WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???)

这篇具有很好参考价值的文章主要介绍了WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

WrieShark介绍

 Wrieshark(前身Ethereal)是一个网络包分析工具。该工具主要是用来捕获网络数据包,并自动解析数据包,为用户纤细显示数据包的详细信息,供用户对数据包进行分析

下载链接:
Wireshark

WrieShark的应用

网络管理员使用WrieShark来检测网络问题
网络安全工程师 使用Wrieshark来检查资讯安全相关问题
开发人员 使用Wreshark来为新的通讯协议除错
普通使用者 使用Wireshark来学习网络协议的相关知识
当然,有的人也会故意的拿它去寻找一些敏感信息 侵犯别人的隐私

常见协议包的抓取

  • ARP协议
  • ICMP协议
  • TCP协议
  • UDP协议
  • DNS协议
  • HTTP协议

WrieShark常用手段

WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???),基于C的网络编程,wireshark,tcp/ip,测试工具
打开的主界面是这样的 我们如果是通过网线连接外网就用以太网抓包
如果是wifi 就用WLAN来抓包

混杂模式 和 普通模式

混杂模式

接受所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址

打开方式

WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???),基于C的网络编程,wireshark,tcp/ip,测试工具

普通模式

普通模式下的网卡只接受发给本机的包(包括广播包) 传递给上层程序,其他的包一律丢弃


一般来说 混杂模式不会影响网卡的正常工作,多在网络监听工具上面使用。

过滤器

过滤器类型

捕获过滤器

捕获期间过滤的数据包
语法:

  • protocol tcp
  • direction src
  • hosts 192.168.1.1
  • value 80
  • Logical operator and
  • Expressions tcp dst 202.164.30.1
显示过滤器

从捕获显示中隐藏的数据包

  • protocol http
  • String 1 dest
  • String 2 ip
  • Comparison Operator ==
  • value 192.168.1.1
  • logical operator and
  • Expressions tcp port
语法

过滤数据包

Operator Description Example
eq or == Equal ip.dest == 192.168.1.1
ne or != Not Equal ip.dest != 192.168.1.1
gt or > Greater than frame.len > 10
lt or < Less than frame.len <10
ge or >= Greater than or Equal frame.len >= 10
le or <= Less than or Equal frame.len<=10

逻辑符号

  • and or && 逻辑与 所有条件都应该匹配
  • or or || 逻辑或 所有条件或其中一个条件应匹配
  • xor or ^^ 逻辑异或 互斥交替 – 两个条件只能匹配其中一个,而不是同时匹配
  • not or ! NOT(否定) 不等于
  • [n] […] 子串运算符 过滤特定单词或文本
捕获到的数据的列的含义

WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???),基于C的网络编程,wireshark,tcp/ip,测试工具
No. 从数据包捕获开始算起的帧号
Time 从第一帧算起的秒数
Source (src) 源地址,通常是 IPv4、IPv6 或以太网地址
Destination (dst) 目的地地址
Protocol 以太网帧、IP 数据包或 TCP 段中使用的协议
Length 帧的长度(以字节为单位)

常见的 Protocols - Values

ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp

键盘快捷键

WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???),基于C的网络编程,wireshark,tcp/ip,测试工具

常用的过滤命令

用法 过滤语法
Wireshark 按 IP 过滤 ip.addr == 10.10.50.1
按目标 IP 过滤 ip.dest == 10.10.50.1
按源 IP 过滤 ip.src == 10.10.50.1
按 IP 范围过滤 ip.addr >= 10.10.50.1 and ip.addr <= 10.10.50.100
按多个 IP 过滤 ip.addr == 10.10.50.1 and ip.addr == 10.10.50.100
过滤掉/排除 IP 地址 !(ip.addr == 10.10.50.1)
过滤IP子网 ip.addr == 10.10.50.1/24
按多个指定的 IP 子网过滤 ip.addr == 10.10.50.1/24 and ip.addr == 10.10.51.1/24
按协议过滤 dns http ftp ssh arp telnet icmp
按端口 (TCP) 过滤 tcp.port == 25
按目标端口 (TCP) 过滤 tcp.dstport == 23
按 IP 地址和端口过滤 ip.addr == 10.10.50.1 and Tcp.port == 25
按网址过滤 http.host == “host name”
按时间戳过滤 frame.time >= “June 02, 2019 18:04:00”
过滤SYN标志 tcp.flags.syn == 1 tcp.flags.syn == 1 and tcp.flags.ack == 0
Wireshark 信标过滤器 wlan.fc.type_subtype = 0x08
Wireshark 广播过滤器 eth.dst == ff:ff:ff:ff:ff:ff
Wireshark多播过滤器 (eth.dst[0] & 1)
主机名过滤器 ip.host = hostname
MAC地址过滤器 eth.addr == 00:70:f4:23:18:c4
RST 标志过滤器 tcp.flags.reset == 1

常用协议分析

ARP 协议分析

待补充

ICMP协议分析

待补充

TCP三次握手 四次挥手协议

WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???),基于C的网络编程,wireshark,tcp/ip,测试工具
这百年的47.99.129.169是我目前在使用的服务器 用xshell连接的时候 可以看到三次握手协议捕捉到的流程
首先是客户端向服务器发送一个同步请求 SYN
然后服务器向客户端发送一个同步和确认的答复
最后客户端回复确认 两端建立连接
WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???),基于C的网络编程,wireshark,tcp/ip,测试工具
这里为啥只有三次挥手?

四次挥手居然变成了三次挥手了

总结 就是当双方没有数据往来的时候 四次挥手会被优化成三次
链接

HTTP协议分析

待补充

资料

https://cdn.comparitech.com/wp-content/uploads/2019/06/Wireshark-Cheat-Sheet.pdf文章来源地址https://www.toymoban.com/news/detail-831649.html

到了这里,关于WireShark使用教程(TCP/IP 部分情况居然变成三次挥手了???)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 使用Wireshark抓包分析TCP协议

    wireshark数据包详细栏每个字段对应的分层。 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP三次握手示意图 第一次握手 :客户端向服务器发

    2023年04月13日
    浏览(42)
  • 使用wireshark查看TCP三次握手

    1、打开wireshark,输入http过滤: ip.addr == 47.102.168.177 and tcp 。 2、打开浏览器,输入网址回车。 3、点击封包列表标头,No 按照正序排列。 4、看到框出来的三条记录,即为wireshark截获到了TCP三次握手的三个数据包。  第一次握手数据包 客户端,发送一个TCP,标志位为 [SYN] 

    2024年02月11日
    浏览(35)
  • 使用wireshark抓取Tcp三次握手

    软件的下载可以直接去官网下载 wireshark,选择自己电脑适合的版本就行。 但是不咋推荐,原因是国外网站访问速度太慢,写博文的时候我去官方下载安装包还下不下来,之后去搜狗下载了一个安装包,进行安装,点击安装包一路next进行安装,其中安装过程中需要注意的我会

    2023年04月08日
    浏览(34)
  • 使用Wireshark浅析Tcp三次握手

    我不想 一开始直接搬网络描述图来讲三次握手亦或试图用大量专业词汇让你熟悉它,而是想用 简单的描述 ,让大家对 三次握手 有个大概的印象。用 Wireshark 抓包工具分析TCP报文中大家比较关注的syn(Synchronize Sequence Numbers 同步序列号)和ack(ACKnowledge Character 确认字符)。 如果你

    2024年02月08日
    浏览(64)
  • 使用wireshark抓包并分析TCP四次挥手

    ①第一次挥手: (FIN+ACK) 客户端发送FIN+ACK包给服务端,用来关闭客户端到服务器的数据传送。此时客户端进入FIN_WAIT_1状态。 ②第二次挥手: (ACK) 服务端收到FIN包后, 此时有可能服务端还在与其他客户端进行交互,但会先发送ACK包。确认字符ack=X+1,此时会发送一个新的序

    2024年02月12日
    浏览(43)
  • 使用wireshark抓包理解tcp协议和tls

    首先下载安装wireshark 打开软件 1.选则自己连结的网络; 此时就会捕获的数据 2.加上端口过滤。 3.启动一个本地的 http 服务(这里采用的 nodejs ); node server.js 4. curl http://localhost:3000 一个TCP报文段的最大长度为 65495 字节. TCP封装在IP内,IP数据报最大长度 2^16-1 ,头部最小 20 ,

    2023年04月25日
    浏览(39)
  • Echarts使用中遇到图表只显示一部分的情况

            在引用完Echarts后,发现图只显示了一小部分,检查布局也没有任何问题,然后通过控制台 检查,无论怎么去调它所在容器的宽高都没有任何的变化,调canves的宽高也只有拉伸的效果。          出现这种现象的原因是:Echarts的依赖是惰性的,需要手动设置r

    2024年02月11日
    浏览(38)
  • Wireshark使用实训---分析IP包

    Wireshark是一个开源的 网络分析工具 ,用于 捕捉 和 分析 网络数据包。它可以帮助网络管理员和安全专家监控和解决网络问题,同时也可以用于学习和教学网络通信原理。 Wireshark可以在网络中捕获和分析传输的数据包,包括协议头部信息和数据负载。它支持多种网络协议,包

    2024年04月09日
    浏览(35)
  • ​网络socket编程(二)——面向流的TCP编程及测试(SocketTool)、Wireshark软件使用

    目录 一、书接上回(select()函数使用注意事项) 二、面向流(TCP)的socket编程 2.1 TCP服务端编程和测试 2.1.1 TCP服务器原理流程图 2.1.2 TCP服务端编程实战 2.1.3 测试 2.2 TCP客户端编程和测试 三、Wireshark抓包软件的使用 3.1 Wireshark是什么 3.2 Wireshark抓包界面 3.3 Wireshark过滤器设置 3.3

    2024年04月17日
    浏览(37)
  • 网路原理-传输层UDP,TCP/IP(确认应答,超时重传,连接管理,三次握手,四次挥手,状态转换,流量控制,滑动窗口,拥塞控制,延时应答,捎带应答,异常情况,面向字节流)-网络层(IP协议,地址管理)

    本节重点 • 理解传输层的作⽤,深⼊理解TCP的各项特性和机制 • 对整个TCP/IP协议有系统的理解 • 对TCP/IP协议体系下的其他重要协议和技术有⼀定的了解 我们之前编写完了基本的 java socket ,要知道,我们之前所写的所有代码都在应⽤层,都是为了 完成某项业务,如翻译等。

    2024年04月15日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包