-
wireshark实战
2015-12-31 22:43:05还不错的一本书 wireshark很有帮助 -
wireshark实战分析
2017-01-23 17:07:25wireshark -
wireshark实战笔记之ICMP分析
2021-04-03 14:20:14wireshark实战笔记之ICMP分析ICMP基础知识概述:ICMP功能ICMP报文格式各字段说明ICMP大概分为两类报文:wireshark实战分析 ICMP基础知识 概述: ICMP,全称为Internet Control Message Protocol,即为因特网控制报文...展开全文wireshark实战笔记之ICMP分析
ICMP基础知识
概述:
ICMP,全称为Internet Control Message Protocol,即为因特网控制报文协议。
ICMP既不是网络层协议,也不是传输层协议,但是通常ICMP被认为是IP层的一部分,所以一般把他归为网络层。
一个新搭建好的网络,往往需要先进行一个简单的测试,来验证网络是否畅通;但是IP协议并不提供可靠传输。如果丢包了,IP协议并不能通知传输层是否丢包以及丢包的原因。
所以我们就需要一种协议来完成这样的功能–ICMP协议。ICMP功能
- 确认IP包是否成功到达目标地址
- 通知在发送过程中IP包被丢弃的原因
如下图所示:
ICMP报文格式
CMP报文包含在IP数据报中,IP报头在ICMP报文的最前面。一个ICMP报文包括IP报头(至少20字节)、ICMP报头(至少八字节)和ICMP报文(属于ICMP报文的数据部分)。当IP报头中的协议字段值为1时,就说明这是一个ICMP报文。ICMP报头如下图所示。
各字段说明
类型: 占一字节,标识ICMP报文的类型,目前已定义了14种,从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文,第2类是取值128以上的信息报文。
代码: 占一字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。
校验和: 这是对包括ICMP报文数据部分在内的整个ICMP数据报的校验和,以检验报文在传输过程中是否出现了差错。其计算方法与在我们介绍IP报头中的校验和计算方法是一样的。
标识: 占两字节,用于标识本ICMP进程,但仅适用于回显请求和应答ICMP报文,对于目标不可达ICMP报文和超时ICMP报文等,该字段的值为0。ICMP大概分为两类报文:
一类是通知出错原因 ;一类是用于诊断查询
类型及含义如下:
wireshark实战分析
我们使用ping命令来抓包分析ICMP。
ping命令的功能
(1)能验证网络的连通性
(2)会统计响应时间和TTL(IP包中的Time To Live,生存周期)
那么如何验证的呢?
(1)ping命令会先发送一个 ICMP Echo Request给对端
(2)对端接收到之后, 会返回一个ICMP Echo Reply
(3)若没有返回,就是超时了,会认为指定的网络地址不存在。如图:
捕获到了request包和reply包,在Windows下要验证四次,所以有四次request和reply。
下面查看详细信息:
首先需要强调的是,在分析ICMP数据包的时候,我们需要重点关注的是ICMP头部的Type以及Code的内容。Type表示ICMP消息基于RFC规范的类型或分类。Code表示ICMP消息基于RFC规范的子类型。看一下第一个数据包,它显示了主机192.168.1.105在给192.168.1.100发送数据包。ICMP头部中的Type的值是8,Code值是0,说明这是一个echo请求数据包,Wireshark已经帮我们解析出来了。其实这是一个简单的ICMP数据包,使用IP发送,所包含的数据很少。除了指定的类型、代码以及校验和,这里还有序列号用于匹配请求和响应,并且在可变域中包含有一串随机字符串。
并且Response frame显示274,意思是request的reply包是274.接下来我们再分析一下第二个数据包:
这个数据包是对我们请求的响应。在它的ICMP头部中,类型和代码的值都是0,表示这是一个echo响应。由于第二个数据包的序列号和第一个数据包可以相匹配,于是就可以确定它和第一个数据包是对应的。并且还可以发现,在Data的部分,这个数据包有着和第一个数据包相同的字符内容。当这个数据包被成功接收后,ping就成功了。参考资料:
https://www.bilibili.com/video/BV1fE411Q7xY?p=4&t=8
https://www.sogou.com/link?url=hedJjaC291OV7dVab-QfvHtdr0qpeLU_X7a-SF81GfLn364rbmARnA…
-
wireshark实战-flag被盗溯源
2020-04-10 11:50:34wireshark实战-flag被盗溯源一,中国菜刀数据包制作1.中国菜刀工具2.劫持http数据包二、分析数据包方法一:三、相关预告 相关文章链接: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 wireshark 捕获过滤器...展开全文wireshark实战-flag被盗溯源
相关文章链接:一,中国菜刀数据包制作
1.中国菜刀工具
2.劫持http数据包
官网有详细教程,使用靶机制作,我们这里主要介绍wireshark,我这里使用一个CTF比赛提供的一个数据包,点击下载
二、分析过程
- 打开数据包过滤http
- 追踪tcp流
#这里能看到flag值,不确定能不能在这里直接获取,有大佬知道可以告诉我一下 - 找到最后一个200ok页面
4.如图解压后就可以看到flag值了
三、相关预告
将持续更新CTF分析题目 ,使用wireshark,进一步提升wireshark使用技巧和实战网络分析能力
- 打开数据包过滤http
-
wireshark实战篇(网站汇总)
2019-06-29 20:59:06使用WireShark进行网络数据包丢包分析 ... wireshark实战之局域网抓包分析 https://www.cnblogs.com/-wenli/p/9589256.html 一文搞定tcpdump基本用法 https://blog.csdn.net/chi...展开全文使用WireShark进行网络数据包丢包分析
https://blog.csdn.net/qq_28948353/article/details/82015745
wireshark实战之局域网抓包分析
https://www.cnblogs.com/-wenli/p/9589256.html
一文搞定tcpdump基本用法
https://blog.csdn.net/chinaltx/article/details/87469933
Linux tcpdump抓包命令详解
https://blog.csdn.net/chenlycly/article/details/76358358
PCAP 抓包
https://www.cnblogs.com/lvdongjie/p/4064574.html
pcap文件格式和wireshark解析
https://www.cnblogs.com/inns/p/6611136.html
Shell特殊变量:Shell $0, $#, $*, $@, $?, $$和命令行参数
https://www.cnblogs.com/davygeek/p/5670212.html
-
Wireshark实战分析之TCP协议
2017-11-13 16:34:16Wireshark实战分析之TCP协议(二) (1)TCP首部格式 源端口: 用来传输数据报的端口 目标端口: 数据包将要发送到的端口 序号: 用来表示一个TCP片段。这个值用来表示数据流中的部分...展开全文Wireshark实战分析之TCP协议(二)
(1)TCP首部格式
源端口: 用来传输数据报的端口
目标端口: 数据包将要发送到的端口
序号: 用来表示一个TCP片段。这个值用来表示数据流中的部分数据没有丢失
确认号: 表示通信中希望从另一个设备得到的下一个数据包的序号
数据偏移: 表示此块数据在整块数据中的偏移
保留: 包括Reserved, Nonce, CWR和ECN-Echo,共6个比特位
标记:用来表示所传输的TCP数据包类型。该字段中可用的标记包括URG, ACK, PSH, RST, SYN, FIN
窗口: TCP接受者缓冲区的大小
检验和: 用来保证TCP首部和数据部分的完整性
紧急指针: 如果设置了URG位,这个值将被检查作为额外的指令
选项: 各种可选的域,可以在TCP数据包中进行指定
上面提到了TCP传输时,可用的标记有URG, ACK, PSH, RST, SYN, FIN。 下面分别介绍这几个标记
URG: 紧急标志。此标志表示TCP包的紧急指针域有效,用来保证TCP连接补被中断。
ACK: 确认标志。此标志表示应答域有效。1表示应答域有效,0表示无效
PSH: 此标志表示Push操作,所谓Push操作就是指在数据包到达接收端以后,立刻传送到应用程序,而不在缓冲区排队。
RST: 该标志表示连接复位请求。
SYN: 表示同步序号,用来建立连接。SYN标志位和ACK标志位搭配使用。当连接请求时SYN=1, ACK=0。 当连接被响应的时候,SYN=1, ACK=1.
FIN: 表示发送端已经达到数据的末尾,也就是说双方的数据传输完成,没有数据可以传输了。此时发送FIN标志位的TCP数据包后,连接将被断开。
(2) 捕获TCP数据包
上图是捕获的TCP数据包。接下来对三次握手和四次挥手做详细说明
(3) 第一次握手(分析461帧)
从以上的分析可以看出,客户端向服务器发送请求建立连接,当前的序列号为0。
(4)第二次握手(分析462帧)
从第二次的分析可以看到,服务器收到客户端的请求建立连接后,发送给客户端确定包(ACK=1)已经请求建立(SYN=1),当前的序列号为0,并且希望下一次的系列号为1.
(5)第三次握手(分析463帧)
当第三次握手成功后,客户端和服务端就可以建立连接了,就可以传输数据了。
可能这部分有点不好懂,我建议大家实际操作分析,并结合下图分析
-
wireshark实战笔记之路由跟踪(tracert)
2021-04-03 16:44:01接上篇文章《wireshark实战笔记的ICMP分析》 路由跟踪tracert概述路由跟踪原理(tracert)实验实验一 windows下同一个路由器下的路由跟踪(一跳)实验二 Windows下 多跳的路由跟踪如何才算到达了目的地址: 概述 路由... -
Wireshark实战经验
2016-05-23 21:58:04精英总是狠狠地吸了一口烟,再慢慢地吐出来:用Wireshark !!! 我很迷茫:什么是Wireshark ? 精英的脸隐藏在烟雾之后,悠悠的说:神器一样存在的东西。 于是开始接触Wireshark的一些功能,深深的被它的强大所... -
tcpdump与wireshark实战
2021-05-08 01:10:33加油整理中。。。 -
Wireshark实战之局域网监听
2017-09-24 11:03:54直接上手网络工程师的最爱Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包. 第二交换机镜像端口,在路由或者交换机... -
wireshark实战笔记-理解ARP协议
2021-04-02 10:18:16wireshaek实战中理解ARP协议ARP协议概述:MAC 地址 与 IP地址获取目的端的MAC地址(在一个以太网中)步骤如下:ARP协议工作原理wireshark实验观察ARP过程一、ARP表中已有缓存二.arp表为空的情况,目的地址为本网段 ... -
WireShark实战笔记之TCP三次握手
2021-04-04 12:30:061.打开wireshark,开始过滤;浏览器中访问www.baidu.com。 2.过滤出http 3.选中其中一条,右键点击选中 追踪流 > tcp流; 会得到如下图: 可以发现,这时候已经截获到了tcp三次握手的包,三次握手成功后,第四... -
NFS协议分析——wireshark实战
2019-01-31 10:53:00【理论课程FTP协议与NFS协议】 实验目的 1、NFS协议的应用范围 ??文件读写的时候? 2、NFS挂载操作的原理 整个协议,与文件的读写有什么关联?...5、学习使用Wireshark分析NFS的方法 **【请忽略以上脑残问题... -
wireshark筛选dhcp包_wireshark实战之:dhcp四次数据包交流过程
2020-12-29 03:10:34实验目的:查看客户端向DHCP服务器请求IP过程。实验资料:实验拓扑:实验步骤:...3、在客户端上使用命令ipconfig -renew获取IP,从而查看wireshark捕获数据结果,客户端获得IP,同时wireshark抓取得四个DHCP交流包:... -
WireShark实战笔记之DNS协议分析
2021-04-03 20:44:37详细了解DNS报文格式:http://c.biancheng.net/view/6457.html WireSahrk分析DNS协议 实验环境: Windows10 WireShark 实验指令: ping www.baidu.com wireshark捕获dns包 这里捕获到四个DNS包,但是前三个dns包... -
WireShark实战笔记之http协议分析
2021-04-04 14:11:00WireShark分析 1.Wireshark 过滤http 2.随便访问一个网址 3.开始分析 《post和get的区别》https://www.runoob.com/tags/html-httpmethods.html 分析POST方法: 向指定的资源提交要被处理的数据。 post的请求 1.选中... -
wireshark设置端口镜像_H3C交换机端口镜像,抓取数据包wireshark实战
2020-12-30 07:45:33端口镜像system-vies //进入配置模式用户名:admin密码:admin(默认)[H3C]dis cu int 查看所有端口的配置[H3C] exit //退出...注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。2号窗口... -
wireshark实战之捣乱的ISAKMP协议
2019-03-27 23:47:38今天通过openvpn+xshell远程访问...于是用wireshark在自己的电脑和同事的电脑上抓了数据包对比。 同事电脑上的抓包显示经过tcp三次握手后正常的建立了连接,但是我的电脑上却诡异的出现了一个叫ISAKMP协议在从原地... -
wireshark实战之局域网抓包分析
2018-09-04 23:31:00Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢? 第一ARP嗅探,劫持网关,再本地抓包. 第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到... -
wireshark实战之:arp通讯
2018-06-11 09:52:49实验目的:查看局域网内二层ARP通讯过程数据包,从而明白arp缓存表的形成过程。实验资料:实验拓扑:实验步骤:1、检查C3客户端的ARP缓存表---有0条ARP,这是因为ARP有老化时间,会把之前使用过的ARP都清除。... -
wireshark实战之:TCP协议
2018-06-08 20:39:03TCP协议:传输控制协议 (Transmission Control Protocol)为数据提供可靠的端到端传输, 处理数据的顺序和错误恢复, 保证数据能够到达其应到达的地方,TCP分段传输过程中禁止产生IP分片。TCP头· 序号: 发送端的... -
wireshark实战之:IP协议
2018-06-08 20:40:52IP协议IP头对应包中的位置IP分片将一个数据流分为更小的片段,是 IP 用于解决跨越不同类型网络时可靠传输的一个特性。基于第 2 层数据链路协议所使用的最大传输单元 MTU( Maximum Transmission Unit)的大小,默认... -
wireshark 抓ps 流_wireshark实战之局域网抓包分析(示例代码)
2021-01-13 03:26:46Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包.第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到指定... -
kali-linux渗透测试之wireshark实战
2019-05-17 20:49:59然后我们再用ncat进行加密传输,再用wireshark进行抓包。 开始实验之前我们需要进行一下网络设置: root@kali:~# nc -lp 333 -c bash //开一个接口 在另一台虚拟机上设置抓包的网卡: root@k... -
Wireshark实战分析之IP协议
2017-02-27 17:53:01在本地主机上ping www.baidu.com,使用wireshark获取数据 (4)先分析29帧,也就是请求帧 选中29帧,查看包的详细信息 (5)分析30帧,也就是回应帧 ... -
Wireshark实战分析值ICMP协议
2017-02-27 18:00:31(1)什么是ICMP协议? ICMP(Internet Control Message Protocol)网际报文控制协议,是Internet协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。例如:请求服务不可用,主机不可达。...
