网络安全:WireShark 抓包及常用协议分析

网络安全:WireShark 抓包及常用协议分析,第1张

WireShark 抓包及常用协议分析

打开kali终端进入wireshark
进入到wireshark点击选项

勾选选项混杂模式开始抓包

进入终端打开火狐,打开百度进行抓包

这时我们抓到了很多类型的数据包

上方的过滤器可以指定类型数据宝或者指定源地址目标地址等等,例如现在抓取arp协议的数据包

我们ping一个地址
我们可以用语法对源地址和目标地址进行过滤,ip.src_host代表源地址,ip.dst_host代表目标地址

使用 WireShark 对常用协议抓包并分析原理 1.ARP

地址解析协议 是一个解析网络层地址来找寻数据链路层地址的网络传输协议,ARP通过网络地址来定位MAC地址

开始过滤arp

我们用nmap来基于arp协议进行扫描

回到wireshark中我们选择第一个抓到的arp协议数据包进行分析


1.Address Resolution Protocol (request) //ARP地址解析协议 request请求包

2.Harfware type:Ethernet (1) //硬件类型

3.Protocol type:IPv4 (0x0800) //协议类型

4.Hardware size:6 //硬件地址

5.Protocol size:4 //协议长度

6.Opcode:request (1) //操作码 1表示请求包

7.Sender MAC address:VMware_91:59:6a (00:0c:29:91:59:6a) //源MAC地址

8.Sender IP address:192.168.91.132 //源IP地址

9.Target MAC address:00:00:00_00:00:00 (00:00:00_00:00:00) //目标MAC地址

10.Target IP address:192.168.91.2 //目标IP地址

下面分析下一个ARP应答数据包


1.Address Resolution Protocol (reply) //ARP地址解析协议 reply回复包

2.Harfware type:Ethernet (1) //硬件类型

3.Protocol type:IPv4 (0x0800) //协议类型

4.Hardware size:6 //硬件地址

5.Protocol size:4 //协议长度

6.Opcode:request (2) //操作码 2表示回复包

7.Sender MAC address:VMware_ff:2a:74 (00:50:56:ff:2a:74) //源MAC地址

8.Sender IP address:192.168.91.2 //源IP地址

9.Target MAC address:VMware_91:59:6a (00:0c:29:91:59:6a) //目标MAC地址

10.Target IP address:192.168.91.132 //目标IP地址

通过图片很好理解,192.168.91.132发出广播发出arp请求,请求192.168.91.2的MAC地址,然后192.168.91.2收到请求后,回复给192.168.91.132自己的MAC地址

2.ICMP

ping一个IP地址,然后过滤ICMP协议的数据包


1.Type:8
//协议类型8
2.Code:0
//代码0 表示回显请求(ping请求)
3.Checksum: 0xb151 [correct]
//检验和 用于检查错误数据
4.[Checksum Status: Good]
//检验状态 Good
5.Identifier (BE): 34896 (0x8850)

6.Identifier (LE): 20616 (0x5088)
//ID值 在应答包中返回该字段
7.Sequence Number (BE): 1 (0x0001)

8.Sequence Number (LE): 256 (0x0100)
//序列号依旧在应答包中返回该字段
9.Response frame:4
//响应帧的序列号:7
10.Data (48 bytes)
//填充数据 共48字节

应答包同理

3.tcp

模拟tcp会话建立,简单的方式就是利用Xshell远程连接kali,就会捕获到tcp的三次握手



下面我们分析TCP的数据包
TCP协议的核心概念无非就是三次握手四次挥手,我们先来看三次握手

1.Source Port: 49164
//源端口
2.Destination Port: 22
//目的端口
3.Sequence Number: 0 (relative sequence number)
//序列号
4.Sequence Number (raw): 328436414
[Next Sequence Number: 1 (relative sequence number)]
//确认序列号
5.1000 . . . . =Header Length: 32 bytes (8)
//头部长度
6.Flags: 0x002 (SYN)
//标志位SYN
7.Window: 64240
//windows窗口大小
8.Checksum: 0xddd4 [unverified]
[Checksum Status: unverified]
//校验和

打开标志位查看详细信息

从以上信息可以看出这是一个SYN数据包,SYN=1 表示发送一个链接请求,这时seq和ACK都为0

第二个数据包

不同的是序列号 seq=0 ACK=1

标志位SYN/ACK 表示这是TCP三次握手的第二个数据包

服务端收到SYN连接请求返回数据包SYN=1,ACK=1 表示回应第一个包

下面看第三个数据包

可以看到seq=1 等于上一帧的确认序列号

ACK=1 确认序列号有效
这样三次握手的过程就结束了
我们可以生成一个图表来观察数据交互的过程

点击流量图

灰色的那三个就是三次握手
我们清空一下数据包看一下断开链接时什么样的过程

找到最下面灰色的部分

这时我们直接来看流量图更直观一些

我们分析一下过程,我们在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的
Server 端向客户端发起关闭链接请求。
第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入
FIN_WAIT_1 状态
第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 进行确认,确认序号
为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 CLOSE_WAIT 状态。
第三次挥手:客户端发送 [FIN+ACK] 给对方,表示自己没有数据要发送了,客户端进入
LAST_ACK 状态,然后直接断开 TCP 会话的连接,释放相应的资源。

第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 TIMED_WAIT 状态,并发送 ACK 确认消
息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的
ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的
ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。

4.HTTP

直接过滤TCP协议,因为HTTP协议是TCP的上层协议


前面三个和后面四个是tcp的三次握手四次挥手,中间的4到7是http请求部分

第一步:我们我们发送了一个 HTTP 的 HEAD 请求
第二步:服务器收到我们的请求返回了一个 Seq/ACK 进行确认
第三步:服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200 表示页面正常
第四步:客户端收到服务器返回的头部信息向服务器发送 Seq/ACK 进行确认
发送完成之后客户端就会发送 FIN/ACK 来进行关闭链接的请求

欢迎分享,转载请注明来源:内存溢出

原文地址:http://outofmemory.cn/yw/993088.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2022-05-21
下一篇2022-05-21

发表评论

登录后才能评论

评论列表(0条)

    保存