网络协议与攻击模拟_01winshark工具简介

这篇具有很好参考价值的文章主要介绍了网络协议与攻击模拟_01winshark工具简介。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、TCP/IP协议簇

  • 网络接口层(没有特定的协议)   
    • 物理层:PPPOE宽带拨号(应用场景:宽带拨号,运营商切网过来没有固定IP就需要拨号,家庭带宽一般都采用的是拨号方式)
    • 数据链路层
  • 网络层:IP(v4/v6) ARP(地址解析协议) RARP 、ICMP(internet控制报文协议) IGMP
  • 传输层:TCP(传输控制协议)  UDP(用户数据报协议)
  • 应用层:基于传输层协议的端口,总共0-65535   固定协议端口号0-1023   http-80,https-443
    • DHCP
    • DNS
    • HTTP
    • HTTPS
    • FTP
    • SMTP
    • POP3
    • IMAP
  • 流量抓取工具(winshark)

二、winshark工具简介

1、混杂 and 非混杂

winshark是对主机网卡上的数据流量进行抓取,可以对网卡进行混杂模式和非混杂模式的抓包。

  • 混杂模式:不管目的是否是自己,都接收。
    数据镜像:主机A正常与主机B通信,做数据镜像端口,将F0/0接口镜像到F0/2接口,如果主机C开启混杂模式,就能抓取澳主机A发往主机B的链路流量,反之如果主机C是非混杂模式就会将丢弃该数据。
    wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark
  • 非混杂模式:默认情况下,主机的网卡处于此模式,不会接收目的非自己的数据
    wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

2、winshark软件界面介绍

(1)菜单栏
wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(2)网卡

winshark可以检测到本地的所有网卡

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(3)混杂模式

在菜单栏-捕获->选项进入可以设置混杂模式,默认是开启的。

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

3、抓取数据

(1)流量
wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

  • No 抓取报文的序号
  • time:时间,抓取这个流量耗费的时间
  • Source:源IP地址
  • Destination:目标IP地址
  • Protocol:协议
  • length:数据报文的长度
  • Info:简要信息

(2)数据包

看报文详细内容,通过TCP/IP 五层来展现的。

  • Frame56:物理层封装的信息(很少去看)
  • Ethernet II :二层封装信息 源MAC 目的MAC Type,下面会显示十六进制的消息

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

  • Internet Protocol version 4:网络层数据
  • User Datagram protocol:传输层数据
  • Domain Name System(response):应用层数据

(3)追踪流(用的比较多)

追踪流:

Wireshark的跟踪数据流功能可以将捕获的数据包排好顺序使之容易查看,右键捕获的数据包并选择追踪流,假设选择HTTP流,HTTP流就会在一个单独的窗口中显示。

我们可以注意到窗口中的文字以两种颜色显示,红色用来标明从源地址前往目标地址的流量,而蓝色用来区分从目标地址到源地址的流量。以访问www.xiaodi8.com为例。

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

其中黑底红字的报文是错误报文,根据winshark菜单栏视图->着色规则可知,是Bad TCP

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(4)自定义显示的列

我们想快速看报文的某些字段信息,就可以设置应用为列。例如想看报文的Type类型,可以直接右击Ethernet II里面的Type,选择应用为列。

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(5)自定义Time列

菜单栏视图->日期时间格式下有很多显示时间的格式,我们可以根据场景来选择显示时间的格式。例如当我们发现某个报文有问题时,可以设置时间格式为日期和时间从而追溯到这个报文是在哪个时间点发的。

  • 日期和时间

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

  • 自从上一显示分组经过的秒数

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

  • 自捕获开始经过的秒数:

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

  • 设置参考时间

针对某一个报文也可以设置参考时间,选中报文,右击,设置/取消设置时间参考,下面报文Time显示的就是针对上面报文的间隔时间。
wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(6)、名称解析

默认显示Source和Destination都是IP地址的方式,可以设置成名称的显示方式

可以看到MAC地址默认是做了名称解析的,一个MAC地址前24位由厂商来代替,后面24位是厂商的序列号。

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wiresharkwireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

勾选网络地址和端口的名称显示后,抓包数据信息就会显示域名和端口,443就直接解析成了https

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wiresharkwireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

 4、过滤器

(1)两种过滤器

  • 捕获过滤器:在抓包之前先进行过滤(只抓取某种类型的数据包)

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

  • 显示过滤器:抓包前抓包后都可以进行过滤,但是不会影响抓取的包

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(2)过滤器语法

    A    捕获过滤器语法

  • 类型:host net  port
  • 方向:src dst
  • 协议:ether ip tcp udp http ftp……
  • 逻辑运算:&&与、 || 或  、!非
  • 举个栗子:
    • 抓取源地址是本机且目的端口是80的数据流量
      src host 192.168.2.16 && dst port 80
    • 抓取IP地址为192.168.2.16 或者192.168.2.1
      host 192.168.2.16 || 192.168.2.1
    • 不抓广播报文
      ! broadcast
    • 抓取源IP为192.168.2.16或者192.168.2.0/24,目的TCP端口号在200到10000之间,并且目的位于47.0.0.0/8的数据流量。
      (src host 192.168.2.16 || src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net 47.0.0.0/8)

    B    显示过滤器语法

  • 比较操作符:== (eq)      !=(neq)  >大于(gt)  <小于(lt)    >=大于等于(ge)  <=小于等于(le)
  • IP地址过滤:ip.addr    ip.host    ip.dst
  • 端口过滤:tcp.port       udp.port        tcp.dstport       tcp.flag.syn   tcp.flag.ack
  • 协议过滤:arp   ip   icmp   udp  tcp   http
  • 举个栗子
    • 显示源IP为192.168.2.16并且tcp端口为443
      ip.src ==192.168.2.16 and tcp.port==443
    • 显示源不为192.168.2.16或者目的不为47.75.212.155的
      ip.src!=192.168.2.16 or ip.dst!=47.75.212.155

 三、案例 

1、实验要求

开启winshark抓包,抓取所有的报文

过滤DNS的报文,找到对应的域名解析报文

根据DNS返回的IP地址,找到主机与服务器的TCP交互过程

找到客户机请求服务器的HTTP报文, 追踪HTTP流情况

2、实验过程

(1)关掉已打开的网页

(2)刷新DNS缓存

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(3)精确查找

过滤DNS,Ctrl+N,输入域名精确查找

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark(4)定位请求/响应报文 

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

(5)找目标IP地址

响应报文Answer中会显示目标IP地址为47.75.212.155
wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark

 (6)追踪流分析

如果访问的是https的网站,报文中protocol字段就是TLS,追踪流追踪到的就是加密的内容,看不到网页响应源码。

wireshark抓包,哪些是有效数据,安全与运维,网络协议,抓包工具,wireshark文章来源地址https://www.toymoban.com/news/detail-815926.html

到了这里,关于网络协议与攻击模拟_01winshark工具简介的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络协议与攻击模拟-05-ICMP协议

    1、理解 ICMP 协议 2、理解 ICMP 重定向 3、会使用 wireshark 分析 ICMP 重定向流量实验 1、 ICMP 协议 Internet 控制报文协议,用于在 IP 主机、路由器之间传递控制消息,控制消息指网络通不通、主机是否可达、路由是否可用等等. ICMP 是属于网络层的协议,封装在传输层与网络层之间

    2024年02月03日
    浏览(60)
  • 网络协议与攻击模拟_08DHCP协议

    技术学习要了解某项技术能干什么?它的详细内容?发展走向? dhcp动态主机配置协议,广泛应用于局域网内部  主要是为客户机提供TCP/IP 参数(IP地址、子网掩码、网关、DNS等) 减少管理员的工作量 避免输入错误 避免IP冲突 提高IP地址的利用 dhcp是应用层的协议,是基于传

    2024年01月25日
    浏览(42)
  • 网络协议与攻击模拟-17-DNS协议-报文格式

    客户机想要访问www.baidu.com,根据自己的 TCP / IP 参数,向自己的首选 DNS 服务器发送 DNS 请求 首选 DNS 收到客户机的请求后,会去查询自己的区域文件,找不到www.baidu.com的 IP 地址信息(将请求转发到根域服务器,需要配置根提示);直接可以找到www.baidu.com的 IP 地址信息(直接

    2024年02月16日
    浏览(137)
  • 网络协议与攻击模拟_04ICMP协议与ICMP重定向

    ICMP协议是网络层协议, 利用ICMP协议可以实现网络中监听服务和拒绝服务,如 ICMP重定向的攻击。 ICMP是Internet控制报文协议,用于在IP主机、路由器之间传递控制消息,控制消息指网络通不通、主机是否可达,路由是否可用等等。 案例 环境:GNS3 路由器 交换机 电脑 slots设置

    2024年01月16日
    浏览(49)
  • 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    这个系列讲的是整个网络流量分析流程,其中包含TCP协议、HTTP协议详解和Wireshark、Tcpdump的详细用法,现在只完成了其中一部分内容,每周更新,感兴趣的可以持续关注一下~ 内容比较杂,直接用 Ctrl+F 找自己需要的就可以 ​ 网络流量分析(NTA)可以描述为检查网络流量以表征所

    2023年04月12日
    浏览(96)
  • 【网络安全 | 网络协议】结合Wireshark讲解IP协议

    当我们进行数据传输时,操作系统会创建一个 ICMP Echo Request 数据包,并在该数据包中包含要发送的目标 IP 地址。然后操作系统将数据包传递给网络协议栈,该数据包被封装成 IP 数据包。IP 数据包的头部包含源 IP 地址和目标 IP 地址等信息。封装后的 IP 数据包被传递到数据链

    2024年02月03日
    浏览(47)
  • 网络协议---TCP协议分析(基于wireshark)

                    Wireshark TCP协议分析 1)TCP使用序列号和确认号提供可靠的数据传输; 2)观察 TCP的拥塞控制算法(慢启动和拥塞避免); 3)TCP接收段实现流量控制的机制; 4)简要地观察TCP连接设置, 5)并调查计算机和服务器之间TCP的连接性能(吞吐量和往返时延

    2024年04月10日
    浏览(51)
  • TCP/UDP协议抓包-工具wireshark与tcp侦听工具

    目录 一、工具下载链接 二、实验 链接:https://pan.baidu.com/s/1nvNdCyET-8JFn_wQXuH2sw?pwd=abcd  提取码:abcd  --来自百度网盘超级会员V1的分享 物理机与虚拟机都需要下载tcp侦听工具,虚拟机还要下Wireshark。 1、先检测网络流通性,物理机与虚拟机双方,各ping一下对方。  物理机与虚

    2024年02月16日
    浏览(54)
  • 计算机网络实验(二):Wireshark网络协议分析

    HTTP协议分析   1.超文本传输协议(Hypertext Transfer Protocol, HTTP)是万维网(World Wide Web)的传输机制,允许浏览器通过连接Web服务器浏览网页。目前在大多数组织中,HTTP流量在网络中所占的比率是最高的。每一次使用Google搜索、连接Twitter、发一条微博,或者在ESPN上查看肯塔基

    2024年01月15日
    浏览(52)
  • 【网络协议分析】利用Wireshark分析IP分片

    一、实验目的 利用 Wireshark 软件抓包分析 IP 分片,了解IP分片的工作原理。 二、实验过程 1 、网络拓扑 设备 IP 地址 设备接口 MTU AR1 172.30.132.164 Ethernet 0/0/0 700 AR2 172.30.132.165 Ethernet 0/0/0 1200 2 、实验过程 (1)在eNSP中按网络拓扑搭建网络,并配置好IP地址、子网掩码等。 (2)

    2024年02月20日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包