使用wireshark抓包分析TCP三次握手

wireshark/r/n是非常流行的網(wǎng)絡封包分析軟件，功能十分強大?？梢越厝「鞣N網(wǎng)絡封包，顯示網(wǎng)絡封包的詳/r/n細信息。使用/r/nwireshark/r/n的人必須了解網(wǎng)絡協(xié)議，否則就看不懂/r/nwireshark/r/n了。/r/n為了安全考慮，/r/nwireshark/r/n只能查看封包，而不能修改封包的內容，或者發(fā)送封包。/r/nwireshark/r/n能獲取/r/nHTTP/r/n，也能獲取/r/nHTTPS/r/n，但是不能解密/r/nHTTPS/r/n，所以/r/nwireshark/r/n看不懂/r/nHTTPS/r/n中的內/r/n容，總結，如果是處理/r/nHTTP,HTTPS/r/n還是用/r/nFiddler,/r/n其他協(xié)議比如/r/nTCP,UDP/r/n就用/r/nwireshark./r/nWireshark(/r/n網(wǎng)絡嗅探抓包工具/r/n)v1.4.9/r/n中文版/r/n(/r/n包含中文手冊/r/n+/r/n主界面的操作菜單/r/n)/r/n評分/r/n:/r/n4.6/r/n類別：遠程監(jiān)控大?。?r/n22M/r/n語言：中文/r/n查看詳細信息/r/n>>/r/n下載/r/n1690/r/n次/r/nwireshark/r/n開始抓包/r/n開始界面/r/nwireshark/r/n是捕獲機器上的某一塊網(wǎng)卡的網(wǎng)絡包/r/n，當你的機器上有多塊網(wǎng)卡的時候，你需要選擇一個網(wǎng)/r/n卡。/r/n點擊/r/nCaputre->Interfaces../r/n出現(xiàn)下面對話框，選擇正確的網(wǎng)卡。然后點擊/r/n"Start"/r/n按鈕/r/n,/r/n開始抓包/r/nWireshark/r/n窗口介紹/r/nWireShark/r/n主要分為這幾個界面/r/n1.DisplayFilter(/r/n顯示過濾器/r/n)/r/n，用于過濾/r/n2.PacketListPane(/r/n封包列表/r/n)/r/n，顯示捕獲到的封包，有源地址和目標地址，端口號。顏色不同，代表/r/n3.PacketDetailsPane(/r/n封包詳細信息/r/n),/r/n顯示封包中的字段/r/n4.DissectorPane(16/r/n進制數(shù)據(jù)/r/n)/r/n5.Miscellanous(/r/n地址欄，雜項/r/n)/r/nWireshark/r/n顯示過濾/r/n使用過濾是非常重要的，初學者使用/r/nwireshark/r/n時，將會得到大量的冗余信息，在幾千甚至幾萬條記錄/r/n中，以至于很難找到自己需要的部分。搞得暈頭轉向。/r/n過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。/r/n過濾器有兩種，/r/n一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄/r/n一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。在/r/nCapture->CaptureFilters/r/n中設置/r/n保存過濾/r/n在/r/nFilter/r/n欄上，填好/r/nFilter/r/n的表達式后，點擊/r/nSave/r/n按鈕，取個名字。比如/r/n"Filter102",/r/nFilter/r/n欄上就多了個/r/n"Filter102"/r/n的按鈕。/r/n過濾表達式的規(guī)則/r/n表達式規(guī)則/r/n1./r/n協(xié)議過濾/r/n比如/r/nTCP/r/n，只顯示/r/nTCP/r/n協(xié)議。/r/n2.IP/r/n過濾/r/n比如/r/nip.src==02/r/n顯示源地址為/r/n02/r/n，/r/nip.dst==02,/r/n目標地址為/r/n02/r/n3./r/n端口過濾/r/ntcp.port==80,/r/n端口為/r/n80/r/n的/r/ntcp.srcport==80,/r/n只顯示/r/nTCP/r/n協(xié)議的愿端口為/r/n80/r/n的。/r/n4.Http/r/n模式過濾/r/nhttp.request.method=="GET",/r/n只顯示/r/nHTTPGET/r/n方法的。/r/n5./r/n邏輯運算符為/r/nAND/OR/r/n常用的過濾表達式/r/n過濾表達式/r/n用途/r/nhttp/r/n只查看/r/nHTTP/r/n協(xié)議的記錄/r/nip.src==02orip.dst==02/r/n源地址或者目標地址是/r/n02/r/n封包列表/r/n(PacketListPane)/r/n封包列表的面板中顯示，編號，時間戳，源地址，目標地址，協(xié)議，長度，以及封包信息。你可以看到/r/n不同的協(xié)議用了不同的顏色顯示。/r/n你也可以修改這些顯示顏色的規(guī)則，/r/nView->ColoringRules./r/n封包詳細信息/r/n(PacketDetailsPane)/r/n這個面板是我們最重要的，用來查看協(xié)議中的每一個字段。/r/n各行信息分別為/r/nFrame:/r/n物理層的數(shù)據(jù)幀概況/r/nEthernetII:/r/n數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息/r/nInternetProtocolVersion4:/r/n互聯(lián)網(wǎng)層/r/nIP/r/n包頭部信息/r/nTransmissionControlProtocol:/r/n傳輸層/r/nT/r/n的數(shù)據(jù)段頭部信息，此處是/r/nTCP/r/nHy/r/npertextTransferProtocol:/r/n應用層的信息，此處是/r/nHTTP/r/n協(xié)議/r/nwireshark/r/n與對應的/r/nOSI/r/n七層模型/r/nTCP/r/n包的具體內容/r/n從下圖可以看到/r/nwireshark/r/n捕獲到的/r/nTCP/r/n包中的每個字段。/r/n實例分析/r/nTCP/r/n三次握手過程/r/n看到這，基本上對/r/nwireshak/r/n有了初步了解，現(xiàn)在我們看一個/r/nTCP/r/n三次握手的實例/r/n三次握手過程為/r/n這圖我都看過很多遍了，這次我們用/r/nwireshark/r/n實際分析下三次握手的過程。/r/n打開/r/nwireshark,/r/n打開瀏覽器輸入/r/n/r/n在/r/nwireshark/r/n中輸入/r/nhttp/r/n過濾，然后選中/r/nGET/tankxiaoHTTP/1.1/r/n的那條記錄，右鍵然后點擊/r/n"FollowTCP/r/nStream",/r/n這樣做的目的是為了得到與瀏覽器打開網(wǎng)站相關的數(shù)據(jù)包，將得到如下圖/r/n圖中可以看到/r/nwireshark/r/n截獲到了三次握手的三個數(shù)據(jù)包。第四個包才是/r/nHTTP/r/n的，這說明/r/nHTTP/r/n的確是使/r/n用/r/nTCP/r/n建立連接的。/r/n第一次握手數(shù)據(jù)包/r/n客戶端發(fā)送一個/r/nTCP/r/n，標志位為/r/nSYN/r/n，序列號為/r/n0/r/n，代表客戶端請求建立連接。如下圖/r/n第二次握手的數(shù)據(jù)包/r/n服務器發(fā)回確認包/r/n,/r/n標志位為/r/nSYN,ACK./r/n將確認序號/r/n(AcknowledgementNumber)/r/n設置為客戶的/r/nISN/r/n加/r/n1/r/n以/r/n./r/n即/r/n0+1=1,/r/n如下圖/r/n第三次握手的數(shù)據(jù)包/r/n客戶端再次發(fā)送確認包/r/n(ACK)SYN