美文网首页
WireShark & 网络模型

WireShark & 网络模型

作者: 长毛先生 | 来源:发表于2021-06-09 15:09 被阅读0次

    一、工具和软件链接

    wireshark下载地址如下,假如是win10系统,可能还需要安装另外的win10cap。

    ---wireshark管网   

    ----win10cap

    二、wireshark介绍

       1、首页,选择网卡进入详情界面,主要包括 过滤器、列表、包详情、原始数据、地址栏

    选择使用的网卡 详情界面 设置“我的过滤器” 右边栏可直接使用

    2、过滤器(使用)

    类型 分为两种,一种是 显示过滤器,即界面可见,在已捕获的记录中过滤所需要的记录(操作和设置如下图)

    一种是捕获过滤器,打开Capture -> Capture Filters ,过滤捕获过程的数据包,可以过滤部分记录

        规则:

                     》 协议过滤,TCP/UDP

                      》IP 过滤, ip.src ==192.168.1.1 显示源地址为192.168.1.1的数据,ip.dst==192.168.1.102, 目标地址为192.168.1.1的数据

                      》端口过滤,tcp.port ==80,  端口为80的tcp.srcport == 80,  过滤并只显示TCP协议的源端口为80的数据。

                       》Http模式过滤,http.request.method=="GET",   过滤并只显示GET方法的数据。

    3、列表(解析)

    对应的七层模型和数据详情如图

    网络模型对应 数据类型

    4、时间显示(使用)

    wireshark分析,对于列表时间戳调整。调整方法为View -->Time Display Format --> Date and Time of Day

    三、3次握手模型

               借助 wireshark抓包,能简单的理解和看到三次握手整个过程。

    三次握手模型 抓包

    step1,客户端处于SYN_SENT状态,发送Syn 请求消息给Server端,SYN标志位置为1,和分配好的U32的整型Seq号(随时间产生的一个随机值,一般每4ms加1),另外还有最大报文段长度MSS,表示tcp到对端的最大数据块长度。

    step1

    step2,服务端收到Syn请求,进入SYN_RCVD状态,并返回Ack消息给客户端,表示已经收到SYN消息并通过了确认。反馈含两部分内容,一是回复客户端的Syn消息,包括ACK=1,Seq号则等于客户端的发来的Syn消息的Seq数值+1,另一部分是主动发送Sever端的Syn消息给Client,Seq号码是Server端上面对应的序列号,Syn标志位也会设置成1,MSS表示的是Server这一端的最大数据块长度。

    step2

    step3,回到客户端,在收到服务端的应答之后,客户端的状态从SYN_SENT变成ESTABLISHED,并再次发消息给服务端,表示链接成功,客户端端回复ACK消息给服务端,包括ACK状态被设置为1,Seq号码被设置成Server端的序列号+1,同时客户端也将包内容发给服务端。最后,服务端进入ESTABLISHED状态,端到端连接建立成功,服务端和客户端可以相互提醒,TCP的全双工连接建立完成。

    step3

    相关文章

      网友评论

          本文标题:WireShark & 网络模型

          本文链接:https://www.haomeiwen.com/subject/huljeltx.html