精华内容
下载资源
问答
  • 使用Wireshark抓包 IP报文格式: 1、Version(版本号,4bit): 标识IP报头的版本和格式,IPV4(0100)、IPV6(0110)。 2、IHL(报头长度,4bit): 该字段标识整个IP报头的长度,其中数的单位是4字节。以32bit为...

    IPv4报头
    使用Wireshark抓包
    在这里插入图片描述IP报文格式:
    在这里插入图片描述

    1、Version(版本号,4bit): 标识IP报头的版本和格式,IPV4(0100)、IPV6(0110)。
    2、IHL(报头长度,4bit): 该字段标识整个IP报头的长度,其中数的单位是4字节。以32bit为一个单位(图中的一行),保存IPV4头部中32bit的数量(包括可选项options)。在ipv4中头部被限制为最多15个32位字。一般来说此处的值为0101,标识长度为20字节
    3、Service Type(服务类型,8bit): 该字段用来制定特殊的报文处理方式。服务类型字段实际上被划分为两个子字段:优先权和TOS。(以后在补充)
    4、Total Length(包长度。16bit): 该字段指首部和数据之和的长度,单位为字节,因此数据报的最大长度为65535字节。总长度必须不超过最大传输单元MTU。
    5、Identification(标识符,16bit): 它是一个计数器,用来产生数据报的标识
    6、Flag(标记,3bit): 目前只有前两位有意义。标记字段的最低位是MF(More Fragment)。MF=1表示后面“还有分片”。MF=0表示最后一个分片。表示字段中间的一位是DF(Don’t Fragment)。只有当DF=0时才允许分片。
    7、Fragment Offset(片偏移,13bit): 该字段指出较长的分组在分片后某片在原分组中的相对位置。片偏移以 8 个字节为偏移单位。在跨层封装时使用。
    8、Time to live(生存时间,8bit): 记为 TTL (Time To Live)数据报在网络中可通过的路由器数的最大值。
    9、Protocol(协议号,8bit): 该字段指出此数据报携带的数据使用何种协议以便目的主机的 IP 层将数据部分上交给哪个处理过程。
    10、Header Checksum(头部校验和,16bit): 该字段只检验数据报的首部不检验数据部分
    11、Source Address(源IP,32bit):
    12、Destination Address(目标IP,32bit):
    13、Options(可选字段): 一般一些特殊的要求会加在这个部分。例如:松散路由,严格路由,路由记录,时间戳。
    14、Padding(填充字段): 通过可选字段后面添0来补足32位保证options,padding之和为0 32或32的倍数。

    抓包分析IPv4包:
    在这里插入图片描述

    IP报文:[45 00 00 28]
           [c1 7a 40 00]
           [40 06 02 05]
           [c0 a8 03 07]
           [ca 59 e9 47]
    版本:4
    首部长度(单位:4字节):0101
    区分服务:0x00
    总长度(单位:字节):40
    标识符:0xc17a
    标记:0x4000
    片偏移:0
    生存时间:64
    协议:TCP
    头部校验和:0x0205
    源地址:192.168.3.7
    目标地址:202.89.233.71
    
    展开全文
  • 一. WireShark 抓包及常用协议分析

    千次阅读 多人点赞 2019-10-28 10:22:30
    WireShark 抓包及常用协议分析简介WireShark 简介和抓包原理及过程实战:WireShark 抓包及快速定位数据包技巧实战:使用 WireShark 对常用协议抓包并分析原理实战:WireShark 抓包解决服务器被黑上不了网总结: ...

    简介

    1.1 WireShark 简介和抓包原理及过程
    1.2 实战:WireShark 抓包及快速定位数据包技巧
    1.3 实战:使用 WireShark 对常用协议抓包并分析原理
    1.4 实战:WireShark 抓包解决服务器被黑上不了网

    WireShark 简介和抓包原理及过程

    WireShark 简介

    Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口,直接不网卡迚行数据报文交换。

    WireShark 的应用

    网络管理员使用 Wireshark 来检测网络问题,网络安全工程师使用 Wireshark 来检查资讯安全相关问题,开发者使用 Wireshark 来为新的通讯协定除错,普通使用者使用 Wireshark 来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……

    WireShark 快速分析数据包技巧

    (1) 确定 Wireshark 的位置。如果没有一个正确的位置,启动 Wireshark 后会花费很长的时间捕获一些不自己无关的数据。
    (2) 选择捕获接口。一般都是选择违接到 Internet 网络的接口,这样才可以捕获到不网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
    (3) 使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获数据。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
    (4) 使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器迚行过滤。
    (5) 使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
    (6) 构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
    (7) 重组数据。当传输较大的图片或文件时,需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。Wireshark 的重组功能,可以重组一个会话中不同数据包的信息,或者是重组一个完整的图片戒文件。

    实战:WireShark 抓包及快速定位数据包技巧

    常见协议包

    ARP 协议
    ICMP 协议
    TCP 协议
    UDP 协议
    DNS 协议
    HTTP 协议
    FTP 协议
    Tips: 本节主要分析以上几种协议类型

    使用 WireShark 迚行抓包

    启动 WireShark
    在这里插入图片描述
    会有一个报错信息,是丌建议我们使用 root 用户运行。我们直接点击 OK 就行,这个报错信息不影响我们任何的使用。

    在这里插入图片描述
    选择我们的网卡
    在这里插入图片描述
    双击网卡之后就会自劢迚行抓包
    在这里插入图片描述
    混杂模式介绍

    1、混杂模式概述:混杂模式就是接收所有经过网卡的数据包,包括丌是发给本机的包,即不验证 MAC
    地址。普通模式下网卡只接收发给本机的包(包括广播包)传逑给上层程序,其它的包一律丢弃。
    一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
    2、关闭和开启混杂模式方法
    关闭和开吭混杂模式前,需要停止当前抓包,如果当前正在抓包的过程中,点击“ 停止捕获 ”
    在这里插入图片描述
    在这里插入图片描述

    WireShark 的过滤器使用
    我们开吭混淆模式来做一下感受,我们再次捕获—在所有接口上使用混杂模式就可以直接迚行抓包了
    在这里插入图片描述在这里插入图片描述

    这里就是我们的过滤器,我们可以根据自己的条件筛选自己想要的数据包。
    例 1:使用过滤器筛选 TCP 的数据包
    注意:筛选条件我们都使用小写就好了,大写的话会不识别。
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    其实我们不仅可以对协议类型迚行筛选,我们还有跟多的筛选条件,比如源地址目的地址等等。。。
    例 5:筛选源地址是 192.168.1.53 或目的地址是 192.168.1.1在终端 ping 192.168.1.1
    在这里插入图片描述
    然后修改筛选器条件为:
    ip.src_host == 192.168.1.53 or ip.src_host == 192.168.1.1
    这个判断条件是什么意思呢?
    ip.src_host == 192.168.1.53 表示源 IP 地址
    ip.dst_host == 192.168.1.1 表示目的地址

    我们中间用 or 进行了拼接,表示或 当然我们也可以使用 and 表示不,or 表示满足左右其中一个条件就会显示符合条件的数据包,and 表示左右 2 个条件都满足才会显示。
    在这里插入图片描述
    在这里插入图片描述

    实战:使用 WireShark 对常用协议抓包并分析原理

    协议分析的时候我们关闭混淆模式,避免一些干扰的数据包存在。

    常用协议分析-ARP 协议

    地址解析协议(英语:Address Resolution Protocol,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在 IPv4 中极其重要。ARP 是通过网络地址来定位 MAC 地址。开始抓包—过滤 arp
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
    Hardware type : Ethernet (1) #硬件类型
    Protocol type: IPv4 ( 0x0800 ) #协议类型
    Hardware size: 6 #硬件地址
    Protocol size: 4 #协议长度
    Opcode: _ request ( 1 ) #操作码,该值为 1 表示 ARP 请求包
    Sender MAC address: Vmware_ 96:67:52 (00:0c:29:96:67:52) #源 MAC 地址
    Sender IP address: 192.168.1.53 . #源 IP 地址
    Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
    Target IP address: 192.168.1.1 #目标 IP 地址

    我们来分析第二个数据包 ARP 的应答数据包
    第一层 Frame 是物理层,前面的 32 表示第几个包。42 表示字节数。
    第二层 数据链路层详解:
    在这里插入图片描述
    Destination:Boradcast 表示目的 MAC 地址 ff 表示我们的广播地址
    Source 表示源 MAC 地址即我们当前主机的 MAC 地址
    Type:ARP(0x0806)表示我们的上层协议是 ARP
    Padding:000 表示补位,
    第三层 Address Resolution Protocol (reply) ARP 地址解析协议
    在这里插入图片描述
    Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
    Hardware type: Ethernet (1) #硬件类型
    在这里插入图片描述

    常用协议分析-ICMP 协议
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    我们分析有用的信息
    Version 4 表示 IPv4
    Differentiated Services 原来这 8 字节是被定义成 TOS(Type of Service),现在被
    RFC2474 定义成 Differentiated services(差异化服务)和 ECN。
    Total Length 整个数据包的长度,含头部,单位为 Byte(字节)
    Identification 数据包标识,用来区分相同的数据包,比如我们的 ping 包
    Flags 0x4000,Don’t fragment 表示数据包丌迚行分片丌分包
    Time to Live:64 TTL 值每经过一个网络设备减 1 直到为 0 数据包被丢弃
    Protocol:ICMP(1) 上层协议号 ICMP 是 1,TCP 是 6,UDP 是 17
    Header Checksum 头部 CRC 校验用于校验 IPv4 报头损坏
    Source IP Address 源 IP 地址
    Destination IP Address 目标 IP 地址
    在这里插入图片描述
    工作过程:
    本机发送一个 ICMP Echo Request 的包
    接受方返回一个 ICMP Echo Reply,包含了接受到数据拷贝和一些其他指令

    常用协议分析-TCP 协议
    在这里插入图片描述
    在这里插入图片描述

    我们从以上信息就可以看出这是一个 SYN 数据包,SYN=1 表示发送一个链接请求。这时 Seq 和 ACK都是 0 我们分析第二个数据包
    在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    我们分析一下过程,我们在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的
    Server 端向客户端发起关闭链接请求。
    第一次挥手: 服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并迚入
    FIN_WAIT_1 状态
    第二次挥手: 客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 迚行确认,确认序号
    为收到序号+1(不 SYN 相同,一个 FIN 占用一个序号),客户端进入CLOSE_WAIT 状态。
    第三次挥手: 客户端发送 FIN 给对方,表示自己没有数据要发送了,客户端迚入 LAST_ACK 状态,
    然后直接断开 TCP 会话的违接,释放相应的资源。
    第四次挥手: 服务户端收到了客户端的 FIN 信令后,迚入 TIMED_WAIT 状态,并发送 ACK 确认消
    息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的
    ACK 并正确关闭了迚入 CLOSE 状态,自己也断开了 TCP 违接,释放所有资源。当客户端收到服务端的
    ACK 回应后,会迚入 CLOSE 状态并关闭本端的会话接口,释放相应资源。

    常用协议分析-HTTP 协议

    我们还是筛选 TCP 协议因为 HTTP 是 TCP 的上层协议,所以我们过滤 TCP 的数据会包含 HTTP 协议的数据包
    在这里插入图片描述在这里插入图片描述
    第一步: 我们我们发送了一个 HTTP 的 HEAD 请求
    第二步: 服务器收到我们的请求返回了一个 SEQ/ACK 迚行确认
    第三步: 服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200 表示页面正常
    第四步: 客户端收到服务器返回的头部信息向服务器发送 SEQ/ACK 迚行确认
    发送完成后客户端就会发送 FIN/ACK 来进行关闭链接的请求。
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述

    实战:WireShark 抓包解决服务器被黑上不了网

    场景: 服务器被黑上丌了网,可以 ping 通网关,但是丌能上网。
    模拟场景
    修改主机 TTL 值为 1,下面的方式是我们临时修改内核参数。
    root@BBBB53:~# echo “1” > /proc/sys/net/ipv4/ip_default_ttl
    拓展:
    TTL : 数据报文的生存周期。
    默认 linux 操作系统值: 64,每经过一个路器节点,TTL 值减 1。TTL 值为 0 时,说明目标地址丌可
    达并返回: Time to live exceeded
    作用: 防止数据包,无限制在公网中转发。我们测试结果
    在这里插入图片描述在这里插入图片描述我们对比数据包发现返回我们数据包被丢弃的源地址变成了 123.115.0.1,这证明了数据包在网络中
    已经到达了下一个网络设备才被丢弃,由此我们还判断出我们的运营商网关地址为 123.115.0.1 但是我们
    并没有到达目标主机。
    我们恢复系统内核参数
    root@xuegod53:~# echo “64” > /proc/sys/net/ipv4/ip_default_ttl
    在这里插入图片描述
    在这里插入图片描述

    总结

    1.1 WireShark 简介和抓包原理及过程
    1.2 实戓:WireShark 抓包及快速定位数据包技巧
    1.3 实戓:使用 WireShark 对常用协议抓包并分析原理
    1.4 实戓:WireShark 抓包解决服务器被黑上不了网

    展开全文
  • 记录WIRESHARK抓包

    2021-02-03 19:58:56
    记录使用wireshark抓包选择一个网卡数据包过滤读数据包 选择一个网卡 数据包过滤 在上方输入框可以输入过滤出的数据包。 下方属性可以点击,按照属性升序或者降序。 读数据包 双击一个数据包解析。 wireshark的...

    选择一个网卡

    在这里插入图片描述

    数据包过滤

    在这里插入图片描述
    在上方输入框可以输入过滤出的数据包。
    下方属性可以点击,按照属性升序或者降序。

    读数据包

    双击一个数据包解析。

    在这里插入图片描述
    wireshark的折叠分析很不错。

    frame不作分析。

    ETHERNET 2就是以太网协议了,也就是数据链路层。
    不过wireshark抓不到包结尾的crc。
    内容有:目的地址,源地址,协议类型。
    还能看到网卡产家,mac地址前三字节。
    协议类型里说了内部使用的协议是什么,一般都是ipv4
    在这里插入图片描述
    IPV4:
    版本号,IP首部长度等IP数据报信息。
    其中还说明IP数据报内使用的协议,这里是UDP,用户数据报协议。
    在这里插入图片描述
    UDP:
    两个端口,长度,校验和,真的是短啊。

    IOCP:QQ使用的协议。

    展开全文
  • wireshark抓包分析——TCP/IP协议

    万次阅读 多人点赞 2018-08-29 09:32:22
    在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓包分析。Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。Wireshark下载安装,略。...

    本文来自网易云社区


    当我们需要跟踪网络有关的信息时,经常会说“抓包”。这里抓包究竟是什么?抓到的包又能分析出什么?在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓包分析。

    Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。

    Wireshark下载安装,略。注意,若在Windows系统安装Wireshark,安装成功后可能会出现Wireshark的两个图标,一个是Wireshark(中文版);另外一个是Wireshark Legacy (英文版)。下面的内容会以Wireshark Legacy为例介绍。

    打开Wireshark,开始界面如下:

    201808290919453f89cc82-9690-4099-addc-b44d84acb713.png  

    Wireshark捕获的是网卡的网络包,当机器上有多块网卡的时候,需要先选择网卡。开始界面中的Interface List,即网卡列表,选择我们需要的监控的网卡。点击Capture Options,选择正确的网卡,然后点击"Start"按钮, 开始抓包。

    2018082909200706917650-2573-4c03-bd01-0462e1c625b4.png  

    我们打开浏览器输入任意http网址,连接再关闭,比如:http://blog.csdn.net。然后,我们回到Wireshark界面,点击左上角的停止按键。查看此时Wireshark的抓包信息。在看抓包信息之前,先简单介绍下Wireshark界面的含义。其中,封包列表的面板中显示编号、时间戳、源地址、目标地址、协议、长度,以及封包信息。

    201808290920260f1a5e4b-8e4f-451d-8994-13764e426f10.png  



    封包详细信息是用来查看协议中的每一个字段。各行信息分别对应TCP/IP协议的不同层级。以下图为例,分别表示:传输层、网络层、数据链路层、物理层,一共四层。如果有应用层数据会显示第五层,即一共会出现五层。

    201808290920377bad3677-03bf-4151-97e7-5d6e09a89bc2.png  

    每一层都有一个字段指向上一层,表明上一层是什么协议。这大概是因为发包的时候会在数据上依次加上应用层、传输层、网络层、链路层的头部,但是对方收到数据包后是从最底层(链路层)开始层层剥去头部解包的,所以在每层上有一个字段指向上层,表明上层的协议,对方就知道下一步该怎么解包了。以TCP/IP协议为例,下图中分别是:IPv4、TCP。由于建立TCP连接用不到应用层协议,所以传输层就没有相应的指明上层(应用层)的字段了。

    2018082909205351047869-4d3c-45f7-b00b-00a7bce465f3.png

    在了解Wireshark界面后,我们来分析TCP协议。这里有很多数据包,我们需要先过滤,添加对应的过滤条件。比如,我添加了目标的ip地址和端口号:tcp and ip.addr==47.95.47.253 and tcp.port==53992,此时获取到的封包列表如下。

    2018082909210415dcc5c2-f999-4b48-a6eb-c02f09655d49.png  


    在此之前,看下TCP/IP报文的格式。

    20180829092121169ae1ab-761a-4861-8a9e-832f840ae973.png  

    根据上述报文格式我们可以将wireshark捕获到的TCP包中的每个字段与之对应起来,更直观地感受一下TCP通信过程。先看三次握手,下图中的3条数据包就是一次TCP建立连接的过程。

    20180829092130d0e2bd9e-7f6c-4a4a-8fad-d09fe445f6fb.png  

    第一次握手,客户端发送一个TCP,标志位为SYN=1,序号seq为Sequence number=0, 53992 -> 80,代表客户端请求建立连接;

    20180829092142452391a5-c140-4467-b2ce-ff0b84e74d44.png  

    第二次握手,服务器向客户端返回一个数据包,SYN=1,ACK=1,80 -> 53992,将确认序号(Acknowledgement Number)设置为客户的序号seq(Sequence number)加1,即0+1=1;

    201808290921493240a120-2f98-4ac0-864e-c5db11c990aa.png  

    第三次握手,客户端收到服务器发来的包后检查确认序号(Acknowledgement Number)是否正确,即第一次发送的序号seq加1(X+1= 0+1=1)。以及标志位ACK是否为1。若正确,客户端会再向服务器端发送一个数据包,SYN=0,ACK=1,确认序号(Acknowledgement Number)=Y+1=0+1=1,并且把服务器发来ACK的序号seq(Sequence number)加1发送给对方,发送序号seq为X+1= 0+1=1。客户端收到后确认序号值与ACK=1,53992 -> 80,至此,一次TCP连接就此建立,可以传送数据了。


    20180829092202fba5f063-758d-4963-b95e-dd50d5f821f5.png  

    还可以通过直接看标志位查看三次握手的数据包,如下图所示,第一个数据包标志位【SYN】,这是第一次握手;第二个数据包标志位【SYN,ACK】,这是第二次握手;第三个数据包标志位【ACK】,这是第三次握手。

    20180829092217b3c30db8-50f8-408c-8e5f-fb7f36fcd22c.png

    在三次握手的三个数据包之后,第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

    2018082909222318fe4621-6c39-4e2f-b06a-2bb77e0a609d.png  

    再往下看其他数据包,会发现存在大量的TCP segment of a reassembled PDU,字面意思是要重组的协议数据单元(PDU:Protocol Data Unit)的TCP段,这是TCP层收到上层大块报文后分解成段后发出去。

    201808290922459784ed3b-9f61-4188-b155-a0ab2d25d5f1.png  

          每个数据包的Protocol Length都是1502 Byte,这是因为以太网帧的封包格式为:Frame = Ethernet Header + IP Header + TCP Header + TCP Segment Data。即:

    1、Ethernet Header = 14 Byte = Dst Physical Address(6 Byte)+ Src Physical Address(6 Byte)+ Type(2 Byte),以太网帧头以下称之为数据帧。

    2、IP Header = 20 Byte(without options field),数据在IP层称为Datagram,分片称为Fragment。

    3、TCP Header = 20 Byte(without options field),数据在TCP层称为Stream,分段称为Segment(UDP中称为Message)。

    4、TCP Segment Data = 1448 Byte(从下图可见)。

    所以,每个数据包的Protocol Length = 14 Byte + 20 Byte + 20 Byte + 1448 Byte = 1502 Byte。

    201808290923017e9191f2-49c7-4fe0-8dc9-2f702434ace9.png  

          我们再来看四次挥手。TCP断开连接时,会有四次挥手过程,标志位是FIN,我们在封包列表中找到对应位置,理论上应该找到4个数据包,但我试了好几次,实际只抓到3个数据包。查了相关资料,说是因为服务器端在给客户端传回的过程中,将两个连续发送的包进行了合并。因此下面会按照合并后的三次挥手解释,若有错误之处请指出。

    20180829092314c82f2801-d5ad-4ae3-9620-e7c470e08cb3.png  

    第一次挥手:客户端给服务器发送TCP包,用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1,序号seq=X=2242,确认序号ack=Z=17602,53992 -> 80;

    201808290923262ac1ab41-dbb6-4f55-bb7e-671194b52cb7.png  

    第二次挥手:服务器收到FIN后,服务器关闭与客户端的连接,发回一个FIN和ACK(标志位FIN=1,ACK=1),确认序号ack为收到的序号加1,即X=X+1=2243。序号seq为收到的确认序号=Z=17602,80 -> 53992;

    201808290923395482c33b-c1bc-4442-81be-5c5826f572c5.png  

    第三次挥手:客户端收到服务器发送的FIN之后,发回ACK确认(标志位ACK=1),确认序号为收到的序号加1,即Y+1=17603。序号为收到的确认序号X=2243,53992 -> 80。

    201808290923559759f633-e235-47b1-990f-3d42d41a2246.png  

          至此,整个TCP通信过程已经介绍完毕。

          附:TCP通信过程:

    20180829092404d235a095-0627-42c0-8812-62a4d3e4a8c3.jpg



    原文:wireshark抓包分析——TCP/IP协议

    网易云新用户大礼包:https://www.163yun.com/gift

    本文来自网易云社区,经作者李莉授权发布。

     


    相关文章:
    【推荐】 nej+regular环境使用es6的低成本方案

    展开全文
  • 计算机网络Wireshark抓包实操

    千次阅读 2020-12-23 13:01:54
    计算机网络分层Wireshark抓包分析实操一、Wireshark简介二、实操内容(一)数据链路层 一、Wireshark简介 Wireshark常用于网络通信的抓包分析,通过抓取通信过程中的数据包,分析其中所携带的信息,进一步了解网络...
  • wireshark抓包实验

    2020-12-21 17:36:52
    Wireshark抓包 数据链路层 所用软件: Wireshark 实作一 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等 问题 你会发现 Wireshark 展现给我们的帧...
  • WireShark抓包分析

    万次阅读 多人点赞 2017-01-14 14:24:20
    简述:本文介绍了抓包数据含义,有TCP报文、Http报文、DNS报文。如有错误,欢迎指正。 1、TCP报文 TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以...
  • Wireshark抓包数据分析

    2020-12-22 11:06:08
    Wireshark抓包数据分析 准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 设置数据包的过滤 跟踪数据流 ???? 参考 1、...
  • Wireshark抓包工具使用以及数据包分析

    万次阅读 多人点赞 2017-07-06 11:06:31
    打开Wireshark抓包工具开始抓包会看到如下展开内容: 这里我是对wlan进行抓包,192.168.2.112是我当前wifi的ip地址。点击某个包,可以查看具体内容,差不多刚好对于五层协议: Frame:物理层的数据帧概况。 ...
  • Wireshark抓包实验

    2020-12-22 23:40:32
    使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 因为有时校验和会由网卡计算,这时...
  • IP Header:Wireshark抓包解析

    千次阅读 2019-04-21 23:16:31
    一、IP Header 二、wireshark抓包 三、资料 IPv4 Specification PDF资料下载见本人资源,资源名称:IPv4_Specification-rfc791
  • wireshark抓包分析IP数据报

    千次阅读 2020-06-23 15:26:21
    本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析 话不多说,直接上图 wireshark抓包分析 版本:占4位,Version 4(IPv4),指IP协议的版本 首部:占4位,可表示最大十进制数是15(1111),...
  • 1. 以太头:8字节目的MAC地址 + 8字节源MAC地址 + 4字节VLAN头(2字节type:...#define ETHER_TYPE_IPv4 0x0800 /* IPv4 Protocol. */ #define ETHER_TYPE_IPv6 0x86DD /* IPv6 Protocol. */ #define ETHER_TYPE_ARP 0x.
  • Wireshark抓包实验验证

    2020-11-09 20:15:00
    使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 答:这是因为有时校验和会由网卡计算,...
  • wireshark抓包

    2016-05-17 09:10:00
    Wireshark数据抓包教程之认识捕获分析数据包 认识Wireshark捕获数据包 当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据...
  • Wireshark抓包常见问题解析

    千次阅读 2017-07-02 12:20:36
    Wireshark抓包常见问题解析
  • Wireshark抓包工具

    2019-07-29 12:56:01
    Wireshark模块介绍 一.窗口简介 [外链图片转存失败(img-Za1asmbN-1564376042795)(https://github.com/coder-kk596/md_img/blob/master/wireshark_img/屏幕快照 2019-07-14 下午6.47.31.png?raw=true)] 二.过滤器使用...
  • Wireshark抓包学习

    2020-12-22 22:23:20
    文章目录所用软件数据链路层操作一操作一相关问题操作二操作二相关问题操作三操作三相关问题...如果需要抓包某一特定的操作,例如,我要访问百度,即可打开Cmder(功能与windows下的自带命令行工具Cmd一样,输入如下命令
  • Wireshark抓包——ICMP协议分析

    万次阅读 多人点赞 2019-04-29 21:33:09
    内容:使用Wireshark抓包,分析较简单的数据包。 环境:Windows 7,Wireshark。 ping是用来测试网络连通性的命令。 一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应...
  • Wireshark抓包iOS入门教程

    千次阅读 2017-06-22 13:31:57
    网络抓包是个基础技能,对于网络协议的掌握有一定的要求。iOS上实现网络抓包可以用Charles(针对http和https),...之前写过一篇介绍tcpdump抓包的入门文章,和tcpdump相比,Wireshark提供丰富的GUI交互,而且能
  • wireshark抓包分析

    2017-08-26 21:42:40
    简介wireshark是一款操作简单,容易上手的网络抓包分析软件。百度可直接下载汉化版。玩了一下午,先后对本校财务处网站,QQ等进行抓包,写几点心得与大家分享一下。 ps、抓包无非是对tcp/ip五层协议进行分析,所以...
  • 实验一 wireshark抓包工具使用 班级 xxx 实验环境 Win10 Pro 1709(64位) 姓名 xxx 软件版本 Wireshark 3.2.4(64位) 学号 xxx 一、实验目的 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能...
  • Wireshark抓包分析

    2021-03-01 08:42:15
    颜色与上述帧格式的相互对应,数据根据类型(08 00)可以确定是IPv4,即之后是一个IP数据包。 2.IP数据报 在这里选取重要的进行标记。 根据协议(06代表TCP协议),说明下面是TCP报文段 3.TCP报文段 针对那6位...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,452
精华内容 1,780
关键字:

wireshark抓包ipv4