概述
今天学习了下抓包工作的使用,写个文档记录下笔记总结。
Wireshark介绍
wireshark是非常流行的网络封包分析软件,可以截取各种网络封包,显示网络封包的详细信息。
wireshark用处:
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
Wireshark窗口介绍
http contains “GET”
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
以下内容摘抄自: http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html
封包列表(Packet List Pane)
封包列表的面板中显示: 编号、时间戳、源地址、目标地址、协议、长度、以及封包信息,不同的协议用了不同的颜色显示,也可以自己修改这些显示的颜色规则, view->coloring Rules。封标列表如下图所示
封包详细信息(Packet Details pane)
这个面板是我们最重要的。 用来查看协议中的每一个字段,各行信息如下
Frame: 物理层的数据帧概括
Ethernet ll : 数据链路层以太网帧头部信息
Internet Protocol Version 4 : 互联网层IP包头部信息
Transmission Control protocol: 传输层T的数据头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
Wireshark与对应的OSI七层模型
TCP包具体内容
从下图可以看到wireshark捕获到的TCP包中的每个字段。
实例
分析TCP三次
握手过程
TCP报文格式
下面是TCP报文格式图
上图中有几个字段需要重点介绍下:
1、序号:Seq序号,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行标记。
2、确认序号:Ack序号,占32位,只有ACK标志位为1时,确认序号字段才有效(Ack=Seq+1)。
3、标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN等,具体含义如下:
(A)URG:紧急指针(urgent pointer)有效。
(B)ACK:确认序号有效。
(C)PSH:接收方应该尽快将这个报文交给应用层。
(D)RST:重置连接。
(E)SYN:发起一个新连接。
(F)FIN:释放一个连接。
需要注意的是:
(A)不要将确认序号Ack与标志位中的ACK搞混了。
(B)确认方的Ack=发起方的Seq+1,两端配对。
三次握手过程为
这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。
打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao
在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",
这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的
第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1,如下图
第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图:
京公网安备 11010802041100号