文章目录
所用软件
Wireshark
点击所要抓包的网卡,这里我选择的是WLAN网卡,双击“WLAN"即可,如下
此时显示已启动抓包;
如果需要抓包某一特定的操作,例如,我要访问百度,即可打开Cmder(功能与windows下的自带命令行工具Cmd一样,输入如下命令:
ping baidu.com
再返回Wireshark抓包界面,即可抓取相关数据包:
当数据包过多,可以在上方菜单栏设置过滤条件,此时百度的IP地址为39.156.69.79,即可输入过滤条件为:
ip.addr == 39.156.69.79
对于该页面的主要三个区间具体如下:
在数据包详细信息区间里, Ethernet 帧的结构如下:
Frame: 物理层的数据帧
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 网络层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信
Hypertext Transfer Protocol: 应用层的信息
以上就是对于抓包分析软件Wireshark的简单应用。
数据链路层
操作一
熟悉 Ethernet 帧结构使用 Wireshark 任意进行抓包。
依旧是刚才ping 百度所抓取的数据包,把数据包详细信息区间里的信息详细展开:
Frame//物理层
Ethernet//数据链路层
IPV4//网络层
ICMP//传输层,ICMP协议是TCP协议里的一个子协议
由上得出Frame中:
源MAC地址为5c:ea:1d:25:b3:07
目的MAC地址为00:74:9c:9f:40:13
类型为IPV4,0x00000800
字段Frame number为189
字节长度Frame Length为74bytes(592 bits)
操作一相关问题
Wireshark 展现给我们的帧中为什么没有校验字段?
回答:
Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时才开始进行抓包,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段。
操作二
了解子网内/外通信时的 MAC 地址。
1、ping 一下处于同一子网里的计算机,进行过滤用 Wireshark 抓包(可加过滤条件),记录发出帧的目的 MAC 地址以及返回帧的源 MAC 地址(这是谁的地址?)
ping 10.160.141.37
Wireshark开始抓包
展开数据详细信息区间,抓到的数据如下:
发出帧的目的 MAC 地址:48:2c:a0:c0:14:16
返回帧的源 MAC 地址:48:2c:a0:c0:14:16
这个地址是处在同一子网里的该计算机的MAC地址。
2、 ping 一下没有处于同一子网里的计算机,进行过滤用 Wireshark 抓包(可加过滤条件),记录发出帧的目的 MAC 地址以及返回帧的源 MAC 地址(这是谁的地址?)
ping qige.io
Wireshark开始抓包
展开数据详细信息区间,抓到的数据如下:
发出帧的目的 MAC 地址:00:74:9c:9f:40:13
返回帧的源 MAC 地址:00:74:9c:9f:40:13
这个地址是本主机所在子网的网关MAC地址。
3、再次 ping baidu.com (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
ping baidu.com
Wireshark开始抓包
展开数据详细信息区间,抓到的数据如下:
发出帧的目的 MAC 地址:00:74:9c:9f:40:13
返回帧的源 MAC 地址:00:74:9c:9f:40:13
这个地址是本主机所在子网的网关MAC地址。
操作二相关问题
通过以上的操作,显而易见访问本子网的计算机时,目的 MAC 就是该主机的;访问非本子网的计算机时,目的 MAC 是网关的,对此的解释是什么?
回答:
当本机访问的是本子网的计算机,数据包无需离开本通信子网,传输数据也是在本子网里进行,所以是对方主机的MAC物理地址;
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,就势必要经过网关,因此,该目的MAC物理地址就是本网关的物理地址。
操作三
掌握 ARP 解析过程。
1、为防止干扰,先使用 arp -d * 命令清空 arp 缓存
注意:此时如果出现“ARP 项添加失败: 请求的操作需要提升”,解决方法参考“https://blog.csdn.net/qq_44644740/article/details/109565798”
2、ping 同一子网里的计算机,用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,观察该请求的目的 MAC 地址,再查看一下该请求的回应,观察该回应的源 MAC 和目的 MAC 地址。
发出帧,广播地址:ff:ff:ff:ff:ff:ff
回复时,是对方的MAC物理地址。
3、再次使用 arp -d * 命令清空 arp 缓存
4、ping 一下没有处于同一子网里的计算机,用 Wireshark 抓这些包(arp 过滤)。查看这次 ARP 请求内容,观察该请求是谁在回应。
ping qige.io
Wireshark开始抓包
展开数据详细信息区间,抓到的数据如下:
发出帧的目的 MAC 地址:ff:ff:ff:ff:ff:ff
这个地址是广播地址。
回复的是本子网的网关MAC地址。
操作三相关问题
通过以上的操作会发现,ARP 请求都是使用广播方式发送的,如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。对出有何解释?
回答:
当本机访问的是本子网的计算机,数据包无需离开本通信子网, ARP 解析将也是在本子网里进行,所以ARP解析得到是对方主机的MAC物理地址;
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,ARP 解析就势必要经过网关,因此,该ARP 解析得到的目的MAC物理地址就是本网关的物理地址。
网络层
操作一
熟悉 IP 包结构。
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
ping 10.160.4.161
展开数据详细信息区间,抓到的数据如下:
版本:IPV4
头部长度:20 bytes
总体长度:60
存活时间TTL:64s
协议:ICMP
操作一相关问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
回答:
IP的头部长度可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度的字段是因为接收端需要读数据,接收数据。
操作二
IP 包的分段与重组。
据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。使用 ping 39.156.69.79 -l 1000 命令指定要发送的数据长度为1000。此时使用 Wireshark 抓包(用 ip.addr ==39.156.69.79进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。
ping 10.160.255.254 -l 2000
展开数据详细信息区间,抓到的数据如下:
分段标志:Flags
MF、DF、未用。MF=1表示后面还有分段的数据包,MF=0表示没有更多分片(即最后一个分片)。DF=1表示路由器不能对该数据包分段,DF=0表示数据包可以被分段。
偏移量:Fragment Offset
1480
每个包的大小:
1480与528
操作二相关问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
回答:
直接丢弃再通知发送端进行重传。
由于在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。
操作三
考察 TTL 事件。
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
展开数据详细信息区间,抓到的数据如下:
TTL的改变:
Tracert 命令确定两台主机的路由主要是通过 IP 生存时间 (TTL) 字段和 ICMP 错误消息。 在工作环境中有多条链路出口时,可以通过该命令查询数据是经过的哪一条链路出口。
由于路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1,因此 Tracert 先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。
操作三相关问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,推断这个包从源点到你之间有多少跳?
回答:
微软 Windows 操作系统 ICMP 回显应答的 TTL 字段值为 128;TTL为返回值,
跳数就为128-50=75跳。
传输层
操作一
熟悉 TCP 和 UDP 段结构
用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
ping 10.160.4.161
TCP
利用TCP进行过滤:
展开数据详细信息区间,查看TCP段的结构。如下:
UDP
利用UDP进行过滤:
展开数据详细信息区间,查看TCP段的结构。如下:
操作一相关问题
由上可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
回答:传输层实现的是端到端的通信,也就是说两台设备之间的进程通信,而进程通信需要两边的确认,因此在传输层无论选择哪种协议,都需要源端口号与目的端口号实现端到端的进程通信。
操作二
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
显示如下:
Follow TCP Stream:
三次握手的标志位:
客户端发送数据, 序列号seq:标记数据段的顺序。
客户点请求建立连接,确认号ack:期待收到对方下一个报文段的第一个数据字节的序号。
服务端同意建立请求,回复确认。 确认ACK:占1位,仅当ACK=1时,确认号字段才有效。ACK=0时,确认号无效。
连接建立完成。 同步SYN:连接建立时用于同步序号。
终止FIN:用来释放一个连接。FIN=1表示:此报文段的发送方的数据已经发送完毕,并要求释放运输连接
第一次握手的标志位为SYN,代表客户端请求建立连接:SYN=1 Sep= x
第二次握手由对方发回确认包,标志位为SYN,ACK:SYN=1,ACK=x+1,Sep=Y
第三次握手客户端再次发送确认包:ACK=Y+1,Sep=Z
据此查找发现三次握手的显示如下:
wireshark抓到了三次握手的三个数据包。第四个包是HTTP的,即明HTTP的确是使用TCP建立连接的。
同理,四次挥手释放包的查找也可以用标志位进行查询,如下:
FIN=1,其序列号为seq=u; TCP规定,FIN报文段即使不携带数据,也要消耗一个序号。
服务器收到连接释放报文,发出确认报文,ACK=1,ack=u+1,并且带上自己的序列号seq=v,此时,服务端就进入了CLOSE-WAIT(关闭等待)状态。
客户端收到服务器的确认请求后,此时,客户端就进入FIN-WAIT-2(终止等待2)状态,等待服务器发送连接释放报文(在这之前还需要接受服务器发送的最后的数据)。
服务器发送完数据后,再次向客户端发送连接释放的确认。FIN=1,ack=u+1,服务器就进入了LAST-ACK(最后确认)状态,等待客户端的确认。
客户端收到服务器的连接释放报文后,必须发出确认,ACK=1。
服务器只要收到了客户端发出的确认,释放连接。
建立状态:FIN=1, seq=u
服务器确认:ACK=1,seq=u,ack=u+1
服务器询问释放连接:FIN=1, ACK=1,seq=w,ack=u+1
用户端回复:ACK=1,seq=u+1,ack=w+1
据此查找发现四次挥手的显示如下:
操作二相关问题
问题一
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
回答:
Follow TCP Stream是对ip A port A和ip B port B的对应,加上src/dst的转换。
用tsp过滤了抓包之后,由于存在多个tcp连接,因此会出现多个包,从而不能一下子找到自己想要的包。因此需要分清楚抓到的包是否包含了多个tsp连接的数据。然后找到正确的连接,再使用follow tcp stream功能进行对于TCP流的跟踪。
问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
回答:
在最终的数据交换有四次,其中第二次和第三次可以合并,当出现这种情况时就只能抓到三个包。
应用层
操作一
了解 DNS 解析
先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
了解一下 DNS 查询和应答的相关字段的含义。
1.ipconfig /flushdns :
2. nslookup qige.io
3. Wireshark 任意抓包
4. DNS 查询和应答的相关字段的含义
操作一相关问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
回答:
因为我们访问的网址只有一个域名,但是并不只有一台服务器主机,因此每一台服务器的IP地址不同,但他们的域名都是相同的。因此发出的解析请求是分散给不同服务器。
操作二
了解 HTTP 的请求和应答
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
在捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
在捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
请求报文:包含请求行(请求的方法,URL、协议版本)、请求头部、空行和请求数据4部分
1.请求包GET命令
2.请求包POST命令
应答报文:包含状态行(协议版本、状态码、服务信息)、响应头部、空行和响应数据4部分
3.应答包200
操作二相关问题
问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
回答:
服务器对于浏览器的第一次应答对于浏览器来说已经有了缓存,因此浏览器第二次发送请求的时候,服务器会回复浏览器上次请求的资源现在在缓存里,因此服务器根据浏览器传来的时间发现和当前请求资源的修改时间一致,应答304,表示不再重新传送。
总结
以上就是利用Wireshark抓包学习的具体内容。对于Wireshark抓包学习,主要是对于计算机网络的七层结构里的数据链路层,网络层,传输层,应用层这四层。
对于数据链路层,也就是进行差错控制,流量拥塞控制的一系列操作。
对于网络层,就是进行路由的正确选择。这里的IP协议的实验中也有操作。
对于传输层的两个重要协议UDP与TCP两个协议需要一定的学习基础,在其上的其他协议都是建立在它们两个基础上。一个是面向不安全的连接,一个是相对安全连接的建立。因此会牵扯到三次握手与四次挥手的知识,在具体实验中有了解。
对于应用层,主要是DNS的解析域名,也就是当访问服务器时需要将域名,例如“百度”翻译成为IP地址,使得用户可以访问。这里的HTTP协议就是用来网页访问的服务。
因此通过学习这一部分的实验内容,我对于Wireshark抓包有了一定得了解,但是对于以后的学习还需要进一步的学习。