WireShark抓包过程

wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS
还是用Fiddler, 其他协议比如TCP,UDP
就用wireshark.

wireshark
开始抓包

开始界面

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces..
出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark
窗口介绍

WireShark
主要分为这几个界面

1.
Display Filter(显示过滤器),  用于过滤

2.
Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

3.
Packet Details Pane(封包详细信息), 显示封包中的字段

4.
Dissector Pane(16进制数据)

5.
Miscellanous(地址栏,杂项)

第 2 页
Wireshark 显示过滤

使用过滤是非常重要的,
初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。
在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上,填好Filter的表达式后,点击Save按钮,
取个名字。比如"Filter 102",

Filter栏上就多了个"Filter
102" 的按钮。

过滤表达式的规则

表达式规则

1.
协议过滤

比如TCP,只显示TCP协议。

2.
IP 过滤

比如
ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102,
目标地址为192.168.1.102

3.
端口过滤

tcp.port
==80,  端口为80的

tcp.srcport
== 80,  只显示TCP协议的愿端口为80的。

4.
Http模式过滤

http.request.method=="GET",  
只显示HTTP GET方法的。

5.
逻辑运算符为 AND/ OR

常用的过滤表达式

















过滤表达式 用途
http 只查看HTTP协议的记录
ip.src
==192.168.1.102 or ip.dst==192.168.1.102		  源地址或者目标地址是192.168.1.102
   
   

封包列表(Packet
List Pane)

封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。
你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则, 
View ->Coloring Rules.

封包详细信息
(Packet Details Pane)

这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet
Protocol Version 4: 互联网层IP包头部信息

Transmission
Control Protocol:  传输层T的数据段头部信息,此处是TCP

Hypertext
Transfer Protocol:  应用层的信息,此处是HTTP协议

第 3 页
wireshark与对应的OSI七层模型

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

第 4 页
实例分析TCP三次握手过程

看到这,
基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例

三次握手过程为

这图我都看过很多遍了,
这次我们用wireshark实际分析下三次握手的过程。

打开wireshark,
打开浏览器输入 http://www.cr173.com

在wireshark中输入http过滤,
然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的,
这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP,标志位为SYN,序列号为0,
代表客户端请求建立连接。 如下图

第二次握手的数据包

服务器发回确认包,
标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手的数据包

客户端再次发送确认包(ACK)
SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手,建立了连接

WireShark抓包过程,布布扣,bubuko.com

时间: 2024-10-14 12:00:38

WireShark抓包过程的相关文章

锐捷CCNA系列(二) Wireshark抓包分析Ping过程

实训目的 初步了解Wireshark的使用. 能分析Ping过程. 实训背景 PING(Packet Internet Groper, 因特网包探索器),用于测试网络是否连通的程序,在Windows.Linux.Unix下都是标配程序,Ping发送一个ICMP (Internet Control Messages Protocol, 因特网信息控制协议)Request,接收方收到后,马上回复一个ICMP Echo(Reply). 实训拓扑 实验所需设备: 设备类型 设备型号 数量 交换机 S37

CMCC portal 协议wireshark 抓包分析

环境介绍: 认证服务器 192.168.13.253 AC 192.168.13.252 抓包过程:1.安装wireshark,宁盾wifi默认安装路径下${DKEY AM }/Utilities目录下有wireshark安装包,直接安装即可,具体安装过程略.2.添加Portal协议分析插件,具体操作过程参见附件  portal协议分析插件.zip (114.59 KB, 下载次数: 894) 3.运行wireshark选取网卡,例我的认证服务器所使用的网卡为本地链接;如图: 4.过滤porta

云计算之路-阿里云上:Wireshark抓包分析一个耗时20秒的请求

这篇博文分享的是我们针对一个耗时20秒的请求,用Wireshark进行抓包分析的过程. 请求的流程是这样的:客户端浏览器 -> SLB(负载均衡) -> ECS(云服务器) -> SLB -> 客户端浏览器. 下面是分析的过程: 1. 启动Wireshark,针对内网网卡进行抓包. 2. 在IIS日志中找出要分析的请求(借助Log Parser Studio) 通过c-ip(Client IP Address)可以获知SLB的内网IP,在分析Wireshar抓包时需要依据这个IP进

用Wireshark抓包来揭开ftp client GG和ftp server MM的勾搭内容并用C代码来简要模拟实现Windows自带的ftp client

前面, 我们玩过http, 颇有点意思, 在本文中, 我们继续来玩ftp(file transfer protocol).   http和ftp都是建立在tcp之上的应用层协议, 无论他们怎么包装, 怎么装bigger, 最终还是基于tcp端到端传输的.本文主要分为两个部分: 一. 用Wireshark抓包来揭开ftp client GG和ftp server MM的勾搭内容.二.用C代码来简要模拟实现Windows自带的ftp client. 说明, 本文中的实验, 我用了两台电脑, 分别是p

Wireshark抓包工具使用教程以及常用抓包规则

Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析,不过要说明的是,这只是一个工具,用法是非常灵活的,所以今天讲述的内容可能无法直接帮你解决问题,但是只要你有解决问题的思路,学习用这个软件就非常有用了.Wireshark官方下载地址:http://www.wireshark.org/download.html如果记不住,可以在百度中输入Wir就可以看到百度智能匹配的关键词了,选择第一个地址进去下载即可. 简单介绍下这个软件的一些常用按钮,因为本

使用wireshark抓包分析浏览器无法建立WebSocket连接的问题(server为Alchemy WebSockets组件)

工作时使用了Websocket技术,在使用的过程中发现,浏览器(Chrome)升级后可能会导致Websocket不可用,更换浏览器后可以正常使用. 近日偶尔一次在本地调试,发现使用相同版本的Chrome浏览器,不可连接线上服务器的WS服务,但是可以连接本地的WS服务. 此时初步怀疑是服务器在某种特殊情况下会触发无法连接的问题. 使用Wireshark抓包 Filter:    ip.dst==serverIP or (ip.dst==本地IP and ip.src==serverIP) 一.查看

wireshark怎么抓包、wireshark抓包详细图文教程(转)

wireshark怎么抓包.wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必须了解网络协议,否则就看不懂wireshark了. 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包. wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS

Mac OS X上使用Wireshark抓包

Wireshark针对UNIX Like系统的GUI发行版界面采用的是X Window(1987年更改X版本到X11).Mac OS X在Mountain Lion之后放弃X11,取而代之的是开源的XQuartz(X11.app).因此,在Mac OS X上安装Wireshark之前,需要先下载安装XQuartz. 1.安装XQuartz XQuartz(XQuartz-2.7.6.dmg)安装完成后,按照提示需要注销重新登录,以使XQuartz作为默认的X11 Server. 安装成功后,在终

https wireshark抓包——要解密出原始数据光有ssl 证书还不行,还要有浏览器内的pre-master-secret(内存里)

基于wireshark抓包的分析 首先使用wireshark并且打开浏览器,打开百度(百度使用的是HTTPS加密),随意输入关键词浏览. 我这里将抓到的包进行过滤.过滤规则如下 ip.addr == 115.239.210.27 && ssl 1 下面用图来描述一下上面抓包所看到的流程. 1. Client Hello 打开抓包的详细,如下. 不难看出,这一握手过程,客户端以明文形式传输了如下信息: 版本信息(TLS 1.2) 随机数 Session ID(用于加快握手过程,可参考TLS会