wireshark

0x00 简介

wireshark是一款强大的协议分析软件
可以对网络数据包进行细致入微地分析，显示出数据包的详细内容。
强大之处

1. 支持大量的协议
2. 界面简洁，并且容易上手
3. 开源
   注:
4. 官网:wireshark
5. 官方提供的wiki:wiki
6. 官网提供的pcap:pcap

1. 官网:
https://www.wireshark.org
2. 官方提供的wiki:
https://wiki.wireshark.org
3. 官网提供的pcap:
https://wiki.wireshark.org/SampleCaptures

---

0x01 TCP/IP模型的分类

TCP/IP模型中包含了4层，每一层包含一系列对应的协议。

第一层：应用层

这层直接和用户及其他的网络协议进行互动。
这一层的重点在于将数据通过用户可以理解的方式呈现给用户。
举例:

1. HTTP:超文本传输协议
2. FTP:文件传输协议
3. SNMP:简单网络管理协议
4. SMTP:简单邮件传输协议
5. DNS:域名服务

第二层：运输层

创建两台主机通信时使用的套接字，在两台设备之间创建出一条独立连接。
举例：

1. TCP: 传输控制协议(可靠协议)
2. UDP:用户数据报协议(不可靠通信协议)

第三层：网络层

关注重点：数据往返传输。
举例：

1. IP:互联网协议
2. IGMP:Internet 组管理协议
3. ICMP:Internet控制报文协议

第四层：链路层

信息的比特数据如何在物理线缆中进行传输

1. ARP:地址解析协议
   作用：将MAC地址解析为IP地址

2. PPP:点到点协议

   
   TCP/IP协议族中不同层次的协议.jpg

---

0x02 工作方式

1.收集
2.转换
3.分析

1.收集

抓取网络数据包有很多不同的方法。管理员可以根据不同的需求，将其部署在不同的网络位置上

1. 基于集线器的网络

解决方案：
因为集线器会将所有的数据包广播到它们所在的整个网络中。
所以集线器网络的性能会下降

2. 交换环境

解决方案
1）端口镜像技术
2）插拔的方式(用集线器连接交换机)
3）arp毒化(中间人)
在传输信息的双方之间冒充另一台设备。

---

0x03 界面介绍

wireshark界面

6大部分

1. 菜单栏
2. 主工具栏(使用频率最高的几个选项构成)
   所有选项可以在菜单栏中找到
3. 数据包列表面板(wireshark抓取的数据包)
4. 数据包详细信息面板(数据包的各层协议)
5. 字节面板(十六进制和对应的ASCII码内容)
6. 状态栏(显示一些详细信息)

---

0x04 练习题：(仅供参考)

1.TCP/IP模型分为多少层？它们的名称分别是什么？
答：四层 应用层 传输层 互联网层 链路层
2.TCP/IP模型中的哪一层负责处理二层地址
答：链路层
3.链路层还有一个名字是什么？
答：网络接口层
4.HTTP协议使用的是TCP还是UDP
答：TCP
5.IP、ICMP、和(IGMP)属于互联网层的协议
答：IGMP:Internet 组管理协议
ICMP:Internet控制报文协议
6.ARP是三层协议
答：ARP:地址解析协议
答：链路层协议
7.TCP协议是否采用了三次握手的通信建立方式？
答：是
8.端口镜像技术只能通过交换机实现
答：访问设备：路由器/交换机
9.拔插设别的方式是用同一台路由器来将同一个网络中的PC隔离开
答：不是
10.TCP是可靠通信协议
答：是
11.哪个面板会以十六进制和ASCII码的形式显示我们抓取的数据包？
答：字节面板