zoukankan      html  css  js  c++  java
  • wireshark工具使用详解以及Tcp三次握手抓包解析

    概述
    今天学习了下抓包工作的使用,写个文档记录下笔记总结。

    Wireshark介绍
    wireshark是非常流行的网络封包分析软件,可以截取各种网络封包,显示网络封包的详细信息。

    wireshark用处:

            wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

    Wireshark窗口介绍
     

    Wireshark主要分为这几个界面

    1 Display Filter(显示过滤器), 用于过滤

    2 Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址、端口号。

    3 Packet Details Pane(封包详细信息),显示封包中的字段

    4 Dissector Pane(16进制数据)

    5 Miscellanous(地址栏等其他)

    wireshark两种过滤器
    过滤器有:捕捉过滤器和显示过滤器

    常用的过滤表达式
    1协议过滤:

    HTTP、TCP、UDP、rtsp、rtp等等

    2 IP过滤

    ip.src == 192.168.1. 100显示源地址为192.168.1.100

    ip.dst == 192.168.1.200 显示目标地址为192.168.1.200

    3 端口过滤

    tcp.port == 80 端口为80的

    tcp.srcport== 80 只显示tcp协议的源端口为80的

    udp.port eq 15000 udp端口为15000

    tcp.port >= 1 and tcp.port <= 80 过滤端口范围

    4 HTTP模式过滤

    http.request.method == “Get” 只显示端口范围

    5逻辑运算符为 AND / OR ,&& / ||

    捕捉过滤器(CaptureFilters)
       1.用于决定将什么样的信息记录在捕捉结果中

       2.捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据

       3.捕捉过滤器仅支持协议过滤

    捕捉过滤器: 捕捉前依据协议的相关信息进行过滤设置

    捕捉过滤器语法

    Protocol(协议):

    可能值: ip、arp、rarp、tcp、udp、smtp、http、ftp、dns、icmp、…

    Direction(方向):

    可能值: stc、dst、src and dst、src or dst

    如果没有指明方向,则默认使用“src or dst”作为关键字

    “host 10.2.2.2”与“src or dst host 10.2.2.2”等价

    Host(s):

    可能值: net、port、host、portrange

    Logical Operations(逻辑运算):

    可能只: not、and、 or

    显示过滤器(DisplayFilters)
       1.用于在捕捉结果中进行详细查找

       2.用于过滤抓包数据,方便stream的追踪和排查

       3.显示过滤器既支持协议过滤也支持内容过滤

    显示过滤器:对捕捉到的数据包依据协议或包的内容进行过滤

    协议过滤语法
     

    例如:http.request.method == "POST" string1和string2是可选的。

    依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。

    按协议进行过滤:

    snmp || dns || icmp 显示SNMP或DNS或ICMP封包。

    按协议的属性值进行过滤:

    ip.addr == 10.1.1.1 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

    ip.src == 10.230.0.0/16 显示来自10.230网段的封包。

    tcp.port == 25 显示来源或目的TCP端口号为25的封包。

    tcp.dstport == 25 显示目的TCP端口号为25的封包。

    http.request.method== "POST" 显示post请求方式的http封包。

    http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包。

    tcp.flags.syn == 0X02 显示包含TCP SYN标志的封包。

    内容过滤语法
    深度字符串匹配

    tcp contains "http"

    显示payload中包含"http"字符串的tcp封包。

    http.request.uri contains "online"

    显示请求的uri包含"online"的http封包。

    特定偏移处值的过滤

    tcp[20:3] == 47:45:54

     /* 16进制形式,tcp头部一般是20字节,

    所以这个是对payload的前三个字节进行过滤 */

    http.host[0:4] == "trac"

    包长度过滤
    udp.length == 26 

    这个长度是指udp本身固定长度8加上udp下面那块数据包之和

    tcp.len >= 7   

    指的是ip数据包(tcp下面那块数据),不包括tcp本身

    ip.len == 94 

    除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

    frame.len == 119 

    整个数据包长度,从eth开始到最后

    过滤实例
    mac过滤 IP过滤
    Mac 过滤

    eth.dst == A0:00:00:04:C5:84
    eth.src eq A0:00:00:04:C5:84
    eth.dst==A0:00:00:04:C5:84
    eth.dst==A0-00-00-04-C5-84
    IP过滤

    ip.addr == 10.43.54.65
    // 常用的研究两者间的通信
    ip.addr== 192.168.8.54 || ip.addr== 112.80.248.74
    ip.src == 10.43.54.65 or ip.dst == 10.43.54.65

    tcp和udp过滤
    tcp.port == 80
    tcp.port eq 80 or udp.port eq 80
    tcp.port eq 25 or icmp
    tcp.port >= 1 and tcp.port <= 80
    tcp.window_size == 0 && tcp.flags.reset != 1
    udp.length == 26
    tcp类型和内容:
    tcp[13] & 0×00 = 0: No flags set (null scan)
    tcp[13] & 0×01 = 1: FIN set and ACK not set
    tcp[13] & 0×03 = 3: SYN set and FIN set
    tcp[13] & 0×05 = 5: RST set and FIN set
    tcp[13] & 0×06 = 6: SYN set and RST set
    tcp[13] & 0×08 = 8: PSH set and ACK not set

    http过滤示例
    http.request.method == “GET”

    http.request.method == “POST”

    http.request.uri == “/img/logo-edu.gif”

    http.host == party.syyx.com
    http.response.code == 404
    http.content_type contains "javascript"

    http contains “GET”


    http.request.method == "GET" && http contains "Host: "
    http.request.method == "GET" && http contains "User-Agent: "
    http.request.method == "POST" && http contains "Host: "
    http.request.method == "POST" && http contains "User-Agent: "
    http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
    http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "

    以下内容摘抄自: http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

    封包列表(Packet List Pane)
    封包列表的面板中显示: 编号、时间戳、源地址、目标地址、协议、长度、以及封包信息,不同的协议用了不同的颜色显示,也可以自己修改这些显示的颜色规则, view->coloring Rules。封标列表如下图所示

    封包详细信息(Packet Details pane)
    这个面板是我们最重要的。 用来查看协议中的每一个字段,各行信息如下

    Frame: 物理层的数据帧概括

    Ethernet ll : 数据链路层以太网帧头部信息

    Internet Protocol Version 4 : 互联网层IP包头部信息

    Transmission Control protocol: 传输层T的数据头部信息,此处是TCP

    Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

    Wireshark与对应的OSI七层模型


    TCP包具体内容
    从下图可以看到wireshark捕获到的TCP包中的每个字段。

      

    实例分析TCP三次握手过程
     
    TCP报文格式 

    下面是TCP报文格式图


    上图中有几个字段需要重点介绍下:

    1、序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记。
    2、确认序号:Ack序号,占32位,只有ACK标志位为1时,确认序号字段才有效(Ack=Seq+1)。
    3、标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN等,具体含义如下:
    (A)URG:紧急指针(urgent pointer)有效。
    (B)ACK:确认序号有效。
    (C)PSH:接收方应该尽快将这个报文交给应用层。
    (D)RST:重置连接。
    (E)SYN:发起一个新连接。
    (F)FIN:释放一个连接。
    需要注意的是:
    (A)不要将确认序号Ack与标志位中的ACK搞混了。
    (B)确认方的Ack=发起方的Seq+1,两端配对。

    三次握手过程为
     

    这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

    打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao

    在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

    这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的

    第一次握手数据包
    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

    第二次握手的数据包
    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1,如下图

    第三次握手的数据包
    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图:

     
    ---------------------
    作者:奋斗Andy
    来源:CSDN
    原文:https://blog.csdn.net/Andy_93/article/details/78220656
    版权声明:本文为博主原创文章,转载请附上博文链接!

  • 相关阅读:
    Python MySQL(SQL语句的补充3)
    Python MySQL(pymysql的使用day1)
    Python MySQL(SQL语句的补充2)
    Python MySQL(对外键使用方法的补充)
    Python MySQL(学习SQL语句)
    Python MySQL数据库的基本使用
    关于http响应内容压缩的一点小积累。
    同一账号,后一用户登录,前一个用户则被踢掉
    对序列化的学习。
    MySQL 函数积累
  • 原文地址:https://www.cnblogs.com/lnn123/p/10569885.html
Copyright © 2011-2022 走看看