工具使用
- 特点:为了安全,wireshark只能查看封包,而不能修改封包的内容, 或者发送封包。 比如:能获取HTTP,但不能解密HTTPS。
- 平台:支持各种平台,比如各种版本的linux和window。
- 本质: 捕获机器上某一块网卡的网络包:即只有数据经过该网卡才可以捕获!当你设备上有多块网卡的时候,所以第一步选择一个网卡。
一. 历程1: 抓包并 转换编码格式查看内容:
第一步:选择捕获的网卡,并开始
1.png
第二步:过滤抓取的包
2.png
第三步: 分析获取的包--》追踪流
3.png
4.png
注: 对上面操作分析如下:
- 过滤器
两种分类: 显示过滤器 与 捕获过滤器
显示过滤器-》在已经捕获的记录中找到所需要的记录,只影响显示。
捕获过滤器-》用来过滤捕获的封包,以免捕获太多的记录(不符合的包丢掉)。
(1)显示过滤器:协议|IP|端口
* 协议过滤: 比如TCP,只显示TCP协议。
* IP过滤: 比如:src 原地址, dst 目标地址
ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
* 端口过滤 比如:tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
* 常用的运算符:
比较运算符: 数值想等(==) 不相等(!=) 大于(>) 小于(<)
逻辑运算符: and, or, not, xor(异或)
例子:只显示源IP为 X 与 目的IP为s的数据包: Ip.src==x and ip.dst==s -
界面介绍:
11.png
(1)封包列表:
显示列: 编号,时间戳,源地址,目标地址,协议,长度,封包信息。
特点: 不同的协议用不同的颜色显示。
使用举例:右击--》追踪流。
(2)封包详细信息 (不同协议显示不同)
目的: 用来查看协议中的每一个字段。
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 网络层IP包头部信息
注:一搬从上往下,分别为--》物理,链路,网络,传输,应用 五层。
即:对于http的包,通过wireshark可以看到其上面五层额信息。
1)当是TCP协议时,对传输层各字段进行介绍:
22.png
3.HTTP相关
(1)搭建一个http服务器: hfs.exe软件
33.png
(2)访问并抓包
44.png
55.png
66.png
77.png
【a】红色背景字体为HTTP请求,蓝色背景字体为HTTP响应
88.png
http协议=客户机向服务器的请求消息 + 服务器向客户机的响应消息.
状态码:
• 1xx:信息响应类,表示接收到请求并且继续处理
• 2xx:处理成功响应类,表示动作被成功接收、理解和接受
• 3xx:重定向响应类,为了完成指定的动作,必须接受进一步处理
• 4xx:客户端错误,客户请求包含语法错误或者是不能正确执行
• 5xx:服务端错误,服务器不能正确执行一个正确的请求
4.TCP三次握手
111.png
222.png
333.png
444.png
三次握手的三种报文是:SYN,SYN/ACK,ACK。
- ARP报文:
地址解析协议,即ARP,是根据IP地址获取物理地址的一个TCP/IP协议。
功能:主机将ARP请求广播到网络上的所有主机,并接收返回消息,确定目标IP地址的物理地址(MAC),同时将IP地址和硬件地址存入本机ARP缓存中,下次请求时直接查询ARP缓存(保存时间一般小于1分钟)。
最初从PC发出的ARP请求确定IP地址的MAC地址,并从相邻系统收到ARP回复。
网友评论