Wireshark数据包分析入门_conversation completeness incomplete(3)

admin管理员组

文章数量:1567918

Wireshark数据包分析

• 1. 网络协议基础
• • 1.1. 应传网数物（应表会传网数物）
• 2. 三次握手
• • 2.1. 第一次握手
    • 2.2. 第二次握手
    • 2.3. 第三次握手
    • 2.4. 三次握手后流量特征
• 3. 第一层—物理层（以太网）
• 4. 第二层—数据链路层（PPP L2TP PPTP）
• 5. 第三层—网络层（IP ICMP ARP）
• • 5.1. ip协议解析
    • 5.2. ARP协议解析
• 6. 第四层—传输层（TCP UDP TLS）
• • 6.1. Tcp协议解析
• 7. 第五层—应用层（HTTP SSH FTP TELNET DNS）
• 8. https之wireshrk解密
• • 8.1. 获取证书（略）
    • 8.2. 进行动态获取对称加密密钥解码
• 9. wireshrk常用语法
• • 9.1. 按协议查询
    • 9.2. 按ip地址查询
    • 9.3. 按ip端口查询
    • 9.4. 按GET，POST查询
    • 9.5. 按MAC查询
    • 9.6. 按包长度过滤
    • 9.7. 按正则过滤
• 10. 常见问题
• • 10.1. Eth/ethernet(以太网) ip tcp http关系?
    • 10.2. 序列标识?
    • 10.3. 结束包标识?
    • 10.4. Flags标识?
    • 10.5. 数据包分组的标识?
• 11. 实战案例

1. 网络协议基础

1.1. 应传网数物（应表会传网数物）

Wireshark 是分成了tcp/ip五层模型的方式

2. 三次握手

2.1. 第一次握手

2.2. 第二次握手

2.3. 第三次握手

2.4. 三次握手后流量特征

注1："TCP segment of a reassembled PDU"意味着你正在查看的是一个重新组装后的PDU中的一个TCP段。这通常发生在数据包的原始大小超过了网络的最大传输单元（MTU）时，因此数据在发送前被分割成多个段，并在接收端被重新组装。

3. 第一层—物理层（以太网）

简介：在物理层上所传数据的单位是比特。物理层的任务就是透明地传送比特流。

种类：以太网 · 调制解调器 · 电力线通信(PLC) · SONET/SDH · G.709 · 光导纤维 · 同轴电缆 · 双绞线等。

4. 第二层—数据链路层（PPP L2TP PPTP）

简介：两个相邻结点之间传送数据是直接传送的(点对点)，需要使用专门的链路层的协议，而在两个相邻结点之间传送数据时，数据链路层将网络层交下来的IP数据报组装成帧(framing)，在两个相邻结点之间的链路上“透明”地传送帧中的数据。

种类：Wi-Fi(IEEE 802.11) · WiMAX(IEEE 802.16) ·ATM · DTM · 令牌环 · 以太网 ·FDDI · 帧中继 · GPRS · EVDO ·HSPA · HDLC · PPP · L2TP ·PPTP ·
ISDN·STP · CSMA/CD等。

5. 第三层—网络层（IP ICMP ARP）

简介：1.在发送数据时，网络层把传输层产生的报文封装成分组或包进行传送。2.选则合适的路由，找到目的主机。

种类：IP (IPv4 · IPv6) · ICMP· ICMPv6·IGMP ·IS-IS · IPsec · ARP ·
RARP · RIP等。

5.1. ip协议解析

注1：Flags标记是否分片与流量包过大分包传输的主要区别在于：前者是数据包头部的一个标志位，用于指示数据包的状态或特性；而后者是一种数据传输机制，用于处理超过MTU限制的数据包。要注意的是，虽然flags标记和分包传输都与数据包的处理和传输有关，但它们在实际应用中可能相互独立或相互关联。例如，一个数据包可能因为其大小超过了MTU而被分片传输，同时其flags标记也可能指示其他状态或特性。

注2：Identification:02xa3f(10815) 为数据包标识，用于判断回复包的对应id

注3：TTL:128 意思是能跳转128个路由或交换机，超出128次，则丢弃。

5.2. ARP协议解析

6. 第四层—传输层（TCP UDP TLS）

简介：负责向两个主机中进程之间的通信提供服务。由于一个主机可同时运行多个进程，因此运输层有复用（多个应用层进程可同时使用下面传输层的服务）和分用（把收到的信息分别交付给上面应用层中相应的进程）的功能。

种类：TCP · UDP · TLS · DCCP · SCTP · RSVP · OSPF 等。

6.1. Tcp协议解析

注1：Stream index : 组序号，用来表示多个数据白是否属于同一组的id表示。

注2：TCP payload ：后续携带的相关数据

注3：TCP Segment : 当传输数据较大时，一个完整消息会被分割成多个请求包，每个请求包的大小。

注4：[Conversation completeness: Incomplete,ESTABLISHED(7)] ：会话完整标记，计算方法：
1:SYN 2:SYN-ACK 4:ACK 8:DATA 16:FIN 32:RST
如：7=1+2+4 表示一个仅包含标准TCP三次握手的会话。

7. 第五层—应用层（HTTP SSH FTP TELNET DNS）

简介：直接为用户的应用进程提供服务

种类： DNS · FTP（文件传送）· HTTP（万维网应用）· SMTP（电子邮件）·SSH
·TELNET · SNMP · POP3 ·RPC · RTCP · RTP · RTSP· SDP· SOAP · GTP · STUN
· NTP · SSDP · BGP · DHCP · Gopher · IMAP4 · IRC · SIP · NNTP · XMPP等。

8. https之wireshrk解密

8.1. 获取证书（略）

8.2. 进行动态获取对称加密密钥解码

1. 首先针对Chrome浏览器进行配置
   a) 先创建保存密期文件，最好是英文路径，文件以英文名称，如：
   E:\Wireshark\wiresharkkey\sslkeylog.log
   
   b) 找到Chrome的快捷方式，快捷方式->鼠标右键->快捷方式->目标，目标启动路径后面添加–ssl-key-log-file=E:\Wireshark\wiresharkkey\sslkeylog.log
   
2. 针对wireshark进行配置
   a) 编辑->首选项->Protocols->TLS->修改路径
   

3. 重启浏览器，解密成功。

9. wireshrk常用语法

9.1. 按协议查询

tcp，udp，arp，icmp，http，ftp，dns，ip，ssl等
排除arp包，如!arp 或者 not arp

9.2. 按ip地址查询

(ip.dst == 192.168.70.1 && ip.src == 192.168.70.128)

(ip.dst == 192.168.70.1 && ip.src == 192.168.70.128) || (ip.dst == 192.168.70.128 && ip.src == 192.168.70.1)

9.3. 按ip端口查询

tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

9.4. 按GET，POST查询

http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains "Host: "
http.request.method == “GET” && http contains "User-Agent: "
// POST包
http.request.method == “POST” && http contains "Host: "
http.request.method == “POST” && http contains "User-Agent: "
// 响应包
http contains “HTTP/1.1 200 OK” && http contains "Content-Type: "
http contains “HTTP/1.0 200 OK” && http contains "Content-Type: "

9.5. 按MAC查询

太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst == A0:00:00:04:C5:84
eth.dst == A0-00-00-04-C5-84

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

82)]

[外链图片转存中…(img-wE3r6dGl-1715559850982)]

[外链图片转存中…(img-RhhaZZza-1715559850983)]

[外链图片转存中…(img-nsYSk2Zh-1715559850983)]

[外链图片转存中…(img-6DYEg6Ea-1715559850983)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

本文标签： 数据包入门Wiresharkincompletecompleteness