2. 程式人生 > >TCP三次握手wireshark抓包分析

TCP三次握手wireshark抓包分析

阿新 發佈:2019-01-24

本文內容有以下三個部分:

  1. wireshark過濾規則
  2. osi模型簡述
  3. tcp三次握手

一、wireshark過濾規則

wireshark只是一個抓包工具,用其他抓包工具同樣能夠分析tcp三次握手協議。以下這張圖片完整地展現了wireshark的面板。

這裡寫圖片描述

使用好wireshark一個關鍵是如何從抓到的眾多的包中找到我們想要的那一個。這裡就要說filter過濾規則了。如上圖,在過濾器方框,我們加上了ip.src==192.168.1.102 or ip.dst==192.168.1.102的過濾規則,意思是在封包列表中,只顯示源ip地址為192.168.1.102或者目的ip地址為192.168.1.102的包。
下面列舉一些常用的過濾規則:

  1. 過濾IP,如來源IP或者目標IP等於某個IP
    如前面說的例子: ip.src==192.168.1.102 or ip.dst==192.168.1.102
    比如TCP,只顯示TCP協議。
  2. 過濾埠
    tcp.dstport == 80 // 只顯tcp協議的目標埠80
    tcp.srcport == 80 // 只顯tcp協議的來源埠80
    也可以寫成tcp.port eq 80 or udp.port eq 80 這樣的模式
  3. 過濾協議
    單獨寫上tcp、udp、xml、http就可以過濾出具體協議的報文。你也可以用tcp or xml這樣格式來過濾。
    我們還可以更加具體過濾協議的內容,如tcp.flags.syn == 0x02 表示顯示包含TCP SYN標誌的封包。
  4. 過濾mac地址
    eth.src eq A0:00:00:04:C5:84 // 過濾來源mac地址
    eth.dst==A0:00:00:04:C5:84 // 過濾目的mac地址
  5. http模式過濾
    http.request.method == “GET”
    http.request.method == “POST”
    http.request.uri == “/img/logo-edu.gif”
    http contains “GET”
    http contains “HTTP/1.”
    // GET包
    http.request.method == “GET” && http contains “Host: ”
    http.request.method == “GET” && http contains “User-Agent: ”
    // POST包
    http.request.method == “POST” && http contains “Host: ”
    http.request.method == “POST” && http contains “User-Agent: ”
    // 響應包
    http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
    http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
  6. 過濾內容
    contains:包含某字串
    ip.src==192.168.1.107 and udp contains 02:12:21:00:22
    ip.src==192.168.1.107 and tcp contains “GET”
    前面也有例子,http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

更加高階的用法就不討論了,讀者有興趣可以查閱wireshark官網使用者手冊

二、osi模型簡述

OSI定義了網路互連的七層框架(物理層、資料鏈路層、網路層、傳輸層、會話層、表示層、應用層),即ISO開放互連繫統參考模型。如下圖左邊部分。在每個分層中,都會對所傳送的資料附加一個首部,在這個首部中包含了該層必要的資訊,如源ip地址和目的ip地址等。
這裡寫圖片描述
osi模型中,在下一層的角度看,當收到上一層的包時,全部會被認為是本層的資料,然後在本層中加上自己本層的首部,繼續往下傳遞。一個數據包格式如下:
這裡寫圖片描述
舉一個例子,比如客戶端應用程式A向遠端伺服器應用程式B傳送“早上好”的資料,那麼大致流程是這樣的:

  1. 應用程式A把資料傳送給下一層的TCP模組。
  2. TCP模組屬於傳輸層。TCP在應用層資料的前端加上一個TCP首部。TCP首部中包含源埠號和目標埠號等資訊。然後將包傳送給IP模組。
  3. IP模組屬於網路層。IP將TCP傳過來的TCP首部和TCP資料合起來當做自己的資料,並且在TCP首部的前面加上自己的IP首部。IP首部包含了源ip地址和目的ip地址。然後,IP包將被髮送給資料鏈路層,也就是乙太網驅動程式。
  4. 從IP傳過來的包,對於乙太網驅動程式來說不過就是資料。給這些資料加上乙太網首部,裡面包含了源MAC地址和目的MAC地址。然後再通過物理層把資料傳送給目的MAC地址。
  5. 伺服器物理層接收到來自客戶端的資料包時,首先從乙太網的包首部找到MAC地址,判斷是否為發給自己的包,如果不是就丟棄,如果是就向上轉移給IP模組解析。
  6. IP模組收到IP包首部和後面的資料以後,判斷包首部的目的ip地址與自己的ip地址是否匹配,如果匹配,就接收資料並傳給TCP模組處理。
  7. TCP模組會檢查埠號確定接收資料的應用程式是哪一個。
  8. 應用程式接收到資料包之後也會根據自己的規則判斷做出一系列的處理。

通過上面例子大致的過程,可以體會到從上而下發包再到從下而上收包的過程。

三、tcp三次握手

這裡寫圖片描述
上圖為tcp三次握手,很多書籍都能看到。TCP提供面向有連線的通訊傳輸,在資料通訊開始之前先做好通訊兩端之間的準備工作。也就是說必須握手成功之後,才能進行通訊。 接下來,用wireshark來抓取tcp三次握手報文。開啟瀏覽器輸入 http://blog.csdn.net/u014530704/article/。運用我們再前面介紹的過濾規則,在過濾框中輸入http contains u014530704,找到如下包:
這裡寫圖片描述

可以發現我們向伺服器請求的包,其中目的ip地址是47.95.165.112。這個地址是blog.csdn.net的ip地址。
然後我們找 ip.src==47.95.165.112 or ip.dst==47.95.165.112 的包,找到了如下:

這裡寫圖片描述
紅色方框為本機192.168.1.101和伺服器47.95.165.112之間的三次握手協議。三次握手協議的過程為:

  1. 客戶端通過TCP首部發送一個SYN包作為建立連線的請求等待確認應答。
  2. 伺服器傳送ACK包確認應答,傳送SYN包請求連線。
  3. 客戶端針對SYN包傳送ACK包確認應答。

最後,講述一下看懂報文的方法。想要讀懂tcp報文,頭部至關重要,對著下圖去看wireshark tcp報文,並且找到tcp首部各個欄位代表的意思,你就能讀懂tcp報文了。其他像乙太網報文、ip報文、http報文等同樣如此。

這裡寫圖片描述

相關推薦

TCP握手wireshark分析

本文內容有以下三個部分: wireshark過濾規則 osi模型簡述 tcp三次握手 一、wireshark過濾規則 wireshark只是一個抓包工具,用其他抓包工具同樣能夠分析tcp三次握手協議。以下這張圖片完整地展現了wireshark的面板。

握手wireshark分析,成功握手和失敗握手

啟動 點選start出現下面的對話方塊   wireshark是捕獲機器上的 某一塊網絡卡的網路包,當機器上有多塊網絡卡的時候,需要選擇一個網絡卡進行捕獲操作。 選擇網絡卡 >主頁面上,直接點選選中後start >capture->int

wireshark分析TCP握手、四揮手以及TCP實現可靠傳輸的機制(轉)

關於TCP三次握手和四次揮手大家都在《計算機網路》課程裡學過,還記得當時高超老師耐心地講解。大學裡我遇到的最好的老師大概就是這位了,雖然他只給我講過《java程式設計》和《計算機網路》,但每次課幾乎都動手敲程式碼或者當場做實驗。好了不扯了,下面進入正題。      關

基於wireshark分析TCP握手

img src 建立 tab 安全 連接狀態 協議 處理 基於 在TCP/IP協議通訊過程中,采用三次握手建立連接,從而保證連接的安全可靠。 通常三次握手步驟如下: 1. 第1次握手:建立連接時,客戶端發送 SYN 包到服務器端,攜帶一個序列碼給服務器端用於確認,並進入

wireshark 例項分析TCP握手過程

 三次握手過程為 這圖我都看過很多遍了, 這次我們用wireshark實際分析下三次握手的過程。 開啟wireshark, 開啟瀏覽器輸入 http://www.cr173.com 在wireshark中輸入http過濾, 然後選中GET /tankxiao HTTP/1.1的那條記錄,右鍵然後點選"Fo

Wireshark分析TCP握手

今天學習了Wireshark工具,對於抓包有了極大的興趣;特意通過抓包來加深一下TCP三次握手的過程,同時做以記錄。 TCP報文段結構 過濾規則介紹 網路中包含著許多的資料報文,但是許多的都不是我們需要的。網上給的大多數規則不夠具體,

wireshark分析tcp握手詳細過程

下載安裝wireshark 抓包分析詳細過程 在wireshark中輸入http過濾, 然後選中一條http記錄,如下圖: 右鍵點選選中 追蹤流 > tcp流,如下: 會看到下圖所示: 可以發現,wireshark截獲到了三次握手的三

【極客思考】計算機網路:Wireshark分析TCP中的握手與四揮手

【摘要】本文重點分析計算機網路中TCP協議中的握手和揮手的過程。 【前提說明】 前段時間突然看到了一篇關於TCP/IP模型的文章,心想這段時間在家裡也用wireshark抓了點包,那麼想著想著就覺得需要複習一下網路知識,於是就有這篇博文的誕生。當然網上關於TCP相關的知識點也是芸芸,閒著無事也可以多googl

Wireshark示範:TCP握手建立連線和四握手斷開連線

以下內容來自網路資源整合,僅供自己記錄,日後檢視方便。 首先介紹Wireshark抓包工具,它長這樣: 下面我們要設定過濾規則: 按如下設定,主要設定: 1、需要監控的網絡卡; 2、過濾規則(圖示是“HTTP TCP port(80)”,即只監控TCP連線):

TCP 握手和四揮手(使用Wireshark進行檢視)

首先介紹一些專業術語的意思: Source Port:源埠,16位。 Destination Port:目的埠,16位。 Acknowledgment Number:確認序列號,32位。 Seq

tcpdump分析TCP握手過程

tcpdump port 6000 -c 3 -n內容如下:21:07:17.790296 IP  192.168.1.104.2511 > 192.168.1.90.6000: S 3359422806:3359422806(0) win 64240 <mss1460,nop,nop,sackO

wireshark圖解 TCP握手/四揮手詳解

原地址:http://www.seanyxie.com/wireshark%E6%8A%93%E5%8C%85%E5%9B%BE%E8%A7%A3-tcp%E4%B8%89%E6%AC%A1%E6%8F%A1%E6%89%8B%E5%9B%9B%E6%AC%A1%E6%8

TCP握手與Tcpdump分析過程

code .com and light img 內網 80端口 con port 一、TCP連接建立(三次握手) 過程 客戶端A,服務器B,初始序號seq,確認號ack 初始狀態:B處於監聽狀態,A處於打開狀態 A -> B : seq = x (A向

wireshark工具分析tcp握手以及http2配置

一、wireshark工具分析tcp三次握手 TCP三次握手(預互動過程,都是tcp包) 1.客戶端傳送TCP SYN:我的埠是60280,我需要訪問你的埠443。SEQ Number(初始化序列號isn)=0 2.伺服器傳送TCP SYN/ACK 允許你訪問我的埠,我也需要訪問你的

利用Wireshark分析TCP握手

首先在過濾器中輸入 http過濾 找到 GET /* /HTTP/1.1 我們可以看到在出現了三條TCP記錄之後才出現了HTTP這也更加相信HTTP是基於TCP協議的。 第一次TCP握手 客戶端傳送一個TCP,標誌位為SYN,序列號為0, 代表

基於 Wireshark 學習 TCP 握手

tcp Wireshark(前稱Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,並盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。 同類型的軟件有:cain、sniffer WinPcap是用於網絡封包抓取的一

FTP協議的粗淺學習--利用wireshark分析相關tcp連接

sha ftp命令 動向 c中 細胞 nsf ref 後退 圖片 一、為什麽寫這個 昨天遇到個ftp相關的問題,關於ftp匿名訪問的。花費了大量的腦細胞後,終於搞定了服務端的配置,現在客戶端可以像下圖一樣,直接在瀏覽器輸入url,即可直接訪問。 期間不會彈出輸入用戶名密

TCP握手及四揮手分析

本文目的:熟悉TCP三次握手及四次揮手的整體過程及一些設計思想 TCP建立連線需要進行三次握手;斷開連線需要四次揮手,下面說說握手及揮手的過程 整個過程如下: 三次握手 1、TCP連線建立------ 三次握手 建立連線舉個簡單的例子,方便理解: A : 你好我是A,你聽得到我在

使用wireshark來解釋TCP握手

FTP協議的粗淺學習--利用wireshark分析相關tcp連線

一、為什麼寫這個 昨天遇到個ftp相關的問題,關於ftp匿名訪問的。花費了大量的腦細胞後,終於搞定了服務端的配置,現在客戶端可以像下圖一樣,直接在瀏覽器輸入url,即可直接訪問。 期間不會彈出輸入使用者名稱密碼來登入的視窗。 今天我主要是有點好奇,在此過程中,究竟是否是用匿名賬戶“anonymo