数据链路层、IP层)UDP层分析 WinShark抓取数据后(TCP、数据链路层、IP层)UDP层分析 1、安装WireShark 2、访问网站主页,并使用工具获取数据包。 图1...
  • WireSharkTCP解析

    2020-09-29 19:43:00
    前三个TCP数据包对应了TCP建立连接的三次握手 上图为TCP的报文段格式 SYN字段 SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络...
  • 1、TCP数据包格式: 2、三次握手图: 3、四次挥手 4、第一次握手数据包: 5、第二次握手数据包: 6、第三次握手数据包: 7、第一次挥手数据包: 8、第二次挥手数据包: 9、第三次挥手数据包: ...
  • 基于Wireshark抓取数据包,层层剥茧地剖析了12种常见网络协议的构成 内容简介 书籍 计算机书籍 《Wireshark数据包分析实战详解》由浅入深,全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例...

空空如也

空空如也

1 2 3 4 5 ... 9
收藏数 162
精华内容 64
关键字:

wireshark抓取tcp数据包