WireShark简介和抓包原理及过程

ftp服务器

抓到什么包；数据包机构

上传文件抓到那个端口，ip协议，试验步骤

分析抓到的协议；21端口pct包，内容，为什么这样

WireShark简介和抓包原理及过程

wireshark简介

Wireshark是一个网络封包分折软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出 最为详细的网络封包资料。Wireshark使用VinPCAP作为接口，直接与网卡进行数据报文交换。

wireShark的应用

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Vireshark来检查资讯安全相 关问题，开发者使用Wireshark来为新的通讯协议除错，普通使用者使用Wireshark来学习网络协议 的相关知识。当然，有的人也会“居心回测”的用它来寻找一些敏感信息..

WireShark快速分析数据包技巧

(1)确定Wireshark的物理位置。如果没有一个正确的位置，启动Wireshark后会花费很长的 时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的 数据。否则，捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获数据。这样用户在分析数据 时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

(4)过滤器在后面单独拿出来细讲

使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包 再更细致，此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显 示某个会话，可以使用着色规则高亮显示。 (6) 构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方 便的展现数据分布情况。~ (7) 重组数据。当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用 重组数据的方法来抓取完整的数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息， 或者是重组一个完整的图片或文件。

混杂模式介绍

1、混杂模式概述：混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证 MAC地址。普通模式下网卡只接收发给本机的包（包括广播包）传递给上层程序，其它的包一律丢弃。~ 一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。~

2.关闭默认的混杂模式进入普通模式

 

 

正常默认混杂模式

 

wireshark过滤器

首先停止抓取

 

观察可以看到数据传输的有很多类型TCP等

TCP协议抓取

左上角栏

 

 

抓取udp协议

 

建议

建议截取WLAN下的数据包

建议抓取

 

思考

可能造成没有udp，或者出现除了udp以外的东西，这是为什么？

 

 

 

原因：

我们使用过滤器输入“udp”以筛选出udp报文。但是为什么输入udp之后出现那么多种协议呢？ 原因就是oicq以及dns都是基于udp的传输层之上的协议 扩展：客户端向DNS服务器查询域名，一般返回的内容都不超过512字节，用UDP传输即可。不 用经过三次握手，这样DNS服务器负载更低，响应更快。I理论上说，客户端也可以指定向DNS服务器 查询时用TCP,但事实上，很多DNS服务器进行配置的时候，仅支持UDP查询包。

截取http协议

因为很多可以传播数据包的路径，用wlan的时候记得点击网页，这样才有http协议出现在里面

 

对wireshark的具体描述

 

搜索原ip地址

 

搜索目标ip

 

搜索原ip和目标ip

可能没有，因为条件太具体苛刻

 

不分原和目标ip

 

更多

 

实战：使用VireShark对常用协议抓包并分折原理

协议分析的时候我们关闭混淆模式，避免一些干扰的数据包存在。

常用协议分析-ARP协议

建议搭配kali，请求网关地址；随便终端也可

地址解析协议（英语：Address Resolution Protocol,缩写：ARP)是一个通过解析网络层地址 来找寻数据链路层地址的网络传输协议，它在IPV4中极其重要。ARP是通过网络地址来定位MAC地 址。

 

 

 

广播请求单播回应

 

icmp协议抓取

 

 

 

 

 

tcp协议

什么时候能造成完整的握手呢？

远程控制

这里是另一种情况，建立成功后，一直连接的状态；因为我这是127，本地端口下订的，数据连接紧密

 

分析

 

 

流量图直观显示

 

效果

 

分析

 

往下看

 

 

http协议

tcp的上层协议，过滤tcp也会过滤http协议

 

右击追踪流

 

http的追踪流是这样的，

tcp里面就一个点..

 

解决被黑网

配置ftp测试

Wireshark数据抓包分析之FTP协议 - 腾讯云开发者社区-腾讯云

 

ftp中遇到问题

 

 

可能是运行node时造成的，

分析ftp

WiresharkFTP抓包分析_我是五十的博客-CSDN博客_wireshark抓包分析ftp^v51^control,201^v3^add_ask&spm=1018.2226.3001.4187