携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第19天,点击查看活动详情
WireShark简介和抓包原理及过程
wireshark简介
wireshark是一个网络封包分析软件,网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换
wireshark的应用
网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用wireshark来为新的通讯协议除错,普通使用者使用wireshark来学习网络协议的相关知识,当然,有的人据悉叵测的使用它来寻找一些敏感信息
常见协议包
ARP协议
ICMP协议
TCP协议
UDP协议
DNS协议
HTTP协议
FTP协议
ip.dir == 192.168.68.53 查找有这个ip的所有数据包
ip.src_host = = 192.168.68.53 or ip.dst_host = = 192.168.68.1
ip.src_host = = 192.168.68.53 表示源ip地址
ip.dst_host = = 192.168.68.1 表示目的地址\
实战:使用wireshark对常用协议抓包并分析原理
常用协议分析: arp协议
地址解析协议(缩写arp) 是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在IPv4中极其重要,ARP是通过网络地址来定位MAC地址
ICMP 协议
通过xshell远程连接kali linux 就会捕获到完整的TCP3次握手的链接
四次挥手
第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入FIN_WAIT_1状态
第二次挥手:客户端收到FIN后,知道不会再有数据从服务端传来,发送ACK进行确认,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),客户端进入CLOSE_WAIT状态
第三次挥手:客户端发送【FIN+ACK】给对方,表示自己没有数据要发送了,客户端进入LAST_ACK状态,然后直接断开TCP会话的连接,释放相应的资源
第四次挥手:服务端收到了客户端的FIN信令后,进入TIMED_WAIT状态,并发送ACK确认消息,服务端在TIMED_WAIT状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的ACK并正确关闭了进入CLOSE状态,自己也断开了TCP连接,释放所有资源,当客户端收到服务端的ACK回应后,会进入CLOSE状态并关闭本端的会话接口,释放相应资源
WireShark抓包解决服务器被黑上不了网 场景:服务器被黑上不了网,可以ping通网关,但是不能上网 模拟场景 修改主机TTL值为1,下面的方式是我们临时修改内核参数 TTL:数据报文的生存周期 默认linux操作系统值:64,每经过一个路由节点,TTL值减1.TTL值为0时,说明目标地址不可达并返回 Time to live exceeded
MTR可以检测我们到达目标网络之间的所有网络设备的网络质量
apt install -y mtr 用mtr看经过几个包 mtr 8.8.8.8 NMAP高级使用技巧 NMAP概述 nmap是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取那台主机正在运行以及提供什么服务等信息,nmap支持很多扫描技术,例如:UDP.TCP connect(),TCP SYN(半开扫描),ftp代理(bounce攻击),反向标志,ICMPM,FIN,ACK扫描,圣诞树(Xmas Tree),SYN扫描和null扫描。还可以探测操作系统类型 Nmap可用于 检测活在网络上的主机(主机发现) 检测主机上开放的端口(端口发现或枚举) 检测到相应的端口(服务发现)的软件和版本 检测操作系统,硬件地址,以及软件版本 检测脆弱性的漏洞(Nmap的脚本)
