抓包工具WireShark使用及TCP三次握手报文分析

为什么要抓包

(1)定位网络问题

大部分场合都可以通过程序调试来定位问题,但有些场景使用抓包来定位接口问题更准确、更方便,如以下场景:

  1. 你发送数据给后台,但后台没有收到,可以对接口进行抓包分析,看是后台处理有问题,还是没有将数据发出去,或是发送数据格式有误;
  2. 你和后台接口联调测通,但业务数据对不上,你认为是后台问题,后台认为是你发的问题,可以抓包确认问题所在;
  3. 线上出现bug需要定位,但你没在公司,没有代码可调试,可直接抓包分析;
  4. 系统性能不佳,抓包看下接口响应时长,是不是后台出现性能问题。

(2)学习网络协议,使用抓包工具分析网络数据更直观。

常用的抓包工具

  • F12

浏览器自带的抓包工具,只能抓取当期浏览器中的网络请求。

  • Fiddler
  • Charles
  • Wireshark

Wireshark支持多协议、用户友好、开源、多操作系统支持,所以Wireshark是我们最常用的抓包工具和报文分析工具。

Wireshark

下载安装

  • 下载

官网:https://www.wireshark.org/

点击主页上部分链接跳转到下载部分:
抓包工具WireShark使用及TCP三次握手报文分析_第1张图片
选择自己系统对应的版本下载:
抓包工具WireShark使用及TCP三次握手报文分析_第2张图片

  • 安装

安装很简单,安装完成之后:
抓包工具WireShark使用及TCP三次握手报文分析_第3张图片

使用

(1)捕捉过滤器(Capture Filter)

image.png

  • 说明

为第一层过滤器,筛选出对应的请求。默认会爬取当前电脑中所有的网络请求。
语法正确显示绿色,如上图所示,语法错误显示红色。

  • 语法

过滤器格式:协议 方向 主机端口(host/port/portrange)
示例:host 121.36.228.27

protocol(协议):可能值:http/https/ftp/udp/tcp/ipv4/ipv6/arp/icmp等协议。如果没有特别说明是什么协议,则默认使用所有支持的协议。
direction(方向):可能值:src/dst/src and dst/src or dst,默认src or dst。
host(s)(主机端口):可能值:net/port/host/portrange,默认host。
logical operation(逻辑运算):可能值:not/and/or,not具有最高优先级,and和or优先级相同,运算从左向右。

  • 使用

也可以在这里设置:
抓包工具WireShark使用及TCP三次握手报文分析_第4张图片

(2)显示过滤器(Display Filter)

  • 说明

第二层过滤器,在第一层的基础上显示具体点请求信息。
显示过滤器输入之后要按回车才会生效。在大文件里应用过滤显示器会有延迟。

  • 语法

示例:tcp and !mysql and tcp.port==3306,!mysql表示非MySQL协议。

比较操作符:==、!=、<、>、>=、=
逻辑操作符:and、or、not(没有条件满足)、xor(有且仅有一个条件满足)
IP地址:ip.addr(来源ip地址或者目标ip地址)、ip.src(来源ip地址限制)、ip.dst(目标ip地址限制)
协议过滤:arp、ip、icmp、udp、tcp、bootp、dns

TCP三次握手报文分析

  • 原理图

抓包工具WireShark使用及TCP三次握手报文分析_第5张图片

  • 捕捉器筛选

host 121.36.228.27
image.png

  • 筛选项

tcp and !mysql
抓包工具WireShark使用及TCP三次握手报文分析_第6张图片

  • 三次握手记录

截屏2023-08-29 10.03.50.png

  • 选中某一个请求对应的详细信息

image.png
说明:
第一次握手举例。

  1. Frame

帧,即当前请求,总览信息。

  1. Ethernet II

网卡信息,数据链路层信息。如下图所示:
抓包工具WireShark使用及TCP三次握手报文分析_第7张图片
以上红框对应的是目标地址(华为云服务器)和源地址(本机电脑)。

  1. Internet Protocol Version

IP层信息。如下图所示:
抓包工具WireShark使用及TCP三次握手报文分析_第8张图片
IP层对应的协议为TCP,源地址和目标地址为具体的IP地址。

  1. Transmission Control Protocol

TCP层信息。如下图所示:
抓包工具WireShark使用及TCP三次握手报文分析_第9张图片

第一次握手:
抓包工具WireShark使用及TCP三次握手报文分析_第10张图片
第一次握手标识Flags对应的位值为1表示SYN请求,seq=J=1406766747。

第二次握手:
抓包工具WireShark使用及TCP三次握手报文分析_第11张图片
第二次握手标识Flags对应的位置为1表示SYN和ACK请求,ack=J+1=1406766747+1=1406766748,seq=K=4187487345。

第三次握手:
抓包工具WireShark使用及TCP三次握手报文分析_第12张图片
第三次握手标识Flags对应的位置为1表示ACK请求,ack=K+1=4187487345+1=4187487346,seq=1406766748(没用到)。

你可能感兴趣的:(#,开发工具,wireshark,tcp/ip,测试工具)