wireshark-协议分析【初见】(NBNS协议,SSDP协议、IGMPv2)

这篇具有很好参考价值的文章主要介绍了wireshark-协议分析【初见】(NBNS协议,SSDP协议、IGMPv2)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

写在前面

win7:192.168.2.150(00-0c-29-CF-D3-0F)
kali:192.168.2.120(00:0c:29:e7:1c:e5)

(均使用的vmware虚拟机平台)

该系列并不会太关注wireshark的用法,重点关注协议交换时数据包的情况。

需要注意的是,一开始工作时,选好需要捕获流量的网卡。默认情况下会捕获所有网卡(带混杂模式)的流量,数据包会非常多
ssdp协议,协议分析,wireshark,网络,linux,网络安全,网络协议
简单介绍一下混杂模式,混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包。默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。简单的讲,混杂模式就是指网卡能接受所有通过它的数据流,不管是什么格式,什么地址的。事实上,计算机收到数据包后,由网络层进行判断,确定是递交上层(传输层),还是丢弃,还是递交下层(数据链路层、MAC子层)转发。

网卡的混杂模式是为网络分析而提供的。

另:内网著名协议会简单介绍,而重点的FTP、HTTP、HTTPS等协议会精确到字节进行详细介绍。部分思路借鉴于《wireshark网络分析就这么简单》–人民邮电出版社

初见

直接对使用网卡进行混杂模式捕获,会有哪些经常出现的协议呢?

SSDP协议

ssdp协议,协议分析,wireshark,网络,linux,网络安全,网络协议
静置一会,SSDP是非常容易出现的一种协议

SSDP(Simple Service Discovery Protocol)
简单服务发现协议,用于发现局域网里面的设备和服务。
SSDP消息分为设备查询消息、设备通知消息两种,通常情况下,使用更多地是设备查询消息。

一般格式如下

M-SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
MAN: "ssdp:discover"
MX: 5
ST: ssdp:all

第一行 消息头,固定;
第二行 HOST对应的是广播地址和端口,239.255.255.250是默认SSDP广播ip地址,1900是默认的SSDP端口;
第三行 MAN后面的ssdp:discover为固定
第四行 MX为最长等待时间,
第五行 ST:查询目标,它的值可以是:
upnp:rootdevice 仅搜索网络中的根设备
uuid:device-UUID 查询UUID标识的设备
urn:schemas-upnp-org:device:device-Type:version 查询device-Type字段指定的设备类型,设备类型和版本由UPNP组织定义。
其中,第三种一般可以用来自定义设备,如:ST: urn:schemas-upnp-org:device:Server:1

在设备接收到查询请求并且查询类型(ST字段值)与此设备匹配时,设备必须向多播地址239.255.255.250:1900回应响应消息。一般形如:

HTTP/1.1 200 OK
CACHE-CONTROL: max-age = seconds until advertisement expires
DATE: when reponse was generated
EXT:
LOCATION: URL for UPnP description for root device
SERVER: OS/Version UPNP/1.0 product/version
ST: search target
USN: advertisement UUID

详细数据

ssdp协议,协议分析,wireshark,网络,linux,网络安全,网络协议
在这里,ST的目标为 InternatGatewayDevice:1

出现在这里的原因,是因为这台主机在内网中,需要upnp端口映射才能连上公网,这是用于监听网关的流量进入内网的侦测包。(upnp端口映射技术正会用到这个协议,后面还会看见的)

NBNS

NBNS是NetBIOS的一种,全名为NetBIOS Name service。简单来说就是将NetBIOS名称映射到IP地址上,需要一个查询和应答。也是一般在内网工作

这里不做详细展开,并不是这节的重点。

详细数据

直接查看详细数据
ssdp协议,协议分析,wireshark,网络,linux,网络安全,网络协议
这里是在查询名为GOD的域控制器ip,出现这个的原因是因为该win7主机被加入了GOD的域中,所以会查询域控ip

IGMPv2

IGMP是大名鼎鼎的Internet组管理协议,总共有v1、v2、v3三个版本。v2报文格式如下:
ssdp协议,协议分析,wireshark,网络,linux,网络安全,网络协议
分为以下四种报文类型:

1.成员关系查询(membership query)
IGMPv2定义了两种成员关系查询报文的子类型:常规查询(General Query)报文及特定组查询(Group-Specific Query)报文。

常规查询:IGMP查询器使用该报文向直连网段进行查询,以确认该网段中是否存在组播组成员。由于该报文查询的是所有组播组,因此也被称为普遍组查询报文。常规查询报文的目的IP地址为224.0.0.1(标识所有组播节点)。

特定组查询:运行IGMPv2的主机在离开其所加入的组播组时,会主动发送一个IGMPv2离组报文,用于宣告自己离开组播组,当网络中的查询器收到这个离组报文后,需要确认该组播组中是否存在其他成员,此时该查询器便会发送特定组查询报文,该报文只针对特定的组播组进行查询,报文的目的IP地址为其所查询的组播组地址,而且报文载荷中的“组地址”字段也记录了这个组播组地址。

2.成员关系报告(membership report)

当主机加入组播组时,或者当其收到查询器发送的常规查询报文时,主机将发送成员关系报告报文,该报文的目的IP地址是主机所加入的组播组地址,而且报文载荷中的“组地址”字段也记录了该组播组地址。

3.离组报文(leave group)

IGMPv2在IGMPv1的基础上增加了离组报文,当主机离开其所加入的组播组时,便会主动发送离组报文。离组报文的目的IP地址为224.0.0.2(标识所有组播路由器),报文载荷中的“组地址”字段记录了主机所要离开的组播组地址。

4.版本1成员关系报告(version1 membership report)
该报文用于兼容IGMPv1,报文中的类型字段值是0x12。

详细数据

ssdp协议,协议分析,wireshark,网络,linux,网络安全,网络协议
这里就是一个主机向路由器报告加入组别,类型值为0x16,源IP地址为自己主机的IP地址(192.168.2.144),目的IP地址为组播地址(224.0.0.252)。文章来源地址https://www.toymoban.com/news/detail-787456.html

到了这里,关于wireshark-协议分析【初见】(NBNS协议,SSDP协议、IGMPv2)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 6.3.6 利用Wireshark进行协议分析(六)----网页提取过程的协议分析

    6.3.6 利用Wireshark进行协议分析(六)----网页提取过程的协议分析 利用Wireshark捕获网页访问过程中产生的应用协议报文,还原Web服务中报文的交互过程,为了防止网页直接从本地缓存中获取,我们首先需要清空浏览器保存的历史记录或者数据,具体操作步骤如下 清空浏览器保

    2024年02月16日
    浏览(51)
  • Wireshark抓包分析IP协议

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「专栏简介」: 此文章已录入专栏《计算机网络零基础快速入门》 试验目的:抓包分析IP协议的传输过程和数据分片 操作系统:Windows 10 企业版 抓包工具:W

    2024年02月06日
    浏览(47)
  • Wireshark抓包分析ICMP协议

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 分析目的:分析ICMP协议的数据格式、报文类型及作用。 操作系统:Windows

    2024年02月08日
    浏览(38)
  • 使用Wireshark抓包分析TCP协议

    wireshark数据包详细栏每个字段对应的分层。 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP三次握手示意图 第一次握手 :客户端向服务器发

    2023年04月13日
    浏览(42)
  • Wireshark数据抓包分析之传输层协议(TCP协议)

            通过使用wireshark对TCP协议的数据包的抓取分析TCP协议的具体内容         1.需要了解TCP协议的三次握手过程         2.需要了解TCP协议的四次挥手的过程 part1:3次握手和4次挥手的数据包的获取 1.通过使用TCP测试工具在机器一中创建服务器,并且进行相应的配置,然

    2024年02月11日
    浏览(36)
  • Wireshark抓包分析之ICMP协议包

    一、 Wireshark简介:(前身为Ethereal,2006年改名为wireshark) Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark 使用 WinPCAP 作为接口,直接与网卡进行数据报文交换。 (一) 功能:可用于网络流量捕获

    2024年02月08日
    浏览(40)
  • IP协议及数据包之Wireshark分析

    IP协议介绍 IP 地址是 IP 协议提供的一种统一的地址格式。它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP 地址分为 IPv4(IP 协议的第四版)和 IPv6(IP 协议第六版)两大类。目前,最广泛使用的是 IPv4。在该版本中规定,该地址是由

    2024年02月07日
    浏览(39)
  • Wireshark数据抓包分析之互联网协议(IP协议)

            通过wireshark抓包分析IP协议的具体内容         1.IP地址存在的意义,就是为了弥补mac地址的不足,用于区分不同的网络         2.还有一些ip协议、ip数据包这些东西 part1:数据包的抓取 1.抓取发往www.baidu.com的ip数据包,略,因为虚拟机无法联网,这里桌面有现成的

    2024年02月11日
    浏览(46)
  • Wireshark数据抓包分析之ARP协议

            通过wireshark的数据抓包了解这个ARP协议的具体内容         1.Address Resolution Protocol协议,就是通过目标IP的值,获取到目标的mac地址的一个协议         2.ARP协议的详细工作过程,下面描述得非常清晰:          3.关于上面提到的ARP缓存表这个东西: (1)首先,这里

    2024年02月11日
    浏览(45)
  • 计算机网络实验(二):Wireshark网络协议分析

    HTTP协议分析   1.超文本传输协议(Hypertext Transfer Protocol, HTTP)是万维网(World Wide Web)的传输机制,允许浏览器通过连接Web服务器浏览网页。目前在大多数组织中,HTTP流量在网络中所占的比率是最高的。每一次使用Google搜索、连接Twitter、发一条微博,或者在ESPN上查看肯塔基

    2024年01月15日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包