网络安全:WireShark 抓包及常用协议分析

这篇具有很好参考价值的文章主要介绍了网络安全:WireShark 抓包及常用协议分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

WireShark 抓包及常用协议分析

网络安全:WireShark 抓包及常用协议分析打开kali终端进入wireshark
网络安全:WireShark 抓包及常用协议分析进入到wireshark点击选项

网络安全:WireShark 抓包及常用协议分析勾选选项混杂模式开始抓包
网络安全:WireShark 抓包及常用协议分析
进入终端打开火狐,打开百度进行抓包

网络安全:WireShark 抓包及常用协议分析网络安全:WireShark 抓包及常用协议分析这时我们抓到了很多类型的数据包

网络安全:WireShark 抓包及常用协议分析上方的过滤器可以指定类型数据宝或者指定源地址目标地址等等,例如现在抓取arp协议的数据包

网络安全:WireShark 抓包及常用协议分析我们ping一个地址
网络安全:WireShark 抓包及常用协议分析我们可以用语法对源地址和目标地址进行过滤,ip.src_host代表源地址,ip.dst_host代表目标地址

网络安全:WireShark 抓包及常用协议分析

使用 WireShark 对常用协议抓包并分析原理

1.ARP

地址解析协议 是一个解析网络层地址来找寻数据链路层地址的网络传输协议,ARP通过网络地址来定位MAC地址

开始过滤arp

网络安全:WireShark 抓包及常用协议分析我们用nmap来基于arp协议进行扫描

网络安全:WireShark 抓包及常用协议分析回到wireshark中我们选择第一个抓到的arp协议数据包进行分析

网络安全:WireShark 抓包及常用协议分析
1.Address Resolution Protocol (request) //ARP地址解析协议 request请求包

2.Harfware type:Ethernet (1) //硬件类型

3.Protocol type:IPv4 (0x0800) //协议类型

4.Hardware size:6 //硬件地址

5.Protocol size:4 //协议长度

6.Opcode:request (1) //操作码 1表示请求包

7.Sender MAC address:VMware_91:59:6a (00:0c:29:91:59:6a) //源MAC地址

8.Sender IP address:192.168.91.132 //源IP地址

9.Target MAC address:00:00:00_00:00:00 (00:00:00_00:00:00) //目标MAC地址

10.Target IP address:192.168.91.2 //目标IP地址

下面分析下一个ARP应答数据包

网络安全:WireShark 抓包及常用协议分析
1.Address Resolution Protocol (reply) //ARP地址解析协议 reply回复包

2.Harfware type:Ethernet (1) //硬件类型

3.Protocol type:IPv4 (0x0800) //协议类型

4.Hardware size:6 //硬件地址

5.Protocol size:4 //协议长度

6.Opcode:request (2) //操作码 2表示回复包

7.Sender MAC address:VMware_ff:2a:74 (00:50:56:ff:2a:74) //源MAC地址

8.Sender IP address:192.168.91.2 //源IP地址

9.Target MAC address:VMware_91:59:6a (00:0c:29:91:59:6a) //目标MAC地址

10.Target IP address:192.168.91.132 //目标IP地址

网络安全:WireShark 抓包及常用协议分析通过图片很好理解,192.168.91.132发出广播发出arp请求,请求192.168.91.2的MAC地址,然后192.168.91.2收到请求后,回复给192.168.91.132自己的MAC地址

2.ICMP

ping一个IP地址,然后过滤ICMP协议的数据包

网络安全:WireShark 抓包及常用协议分析
网络安全:WireShark 抓包及常用协议分析网络安全:WireShark 抓包及常用协议分析1.Type:8
//协议类型8
2.Code:0
//代码0 表示回显请求(ping请求)
3.Checksum: 0xb151 [correct]
//检验和 用于检查错误数据
4.[Checksum Status: Good]
//检验状态 Good
5.Identifier (BE): 34896 (0x8850)

6.Identifier (LE): 20616 (0x5088)
//ID值 在应答包中返回该字段
7.Sequence Number (BE): 1 (0x0001)

8.Sequence Number (LE): 256 (0x0100)
//序列号依旧在应答包中返回该字段
9.Response frame:4
//响应帧的序列号:7
10.Data (48 bytes)
//填充数据 共48字节

网络安全:WireShark 抓包及常用协议分析应答包同理

3.tcp

模拟tcp会话建立,简单的方式就是利用Xshell远程连接kali,就会捕获到tcp的三次握手

网络安全:WireShark 抓包及常用协议分析
网络安全:WireShark 抓包及常用协议分析
下面我们分析TCP的数据包
TCP协议的核心概念无非就是三次握手四次挥手,我们先来看三次握手

网络安全:WireShark 抓包及常用协议分析1.Source Port: 49164
//源端口
2.Destination Port: 22
//目的端口
3.Sequence Number: 0 (relative sequence number)
//序列号
4.Sequence Number (raw): 328436414
[Next Sequence Number: 1 (relative sequence number)]
//确认序列号
5.1000 . . . . =Header Length: 32 bytes (8)
//头部长度
6.Flags: 0x002 (SYN)
//标志位SYN
7.Window: 64240
//windows窗口大小
8.Checksum: 0xddd4 [unverified]
[Checksum Status: unverified]
//校验和

打开标志位查看详细信息

网络安全:WireShark 抓包及常用协议分析从以上信息可以看出这是一个SYN数据包,SYN=1 表示发送一个链接请求,这时seq和ACK都为0

第二个数据包

网络安全:WireShark 抓包及常用协议分析不同的是序列号 seq=0 ACK=1

标志位SYN/ACK 表示这是TCP三次握手的第二个数据包

网络安全:WireShark 抓包及常用协议分析服务端收到SYN连接请求返回数据包SYN=1,ACK=1 表示回应第一个包

下面看第三个数据包

网络安全:WireShark 抓包及常用协议分析可以看到seq=1 等于上一帧的确认序列号

网络安全:WireShark 抓包及常用协议分析ACK=1 确认序列号有效
这样三次握手的过程就结束了
我们可以生成一个图表来观察数据交互的过程

网络安全:WireShark 抓包及常用协议分析点击流量图

网络安全:WireShark 抓包及常用协议分析灰色的那三个就是三次握手
我们清空一下数据包看一下断开链接时什么样的过程

网络安全:WireShark 抓包及常用协议分析找到最下面灰色的部分

网络安全:WireShark 抓包及常用协议分析这时我们直接来看流量图更直观一些

网络安全:WireShark 抓包及常用协议分析

我们分析一下过程,我们在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的
Server 端向客户端发起关闭链接请求。
第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入
FIN_WAIT_1 状态
第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 进行确认,确认序号
为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 CLOSE_WAIT 状态。
第三次挥手:客户端发送 [FIN+ACK] 给对方,表示自己没有数据要发送了,客户端进入
LAST_ACK 状态,然后直接断开 TCP 会话的连接,释放相应的资源。

第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 TIMED_WAIT 状态,并发送 ACK 确认消
息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的
ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的
ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。

4.HTTP

直接过滤TCP协议,因为HTTP协议是TCP的上层协议

网络安全:WireShark 抓包及常用协议分析
网络安全:WireShark 抓包及常用协议分析前面三个和后面四个是tcp的三次握手四次挥手,中间的4到7是http请求部分

网络安全:WireShark 抓包及常用协议分析第一步:我们我们发送了一个 HTTP 的 HEAD 请求
第二步:服务器收到我们的请求返回了一个 Seq/ACK 进行确认
第三步:服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200 表示页面正常
第四步:客户端收到服务器返回的头部信息向服务器发送 Seq/ACK 进行确认
发送完成之后客户端就会发送 FIN/ACK 来进行关闭链接的请求文章来源地址https://www.toymoban.com/news/detail-400536.html

到了这里,关于网络安全:WireShark 抓包及常用协议分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全 | 网络协议】结合Wireshark讲解IP协议

    当我们进行数据传输时,操作系统会创建一个 ICMP Echo Request 数据包,并在该数据包中包含要发送的目标 IP 地址。然后操作系统将数据包传递给网络协议栈,该数据包被封装成 IP 数据包。IP 数据包的头部包含源 IP 地址和目标 IP 地址等信息。封装后的 IP 数据包被传递到数据链

    2024年02月03日
    浏览(46)
  • 【网络安全 | 网络协议】结合Wireshark讲解TCP三次握手

    TCP(传输控制协议)是一种面向连接的、可靠的传输层协议。在建立 TCP 连接时,需要进行三次握手,防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输,确保双方都能够正常通信。 TCP三次握手在Wireshark数据包中是如何体现的?在此之前,先熟悉TCP三次握手的流程。

    2024年02月03日
    浏览(50)
  • 【网络技术】【Kali Linux】Wireshark嗅探(九)安全HTTP协议(HTTPS协议)

    本次实验是基于之前的实验:Wireshark嗅探(七)(HTTP协议)进行的。本次实验使用Wireshark流量分析工具进行网络嗅探,旨在初步了解安全的HTTP协议(HTTPS协议)的工作原理。 HTTPS的含义是HTTP + SSL,即使用SSL(安全套接字)协议对通信数据进行加密。HTTP和HTTPS协议的区别(用

    2024年01月20日
    浏览(52)
  • Wireshark抓包及DNS报文分析

    Wireshark抓包及DNS报文分析 来来来,点我进行5分钟视频学习,冲冲冲 一、抓包整体描述 第一行,帧Frame 2 指的是要发送的数据块,其中,所抓帧的序号为2,捕获字节数等于传送字节数:696字节。 第二行,以太网,有线局域网技术,是数据链路层。源Mac地址为00e04c3639fa;目标

    2023年04月08日
    浏览(50)
  • 网络安全:常用协议

    Ethernet(以太网)是一种计算机网络协议,用于在局域网中传输数据。它是最常用的有线局域网技术之一,采用CSMA/CD(载波侦听多路访问/冲突检测)技术来解决网络冲突的问题。 Ethernet协议定义了物理层和数据链路层的规范,它包括以下几个方面: 物理层规范 Ethernet使用同

    2024年02月05日
    浏览(32)
  • 「 网络安全常用术语解读 」安全自动化协议SCAP详解

    本文主要介绍什么是SCAP,SCAP的产生背景是怎样的,SCAP有什么用途,有哪些组件,各个组件的用途是什么? 由于计算机和网络技术的快速发展,越来越多的软件和系统被应用到企业和机构中,这些软件和系统的安全问题也日益凸显。传统的安全措施,如防火墙、入侵检测等,

    2024年01月23日
    浏览(42)
  • 用Wireshark抓包分析协议 计算机网络

    此篇博客记录使用Wireshark抓包分析协议。 目录 一、DNS 二、分析TCP握手过程 三、TLS报文 四、HTTP协议 五、SMTP 六、ARP 七、RTP 八、RTMP        DNS是域名系统,Domain Name System的缩写,是基于TCP/IP的一个服务。DNS是将主机名到IP地址转换的目录服务。DNS是:①一个由分层的DNS服务

    2024年02月09日
    浏览(46)
  • Wireshark分析--SMB2协议包及hashcat爆破

    目录 【概述】 【Wireshark分析】 【smb-hash爆破】 1、构造hash文件 2、通过hashcat爆破 SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用

    2024年02月11日
    浏览(39)
  • wireshark流量分析网络安全

    目录  前言: 题目1: 题目2: 题目3: 题目4: 题目5: 题目6: 题目7: 题目8: 这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!  从靶机服务器的FTP上下载wireshark0051.pcap数

    2024年02月11日
    浏览(42)
  • wireshark网络安全流量分析基础

    网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。  Wireshark对pcap包分析过程中常用的功能基本上包

    2024年02月12日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包