zoukankan      html  css  js  c++  java

  • Wireshark抓包理论加实操

    题记

            其实说起wireshark有些丢人,我本科网络工程的,wireshark却不怎么会用,所以前来补课。以前学的是科来,wireshark基本处于听说过看过没有实操过的状况。下面内容是我看大神文章操作的,前半部分是理论,后面是实操。

    简介

            wireshark是非常流行的网络封包分析工具,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。

            为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

            wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark。

    1、抓包过程

    开始界面

            wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

            点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮,开始抓包。

            可以看到只有一个网卡在走流量。

    Wireshark窗口介绍

    2、WireShark 主要分为这几个界面

            1> Display Filter(显示过滤器), 用于过滤

            2> Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表信息不同

            3> Packet Details Pane(封包详细信息), 显示封包中的字段

            4> Dissector Pane(16进制数据)

            5> Miscellanous(地址栏,杂项)

    显示过滤器

            使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向,过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种:一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录,一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。

    封包列表(Packet List Pane)

            封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。你也可以修改这些显示颜色的规则, View ->Coloring Rules。

    封包详细信息 (Packet Details Pane)

            这个面板是我们最重要的,用来查看协议中的每一个字段。各行信息分别为:

            Frame:物理层的数据帧概况;

            Ethernet II: 数据链路层以太网帧头部信息;

            Internet Protocol Version 4: 互联网层IP包头部信息;

            Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP;

            Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议;

            Wireshark与对应的OSI七层模型:

            TCP包的具体内容:

    3、TCP三次握手过程

            这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。打开wireshark,,打开浏览器输入网址过滤后选中HTTP/1.1的记录,右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图:

    实操分析

            其实在理论写完之前,我就已经抓完包了,网络基础会个差不多的话,这是相通的,看一眼就知道差不多了。也和我学过python有关系,当时学python其中的scapy模块把我折磨透了,这也是数据包相关的一个强大的工具。所以我一看ip.dst==210.44.176.42就是目标ip。

            首先我找到一个网站分析我的本机与他的交互过程,这个网站我选为http://210.44.176.42/biye/

            这是一个大学的毕业设计综合管理系统的登录页面,页面如下图。

            图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

            这时候在网站提交账号密码,可以看到post数据包。

    参考链接

            Wireshark抓包详解:http://blog.csdn.net/hebbely/article/details/54136475?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.control
  • 相关阅读:
    HDU 4379 水题,大水,但我WA了很多次,做了很久
    HDU 1712分组背包 考试复习安排
    所谓的二维背包Triangular Pastures POJ 1948
    ZOJ 1203 Swordfish Kruskal算法求最小生成树
    POJ 2576 Tug of War二维背包恰好装满.
    O(n*m)复杂度的多重背包coinsPOJ 1742
    拓扑排序POJ 1094
    页面右键下拉表
    gb2312 unicode转换工具
    INPUT读出URL里的变量名称
  • 原文地址:https://www.cnblogs.com/sunny11/p/14392006.html
Copyright © 2011-2022 走看看