2019-05-06 wireshark的简单使用

                                        工具使用
  1. 特点:为了安全,wireshark只能查看封包,而不能修改封包的内容, 或者发送封包。 比如:能获取HTTP,但不能解密HTTPS。
  2. 平台:支持各种平台,比如各种版本的linux和window。
  3. 本质: 捕获机器上某一块网卡的网络包:即只有数据经过该网卡才可以捕获!当你设备上有多块网卡的时候,所以第一步选择一个网卡。

一. 历程1: 抓包并 转换编码格式查看内容:
第一步:选择捕获的网卡,并开始


1.png

第二步:过滤抓取的包


2.png

第三步: 分析获取的包--》追踪流
3.png
4.png

注: 对上面操作分析如下:

  1. 过滤器
    两种分类: 显示过滤器 与 捕获过滤器
    显示过滤器-》在已经捕获的记录中找到所需要的记录,只影响显示。
    捕获过滤器-》用来过滤捕获的封包,以免捕获太多的记录(不符合的包丢掉)。
    (1)显示过滤器:协议|IP|端口
    * 协议过滤: 比如TCP,只显示TCP协议。
    * IP过滤: 比如:src 原地址, dst 目标地址
    ip.src ==192.168.1.102 显示源地址为192.168.1.102,
    ip.dst==192.168.1.102, 目标地址为192.168.1.102
    * 端口过滤 比如:tcp.port ==80, 端口为80的
    tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
    * 常用的运算符:
    比较运算符: 数值想等(==) 不相等(!=) 大于(>) 小于(<)
    逻辑运算符: and, or, not, xor(异或)
    例子:只显示源IP为 X 与 目的IP为s的数据包: Ip.src==x and ip.dst==s
  2. 界面介绍:


    11.png

    (1)封包列表:
    显示列: 编号,时间戳,源地址,目标地址,协议,长度,封包信息。
    特点: 不同的协议用不同的颜色显示。
    使用举例:右击--》追踪流。

(2)封包详细信息 (不同协议显示不同)
目的: 用来查看协议中的每一个字段。
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 网络层IP包头部信息
注:一搬从上往下,分别为--》物理,链路,网络,传输,应用 五层。
即:对于http的包,通过wireshark可以看到其上面五层额信息。
1)当是TCP协议时,对传输层各字段进行介绍:


22.png

3.HTTP相关
(1)搭建一个http服务器: hfs.exe软件


33.png

(2)访问并抓包


44.png

55.png
66.png
77.png

【a】红色背景字体为HTTP请求,蓝色背景字体为HTTP响应


88.png

http协议=客户机向服务器的请求消息 + 服务器向客户机的响应消息.
状态码:
• 1xx:信息响应类,表示接收到请求并且继续处理
• 2xx:处理成功响应类,表示动作被成功接收、理解和接受
• 3xx:重定向响应类,为了完成指定的动作,必须接受进一步处理
• 4xx:客户端错误,客户请求包含语法错误或者是不能正确执行
• 5xx:服务端错误,服务器不能正确执行一个正确的请求

4.TCP三次握手


111.png
222.png
333.png
444.png

三次握手的三种报文是:SYN,SYN/ACK,ACK。

  1. ARP报文:

地址解析协议,即ARP,是根据IP地址获取物理地址的一个TCP/IP协议。

功能:主机将ARP请求广播到网络上的所有主机,并接收返回消息,确定目标IP地址的物理地址(MAC),同时将IP地址和硬件地址存入本机ARP缓存中,下次请求时直接查询ARP缓存(保存时间一般小于1分钟)。

最初从PC发出的ARP请求确定IP地址的MAC地址,并从相邻系统收到ARP回复。

你可能感兴趣的:(2019-05-06 wireshark的简单使用)