精华内容
下载资源
问答
  • wireshark实战

    2015-12-31 22:43:05
    还不错的一本书 wireshark很有帮助
  • wireshark实战分析

    2017-01-23 17:07:25
    wireshark
  • wireshark实战笔记之ICMP分析ICMP基础知识概述:ICMP功能ICMP报文格式各字段说明ICMP大概分为两类报文:wireshark实战分析 ICMP基础知识 概述: ICMP,全称为Internet Control Message Protocol,即为因特网控制报文...

    ICMP基础知识

    概述:

    ICMP,全称为Internet Control Message Protocol,即为因特网控制报文协议。
    ICMP既不是网络层协议,也不是传输层协议,但是通常ICMP被认为是IP层的一部分,所以一般把他归为网络层。
    一个新搭建好的网络,往往需要先进行一个简单的测试,来验证网络是否畅通;但是IP协议并不提供可靠传输。如果丢包了,IP协议并不能通知传输层是否丢包以及丢包的原因。
    所以我们就需要一种协议来完成这样的功能–ICMP协议。

    ICMP功能

    1. 确认IP包是否成功到达目标地址
    2. 通知在发送过程中IP包被丢弃的原因
      如下图所示:

    ICMP报文格式

    CMP报文包含在IP数据报中,IP报头在ICMP报文的最前面。一个ICMP报文包括IP报头(至少20字节)、ICMP报头(至少八字节)和ICMP报文(属于ICMP报文的数据部分)。当IP报头中的协议字段值为1时,就说明这是一个ICMP报文。ICMP报头如下图所示。
    在这里插入图片描述

    各字段说明

    类型: 占一字节,标识ICMP报文的类型,目前已定义了14种,从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文,第2类是取值128以上的信息报文。
    代码: 占一字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。
    校验和: 这是对包括ICMP报文数据部分在内的整个ICMP数据报的校验和,以检验报文在传输过程中是否出现了差错。其计算方法与在我们介绍IP报头中的校验和计算方法是一样的。
    标识: 占两字节,用于标识本ICMP进程,但仅适用于回显请求和应答ICMP报文,对于目标不可达ICMP报文和超时ICMP报文等,该字段的值为0。

    ICMP大概分为两类报文:

    一类是通知出错原因 ;一类是用于诊断查询
    类型及含义如下:
    在这里插入图片描述

    wireshark实战分析

    我们使用ping命令来抓包分析ICMP。
    在这里插入图片描述
    ping命令的功能
    (1)能验证网络的连通性
    (2)会统计响应时间和TTL(IP包中的Time To Live,生存周期)
    那么如何验证的呢?
    (1)ping命令会先发送一个 ICMP Echo Request给对端
    (2)对端接收到之后, 会返回一个ICMP Echo Reply
    (3)若没有返回,就是超时了,会认为指定的网络地址不存在。

    如图:
    捕获到了request包和reply包,在Windows下要验证四次,所以有四次request和reply。
    在这里插入图片描述
    下面查看详细信息:
    首先需要强调的是,在分析ICMP数据包的时候,我们需要重点关注的是ICMP头部的Type以及Code的内容。Type表示ICMP消息基于RFC规范的类型或分类。Code表示ICMP消息基于RFC规范的子类型。

    看一下第一个数据包,它显示了主机192.168.1.105在给192.168.1.100发送数据包。ICMP头部中的Type的值是8,Code值是0,说明这是一个echo请求数据包,Wireshark已经帮我们解析出来了。其实这是一个简单的ICMP数据包,使用IP发送,所包含的数据很少。除了指定的类型、代码以及校验和,这里还有序列号用于匹配请求和响应,并且在可变域中包含有一串随机字符串。

    在这里插入图片描述
    并且Response frame显示274,意思是request的reply包是274.

    接下来我们再分析一下第二个数据包:

    在这里插入图片描述
    这个数据包是对我们请求的响应。在它的ICMP头部中,类型和代码的值都是0,表示这是一个echo响应。由于第二个数据包的序列号和第一个数据包可以相匹配,于是就可以确定它和第一个数据包是对应的。并且还可以发现,在Data的部分,这个数据包有着和第一个数据包相同的字符内容。当这个数据包被成功接收后,ping就成功了。

    参考资料:
    https://www.bilibili.com/video/BV1fE411Q7xY?p=4&t=8
    https://www.sogou.com/link?url=hedJjaC291OV7dVab-QfvHtdr0qpeLU_X7a-SF81GfLn364rbmARnA…

    展开全文
  • wireshark实战-flag被盗溯源

    千次阅读 多人点赞 2020-04-10 11:50:34
    wireshark实战-flag被盗溯源一,中国菜刀数据包制作1.中国菜刀工具2.劫持http数据包二、分析数据包方法一:三、相关预告 相关文章链接: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 wireshark 捕获过滤器...

    在这里插入图片描述
    相关文章链接:

    1. 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解
    2. wireshark 捕获过滤器入门进阶 - CaptureFilters

    一,中国菜刀数据包制作

    1.中国菜刀工具

    中国菜刀工具可以移步官网下载

    2.劫持http数据包

    官网有详细教程,使用靶机制作,我们这里主要介绍wireshark,我这里使用一个CTF比赛提供的一个数据包,点击下载

    二、分析过程

    1. 打开数据包过滤http
      在这里插入图片描述
    2. 追踪tcp流
      在这里插入图片描述
      在这里插入图片描述
      #这里能看到flag值,不确定能不能在这里直接获取,有大佬知道可以告诉我一下
    3. 找到最后一个200ok页面
      在这里插入图片描述
      在这里插入图片描述
      4.如图解压后就可以看到flag值了
      在这里插入图片描述

    三、相关预告

    将持续更新CTF分析题目 ,使用wireshark,进一步提升wireshark使用技巧和实战网络分析能力

    展开全文
  • Wireshark实战分析之TCP协议(二) (1)TCP首部格式    源端口: 用来传输数据报的端口  目标端口: 数据包将要发送到的端口  序号: 用来表示一个TCP片段。这个值用来表示数据流中的部分...

    Wireshark实战分析之TCP协议(二)

    (1)TCP首部格式

             

              源端口:   用来传输数据报的端口

              目标端口: 数据包将要发送到的端口

              序号:      用来表示一个TCP片段。这个值用来表示数据流中的部分数据没有丢失

              确认号:  表示通信中希望从另一个设备得到的下一个数据包的序号

              数据偏移: 表示此块数据在整块数据中的偏移

              保留: 包括Reserved, Nonce, CWR和ECN-Echo,共6个比特位

              标记:用来表示所传输的TCP数据包类型。该字段中可用的标记包括URG, ACK, PSH, RST,    SYN, FIN

              窗口: TCP接受者缓冲区的大小

              检验和: 用来保证TCP首部和数据部分的完整性

             紧急指针: 如果设置了URG位,这个值将被检查作为额外的指令

             选项: 各种可选的域,可以在TCP数据包中进行指定


             上面提到了TCP传输时,可用的标记有URG, ACK, PSH, RST, SYN, FIN。 下面分别介绍这几个标记

             URG:    紧急标志。此标志表示TCP包的紧急指针域有效,用来保证TCP连接补被中断。

             ACK:     确认标志。此标志表示应答域有效。1表示应答域有效,0表示无效

             PSH:    此标志表示Push操作,所谓Push操作就是指在数据包到达接收端以后,立刻传送到应用程序,而不在缓冲区排队。

             RST:    该标志表示连接复位请求。

             SYN:    表示同步序号,用来建立连接。SYN标志位和ACK标志位搭配使用。当连接请求时SYN=1, ACK=0。 当连接被响应的时候,SYN=1, ACK=1.

             FIN:     表示发送端已经达到数据的末尾,也就是说双方的数据传输完成,没有数据可以传输了。此时发送FIN标志位的TCP数据包后,连接将被断开。

    (2) 捕获TCP数据包

           

            上图是捕获的TCP数据包。接下来对三次握手和四次挥手做详细说明

    (3) 第一次握手(分析461帧)

            

             从以上的分析可以看出,客户端向服务器发送请求建立连接,当前的序列号为0。

    (4)第二次握手(分析462帧)

           

          从第二次的分析可以看到,服务器收到客户端的请求建立连接后,发送给客户端确定包(ACK=1)已经请求建立(SYN=1),当前的序列号为0,并且希望下一次的系列号为1.

    (5)第三次握手(分析463帧)

           

          当第三次握手成功后,客户端和服务端就可以建立连接了,就可以传输数据了。

          可能这部分有点不好懂,我建议大家实际操作分析,并结合下图分析

          


    展开全文
  • 接上篇文章《wireshark实战笔记的ICMP分析》 路由跟踪tracert概述路由跟踪原理(tracert)实验实验一 windows下同一个路由器下的路由跟踪(一跳)实验二 Windows下 多跳的路由跟踪如何才算到达了目的地址: 概述 路由...
  • Wireshark实战经验

    千次阅读 2016-05-23 21:58:04
    精英总是狠狠地吸了一口烟,再慢慢地吐出来:用Wireshark !!! 我很迷茫:什么是Wireshark ? 精英的脸隐藏在烟雾之后,悠悠的说:神器一样存在的东西。 于是开始接触Wireshark的一些功能,深深的被它的强大所...
  • tcpdump与wireshark实战

    2021-05-08 01:10:33
    加油整理中。。。
  • Wireshark实战之局域网监听

    万次阅读 2017-09-24 11:03:54
    直接上手网络工程师的最爱Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包. 第二交换机镜像端口,在路由或者交换机...
  • wireshaek实战中理解ARP协议ARP协议概述:MAC 地址 与 IP地址获取目的端的MAC地址(在一个以太网中)步骤如下:ARP协议工作原理wireshark实验观察ARP过程一、ARP表中已有缓存二.arp表为空的情况,目的地址为本网段 ...
  • WireShark实战笔记之TCP三次握手

    千次阅读 2021-04-04 12:30:06
    1.打开wireshark,开始过滤;浏览器中访问www.baidu.com。 2.过滤出http 3.选中其中一条,右键点击选中 追踪流 > tcp流; 会得到如下图: 可以发现,这时候已经截获到了tcp三次握手的包,三次握手成功后,第四...
  • 【理论课程FTP协议与NFS协议】 实验目的 1、NFS协议的应用范围 ??文件读写的时候? 2、NFS挂载操作的原理 整个协议,与文件的读写有什么关联?...5、学习使用Wireshark分析NFS的方法 **【请忽略以上脑残问题...
  • 实验目的:查看客户端向DHCP服务器请求IP过程。实验资料:实验拓扑:实验步骤:...3、在客户端上使用命令ipconfig -renew获取IP,从而查看wireshark捕获数据结果,客户端获得IP,同时wireshark抓取得四个DHCP交流包:...
  • 详细了解DNS报文格式:http://c.biancheng.net/view/6457.html WireSahrk分析DNS协议 实验环境: Windows10 WireShark 实验指令: ping www.baidu.com wireshark捕获dns包 这里捕获到四个DNS包,但是前三个dns包...
  • WireShark分析 1.Wireshark 过滤http 2.随便访问一个网址 3.开始分析 《post和get的区别》https://www.runoob.com/tags/html-httpmethods.html 分析POST方法: 向指定的资源提交要被处理的数据。 post的请求 1.选中...
  • 端口镜像system-vies //进入配置模式用户名:admin密码:admin(默认)[H3C]dis cu int 查看所有端口的配置[H3C] exit //退出...注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。2号窗口...
  • wireshark实战之捣乱的ISAKMP协议

    千次阅读 2019-03-27 23:47:38
    今天通过openvpn+xshell远程访问...于是用wireshark在自己的电脑和同事的电脑上抓了数据包对比。 同事电脑上的抓包显示经过tcp三次握手后正常的建立了连接,但是我的电脑上却诡异的出现了一个叫ISAKMP协议在从原地...
  • wireshark实战之局域网抓包分析

    千次阅读 2018-09-04 23:31:00
    Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢? 第一ARP嗅探,劫持网关,再本地抓包. 第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到...
  • 实验目的:查看局域网内二层ARP通讯过程数据包,从而明白arp缓存表的形成过程。实验资料:实验拓扑:实验步骤:1、检查C3客户端的ARP缓存表---有0条ARP,这是因为ARP有老化时间,会把之前使用过的ARP都清除。...
  • TCP协议:传输控制协议 (Transmission Control Protocol)为数据提供可靠的端到端传输, 处理数据的顺序和错误恢复, 保证数据能够到达其应到达的地方,TCP分段传输过程中禁止产生IP分片。TCP头· 序号: 发送端的...
  • IP协议IP头对应包中的位置IP分片将一个数据流分为更小的片段,是 IP 用于解决跨越不同类型网络时可靠传输的一个特性。基于第 2 层数据链路协议所使用的最大传输单元 MTU( Maximum Transmission Unit)的大小,默认...
  • Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包.第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到指定...
  • kali-linux渗透测试之wireshark实战

    千次阅读 2019-05-17 20:49:59
    然后我们再用ncat进行加密传输,再用wireshark进行抓包。 开始实验之前我们需要进行一下网络设置: root@kali:~# nc -lp 333 -c bash //开一个接口 在另一台虚拟机上设置抓包的网卡: root@k...
  • Wireshark实战分析之IP协议

    千次阅读 2017-02-27 17:53:01
     在本地主机上ping www.baidu.com,使用wireshark获取数据      (4)先分析29帧,也就是请求帧  选中29帧,查看包的详细信息    (5)分析30帧,也就是回应帧   ...
  • Wireshark实战分析值ICMP协议

    千次阅读 2017-02-27 18:00:31
    (1)什么是ICMP协议?  ICMP(Internet Control Message Protocol)网际报文控制协议,是Internet协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。例如:请求服务不可用,主机不可达。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 622
精华内容 248
关键字:

wireshark实战