由浅入深wireshark抓包分析网络协议

喜欢ヅ旅行 2022-11-10 03:56 270阅读 0赞

# Ping #

首先从简单的ping入手，ping一下百度，看一看抓包情况  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70]  
Ping 的原理是 **ICMP** 协议.  
ICMP 的全称是 Intent Control Message Protocol, 中文过来就是 **互联网控制报文协议**

网络数据包在庞大的网络中会很多各种不同情况。如果一定需要举一个例子来比如的话，用相当于兵种的侦察兵。时刻给大部队探测前方的情况。以便后方的大部队能够根据不同情况做出不同的调整。所以 ICMP 经常用于网络环境的测试。  
**ICMP位于七层中的网络层**

### 1、先打开wireshark的监听 ###

在选项中勾选要监听的网卡![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 1]

### 2、然后 ping一下baidu ###

![在这里插入图片描述][20210316113235219.png]

### 3、在抓到的包里筛选一下 ###

ip.addr==39.156.66.14 and icmp

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 2]  
就可以看到ping百度所发出和接受的所有信息了

--------------------

# TCP三次握手 #

以访问华为官网为例  
和ping过程一样，先打开监听，然后访问华为官网，  
然后筛选出我们要找的ip地址（可以通过ping指令获取地址）  
这里就看到了tcp握手的过程  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 3]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 4]

--------------------

# HTTP追踪流 #

浏览器访问hao123.com，抓包分析如下  
右键追踪http流发现  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 5]在HTTP建立连接之前发生了TCP三次握手  
打开第四条http记录  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 6]自上而下我分别是链路层，网络层，传输层，应用层  
http请求和相应报文（红色request，蓝色response）  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 7]完全符合http报文格式  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 8]  
响应报文与请求类似，只是请求行变成状态行，请求题变成响应体  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 9]  
有趣的是，在抓包实验的时候，意外抓到了一个有趣的http包，追踪流一看竟然是一直开着的网抑云，163太熟悉了，但报文内容似乎是加密了，不是明文难以理解，大致过程应该是客户端向网抑云的歌词接口post了个请求，发回来的是相应的歌词信息等等。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 10]

> 学网络的过程是很有趣的，发现了许多平时使用网络时忽略掉的东西，真正了解其原理的感觉实在是太棒了！

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70]: /images/20221023/9533c6798f134ead9dffcdbcdac15d8e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 1]: /images/20221023/3ac2e7faaf4048208f807b8e62c27cef.png
[20210316113235219.png]: /images/20221023/a759a284dd73447d8bee9f254c4a9678.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 2]: /images/20221023/f7a96d6182274cdd900e72b700a3850e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 3]: /images/20221023/36c15211b4344e64b9c970b3957cb2df.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 4]: /images/20221023/f7a3f6ceb84b4d27b72b58868f88d273.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 5]: /images/20221023/942a3fc134b349f5a2a63e688ead90d0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 6]: /images/20221023/d520d5a4ed4545a2b3671aca3598cb13.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 7]: /images/20221023/03a7645095714711be0ab52f52f59b06.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 8]: /images/20221023/d74b686d55cf4885a0753091a803979e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 9]: /images/20221023/3db8071e63a844adb4640d6b4036a039.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Nsb3VkMTIwOQ_size_16_color_FFFFFF_t_70 10]: /images/20221023/7d07e036c4624a93a33440ea29565477.png