Wireshark抓包介绍和TCP三次握手分析
wireshark介绍浏览器
wireshark的官方下载网站: http://www.wireshark.org/安全
wireshark是很是流行的网络封包分析软件,功能十分强大。能够截取各类网络封包,显示网络封包的详细信息。服务器
wireshark是开源软件,能够放心使用。 能够运行在Windows和Mac OS上。网络
使用wireshark的人必须了解网络协议,不然就看不懂wireshark。tcp
Wireshark不能作的
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。网站
wireshark 开始抓包
下面是开始界面spa
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你须要选择一个网卡,通常选择有数据传输的那个。.net
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。而后点击"Start"按钮,开始抓包。blog
Wireshark 窗口介绍
WireShark 主要分为这几个界面ip
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不一样,表明
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
Wireshark 显示过滤
使用过滤是很是重要的, 初学者使用wireshark时,将会获得大量的冗余信息,在几千甚至几万条记录中,以致于很难找到本身须要的部分。搞得晕头转向。
过滤器会帮助咱们在大量的数据中迅速找到咱们须要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所须要的记录
一种是捕获过滤器,用来过滤捕获的封包,以避免捕获太多的记录。 在Capture -> Capture Filters 中设置
过滤表达式的规则
表达式规则
1. 协议过滤
好比TCP,只显示TCP协议。
2. IP 过滤
好比 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的源端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
经常使用的过滤表达式
| 过滤表达式 |
用途 |
| http |
只查看HTTP协议的记录 |
| ip.src ==192.168.1.102 or ip.dst==192.168.1.102 |
源地址或者目标地址是192.168.1.102 |
封包列表(Packet List Pane)
封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你能够看到不一样的协议用了不一样的颜色显示。
你也能够修改这些显示颜色的规则, View ->Coloring Rules.
封包详细信息 (Packet Details Pane)
这个面板是咱们最重要的,用来查看协议中的每个字段。
各行信息分别为
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
wireshark与对应的OSI七层模型
TCP包的具体内容
从下图能够看到wireshark捕获到的TCP包中的每一个字段。
实例分析TCP三次握手过程
看到这里, 基本上对wireshak有了初步了解, 如今咱们看一个TCP三次握手的实例:
三次握手过程为
此次咱们用wireshark实际分析下三次握手的过程。
打开wireshark, 打开浏览器输入 http://blog.csdn.net/xifeijian
在wireshark中输入http过滤, 而后选中GET /tankxiao HTTP/1.1的那条记录,右键而后点击"Follow TCP Stream",
这样作的目的是为了获得与浏览器打开网站相关的数据包,将获得以下图:
图中能够看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP创建链接的。
第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 表明客户端请求创建链接。 以下图
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 以下图
第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.而且把服务器发来ACK的序号字段+1,放在肯定字段中发送给对方.而且在数据段放写ISN的+1, 以下图:
就这样经过TCP三次握手,创建了链接。
- 1. Wireshark抓包介绍和TCP三次握手分析
- 2. WireShark抓包分析TCP三次握手
- 3. TCP三次握手wireshark抓包分析
- 4. Wireshark抓包分析TCP三次握手
- 5. tcp三次握手(wireshark)抓包分析
- 6. tcp段格式分析,wireshark抓包分析tcp三次握手
- 7. 抓包分析TCP的三次握手和四次握手
- 8. 抓包工具 - Wireshark(详细介绍与TCP三次握手数据分析)
- 9. 【抓包工具】Wireshark(详细介绍与TCP三次握手数据分析)
- 10. 抓包分析TCP三次握手
- 更多相关文章...
- • TCP三次握手建立连接的过程 - TCP/IP教程
- • Spring目录结构和基础JAR包介绍 - Spring教程
- • Java Agent入门实战(一)-Instrumentation介绍与使用
- • Git五分钟教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。