admin管理员组文章数量:1567918
Wireshark数据包分析
- 1. 网络协议基础
-
- 1.1. 应传网数物(应表会传网数物)
- 2. 三次握手
-
- 2.1. 第一次握手
- 2.2. 第二次握手
- 2.3. 第三次握手
- 2.4. 三次握手后流量特征
- 2.1. 第一次握手
- 3. 第一层—物理层(以太网)
- 4. 第二层—数据链路层(PPP L2TP PPTP)
- 5. 第三层—网络层(IP ICMP ARP)
-
- 5.1. ip协议解析
- 5.2. ARP协议解析
- 5.1. ip协议解析
- 6. 第四层—传输层(TCP UDP TLS)
-
- 6.1. Tcp协议解析
- 7. 第五层—应用层(HTTP SSH FTP TELNET DNS)
- 8. https之wireshrk解密
-
- 8.1. 获取证书(略)
- 8.2. 进行动态获取对称加密密钥解码
- 8.1. 获取证书(略)
- 9. wireshrk常用语法
-
- 9.1. 按协议查询
- 9.2. 按ip地址查询
- 9.3. 按ip端口查询
- 9.4. 按GET,POST查询
- 9.5. 按MAC查询
- 9.6. 按包长度过滤
- 9.7. 按正则过滤
- 9.1. 按协议查询
- 10. 常见问题
-
- 10.1. Eth/ethernet(以太网) ip tcp http关系?
- 10.2. 序列标识?
- 10.3. 结束包标识?
- 10.4. Flags标识?
- 10.5. 数据包分组的标识?
- 10.1. Eth/ethernet(以太网) ip tcp http关系?
- 11. 实战案例
1. 网络协议基础
1.1. 应传网数物(应表会传网数物)
Wireshark 是分成了tcp/ip五层模型的方式
2. 三次握手
2.1. 第一次握手
2.2. 第二次握手
2.3. 第三次握手
2.4. 三次握手后流量特征
注1:"TCP segment of a reassembled PDU"意味着你正在查看的是一个重新组装后的PDU中的一个TCP段。这通常发生在数据包的原始大小超过了网络的最大传输单元(MTU)时,因此数据在发送前被分割成多个段,并在接收端被重新组装。
3. 第一层—物理层(以太网)
简介:在物理层上所传数据的单位是比特。物理层的任务就是透明地传送比特流。
种类:以太网 · 调制解调器 · 电力线通信(PLC) · SONET/SDH · G.709 · 光导纤维 · 同轴电缆 · 双绞线等。
4. 第二层—数据链路层(PPP L2TP PPTP)
简介:两个相邻结点之间传送数据是直接传送的(点对点),需要使用专门的链路层的协议,而在两个相邻结点之间传送数据时,数据链路层将网络层交下来的IP数据报组装成帧(framing),在两个相邻结点之间的链路上“透明”地传送帧中的数据。
种类:Wi-Fi(IEEE 802.11) · WiMAX(IEEE 802.16) ·ATM · DTM · 令牌环 · 以太网 ·FDDI · 帧中继 · GPRS · EVDO ·HSPA · HDLC · PPP · L2TP ·PPTP ·
ISDN·STP · CSMA/CD等。
5. 第三层—网络层(IP ICMP ARP)
简介:1.在发送数据时,网络层把传输层产生的报文封装成分组或包进行传送。2.选则合适的路由,找到目的主机。
种类:IP (IPv4 · IPv6) · ICMP· ICMPv6·IGMP ·IS-IS · IPsec · ARP ·
RARP · RIP等。
5.1. ip协议解析
注1:Flags标记是否分片与流量包过大分包传输的主要区别在于:前者是数据包头部的一个标志位,用于指示数据包的状态或特性;而后者是一种数据传输机制,用于处理超过MTU限制的数据包。要注意的是,虽然flags标记和分包传输都与数据包的处理和传输有关,但它们在实际应用中可能相互独立或相互关联。例如,一个数据包可能因为其大小超过了MTU而被分片传输,同时其flags标记也可能指示其他状态或特性。
注2:Identification:02xa3f(10815) 为数据包标识,用于判断回复包的对应id
注3:TTL:128 意思是能跳转128个路由或交换机,超出128次,则丢弃。
5.2. ARP协议解析
6. 第四层—传输层(TCP UDP TLS)
简介:负责向两个主机中进程之间的通信提供服务。由于一个主机可同时运行多个进程,因此运输层有复用(多个应用层进程可同时使用下面传输层的服务)和分用(把收到的信息分别交付给上面应用层中相应的进程)的功能。
种类:TCP · UDP · TLS · DCCP · SCTP · RSVP · OSPF 等。
6.1. Tcp协议解析
注1:Stream index : 组序号,用来表示多个数据白是否属于同一组的id表示。
注2:TCP payload :后续携带的相关数据
注3:TCP Segment : 当传输数据较大时,一个完整消息会被分割成多个请求包,每个请求包的大小。
注4:[Conversation completeness: Incomplete,ESTABLISHED(7)] :会话完整标记,计算方法:
1:SYN 2:SYN-ACK 4:ACK 8:DATA 16:FIN 32:RST
如:7=1+2+4 表示一个仅包含标准TCP三次握手的会话。
7. 第五层—应用层(HTTP SSH FTP TELNET DNS)
简介:直接为用户的应用进程提供服务
种类: DNS · FTP(文件传送)· HTTP(万维网应用)· SMTP(电子邮件)·SSH
·TELNET · SNMP · POP3 ·RPC · RTCP · RTP · RTSP· SDP· SOAP · GTP · STUN
· NTP · SSDP · BGP · DHCP · Gopher · IMAP4 · IRC · SIP · NNTP · XMPP等。
8. https之wireshrk解密
8.1. 获取证书(略)
8.2. 进行动态获取对称加密密钥解码
- 首先针对Chrome浏览器进行配置
a) 先创建保存密期文件,最好是英文路径,文件以英文名称,如:
E:\Wireshark\wiresharkkey\sslkeylog.log
b) 找到Chrome的快捷方式,快捷方式->鼠标右键->快捷方式->目标,目标启动路径后面添加–ssl-key-log-file=E:\Wireshark\wiresharkkey\sslkeylog.log
- 针对wireshark进行配置
a) 编辑->首选项->Protocols->TLS->修改路径
3. 重启浏览器,解密成功。
9. wireshrk常用语法
9.1. 按协议查询
tcp,udp,arp,icmp,http,ftp,dns,ip,ssl等
排除arp包,如!arp 或者 not arp
9.2. 按ip地址查询
(ip.dst == 192.168.70.1 && ip.src == 192.168.70.128)
(ip.dst == 192.168.70.1 && ip.src == 192.168.70.128) || (ip.dst == 192.168.70.128 && ip.src == 192.168.70.1)
9.3. 按ip端口查询
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
9.4. 按GET,POST查询
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains "Host: "
http.request.method == “GET” && http contains "User-Agent: "
// POST包
http.request.method == “POST” && http contains "Host: "
http.request.method == “POST” && http contains "User-Agent: "
// 响应包
http contains “HTTP/1.1 200 OK” && http contains "Content-Type: "
http contains “HTTP/1.0 200 OK” && http contains "Content-Type: "
9.5. 按MAC查询
太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst == A0:00:00:04:C5:84
eth.dst == A0-00-00-04-C5-84
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
82)]
[外链图片转存中…(img-wE3r6dGl-1715559850982)]
[外链图片转存中…(img-RhhaZZza-1715559850983)]
[外链图片转存中…(img-nsYSk2Zh-1715559850983)]
[外链图片转存中…(img-6DYEg6Ea-1715559850983)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
本文标签: 数据包入门Wiresharkincompletecompleteness
版权声明:本文标题:Wireshark数据包分析入门_conversation completeness incomplete(3) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1725455950a1024185.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论