Wireshark パケット キャプチャ分析用の ICMP プロトコル パケット
1. Wireshark の紹介: (以前は Ethereal、2006 年に Wireshark に名前変更されました)
Wireshark はネットワーク パケット解析ソフトウェアです。ネットワーク パケット分析ソフトウェアの機能は、ネットワーク パケットをキャプチャし、可能な限り詳細なネットワーク パケット情報を表示することです。Wireshark は、WinPCAP をインターフェイスとして使用し、データ パケットをネットワーク カードと直接交換します。
(1) 機能: ネットワークトラフィックのキャプチャと分析に使用可能
(2) 動作原理:
i. バイナリ トラフィックをキャプチャする
ii. Wireshark を変換してデータ パケットを組み立てる
iii. キャプチャされたデータ パケットを分析し、プロトコルやその他の情報を特定します。
(3) メリット:
i. オープンソースで無料
ii. クロスプラットフォーム
iii. ビジュアル
iv. 強力
2、WireShark のクイック分析パケット スキル
-
Wireshark の物理的な場所を決定します。
-
「キャプチャインターフェース」を選択します。
-
キャプチャ フィルターを使用します。
-
表示フィルターを使用します。
-
色付けルールを使用します。
-
グラフを構築します。
3. WiresharkのICMPパケットキャプチャ解析 -
ICMP の概要: エラー報告制御情報を送信するためのコネクションレス型プロトコル。これは非常に重要なプロトコルであり、ネットワークのセキュリティにとって非常に重要な意味を持っています。これはネットワーク層プロトコルに属し、主にホストとルーターの間でエラーの報告、制限された制御およびステータス情報の交換などの制御情報を転送するために使用されます。IP データがターゲットに到達できない場合、IP ルーターは現在の伝送速度に従ってデータ パケットを転送できない場合など、自動的に ICMP メッセージを送信します。
主な機能には、リモート ホストの存在の検出、ルーティング データの確立と維持、データ伝送パスのリダイレクト (ICMP リダイレクト)、およびデータ フロー制御が含まれます。
-
Wireshark を開始します: kali linux には Wireshark ツールが付属しています (または公式 Web サイトからダウンロードします)。
-
ネットワーク カード eth0 を選択します (独自の選択に従って)
。eth0 をダブルクリックしてパケット キャプチャ インターフェイスに入ります。
-
特定の ICMP プロトコル パケットを生成します: ping www.baidu.com -c 1、次の情報をキャプチャするリクエストを送信し、キャプチャを一時停止します。
-
フィルター ルールを設定します。
ここでは、Baidu の ping によって生成された ICMP プロトコル パケットのみを分析します。フィルター ルールを設定して IP を指定します:
icmp || ip.addr==39.156.66.14 (Baidu の IP アドレス)
一般的なフィルタリング コマンド:
フィルター IP:
ソース IP またはターゲット IP が特定の IP と等しい
ip.src == 192.168.191.2 and ip.dst == 203.119.244.222
ip.src ==xxxx 过滤请求发起源
ip.dst ==xxx 过滤目标ip
过滤端口:
tcp.port >= 1 and tcp.port <= 80 //过滤端口范围
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
tcp.port ==80 // 不管端口是来源的还是目标的都显示
Enter キーを押して、フィルタリングされた情報を取得します。
- icmp パケットの解釈
(1) Frame: 物理层的数据帧概况
(2) Ethernet II: 数据链路层以太网帧头部信息(包含数据包的mac地等)
(3) Internet Protocol Version 4: 互联网层IP包头部信息(IPV4信息)
(4) Internet Control Message Protocol: icmp信息
ICMPプロトコル解析要求パケット(Request):
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0 协议类型8,代码0,表示回显请求,ping请求。
Checksum: 0x3513 [correct] 校验和,用于检查错误
[Checksum Status: Good] 校验状态Good。
Identifier (BE): 13969 (0x3691)
Identifier (LE): 37174 (0x9136) ID值应答包中返回该字段
Sequence Number (BE): 1 (0x0001)
Sequence Number (LE): 256 (0x0100) 序列号和id值一起返回
[Response frame: 9] 响应帧序列号:9
Timestamp from icmp data: Nov 8, 2022 17:15:51.000000000 CST
[Timestamp from icmp data (relative): 0.919064170 seconds]
Data (48 bytes) 填充的数据,48个字节
ICMPプロトコル解析応答パケット(応答):
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0 应答包协议类型为0,代码为0表示回显应答报文
Checksum: 0x3d13 [correct] 校验和
[Checksum Status: Good]
Identifier (BE): 13969 (0x3691)
Identifier (LE): 37174 (0x9136)
Sequence Number (BE): 1 (0x0001)
Sequence Number (LE): 256 (0x0100)
[Request frame: 8] 请求帧的序列号:8
[Response time: 29.970 ms] 响应时间
Timestamp from icmp data: Nov 8, 2022 17:15:51.000000000 CST
[Timestamp from icmp data (relative): 0.949034665 seconds]
Data (48 bytes) 数据填充
- 動作プロセス:
マシンは ICMP エコー要求パケットを送信し、受信側は受信したデータ コピーとその他の命令を含む ICMP エコー応答を返します。
ICMP 通信では、主にさまざまなタイプ (Type) とコード (Code) を使用して、マシンがさまざまな接続条件を識別できるようにします。
4. Wireshark の学習と使用の経験 Wireshark を
学習して使用することで、コンピュータ ネットワークのさまざまなプロトコルをよりよく学ぶことができ、理論的な学習に基づいて、実践を通じてさまざまなプロトコルの動作原理をよりよく理解することができます。そしてより深い記憶が残ります。