تقدم هذه المقالة أداة أخرى مفيدة لالتقاط الحزم ، Wireshark ، تستخدم للحصول على حزم بيانات الشبكة ، بما في ذلك حزم HTTP و TCP و UDP وحزم بروتوكول الشبكة الأخرى.
أتذكر أنني تعلمت بروتوكول مصافحة TCP ثلاث مرات عندما كنت في الكلية. في ذلك الوقت ، كنت أعلم أنه على الرغم من أنني قد قرأت الكثير من مواد TCP و UDP في الكتاب ، إلا أنني لم أر أبدًا حزم البيانات هذه. شعرت دائمًا أنني كنت أطفو على السحابة ولم أكن أتعلم بشكل مطرد. مع Wireshark ، يمكن اعتراض حزم الشبكة هذه ويمكن رؤية كل حقل في الحزمة بوضوح. يمكن أن يعمق فهمنا لبروتوكولات الشبكة.
بالنسبة لي ، تعتبر Wireshark أفضل أداة لتعلم بروتوكولات الشبكة.
قراءة المحتويات
مقدمة إلى Wireshark
موقع التنزيل الرسمي لـ Wireshark: http://www.wireshark.org/
Wireshark هو برنامج تحليل حزم الشبكات الشهير للغاية مع وظائف قوية للغاية. يمكن اعتراض حزم الشبكة المختلفة ويمكن عرض معلومات مفصلة عن حزم الشبكة.
Wireshark هو برنامج مفتوح المصدر يمكن استخدامه بثقة. يمكن تشغيل على Windows و Mac OS.
يجب على الأشخاص الذين يستخدمون Wireshark فهم بروتوكول الشبكة ، وإلا فلن يفهموا Wireshark.
ما لا يستطيع wireshark فعله
لأسباب أمنية ، لا يمكن لـ Wireshark عرض الحزمة إلا ، ولكن لا يمكن تعديل محتوى الحزمة ، أو إرسال الحزمة.
Wireshark مقابل Fiddler
Fiddler هو برنامج يعمل على Windows ، يستخدم خصيصًا لالتقاط HTTP و HTTPS.
يمكن لـ Wireshark الحصول على HTTP و HTTPS ، ولكن لا يمكن فك تشفير HTTPS ، لذلك لا يمكن لـ Wireshark فهم المحتوى في HTTPS.
باختصار ، إذا كنت تستخدم HTTP أو HTTPS أو Fiddler ، فاستخدم بروتوكولات أخرى مثل TCP و UDP ، استخدام Wireshark
أدوات أخرى من نفس النوع
شاشة شبكة Microsoft
sniffer
من سيستخدم wireshark
1. سيستخدم مسؤولو الشبكة Wireshark للتحقق من مشاكل الشبكة
2. يستخدم مهندسو اختبار البرمجيات Wireshark لالتقاط الحزم لتحليل البرنامج الذي اختبروه
3. المهندسون المشاركون في برمجة المقبس سيستخدمون Wireshark للتصحيح
4. سمعت أن معظم المهندسين في Huawei و ZTE يستخدمون Wireshark.
باختصار ، يمكن استخدام Wireshark للأشياء المتعلقة بالإنترنت.
ويرشارك يبدأ الاستيلاء
ابدأ الواجهة
Wireshark هي حزمة شبكة تلتقط بطاقة شبكة معينة على الجهاز. عندما يكون هناك عدة بطاقات شبكة على جهازك ، تحتاج إلى اختيار بطاقة شبكة.
انقر فوق Caputre-> واجهات .. يظهر مربع الحوار التالي وحدد بطاقة الشبكة الصحيحة. ثم انقر فوق الزر "ابدأ" للبدء في الاستيلاء
مقدمة نافذة Wireshark
ينقسم Wireshark بشكل أساسي إلى هذه الواجهات
1. مرشح العرض ، يستخدم للتصفية
2. Packet List Pane (قائمة الحزم) ، يعرض الحزمة التي تم التقاطها والعنوان النشط وعنوان الوجهة ورقم المنفذ. ألوان مختلفة تمثل
3. جزء تفاصيل الحزمة (تفاصيل الحزمة) ، عرض الحقول في الحزمة
4. جزء المصمم (بيانات سداسية عشرية)
5. Miscellanous (شريط العناوين ، متنوعة)
Wireshark Display Filtering
استخدام التصفية أمر مهم للغاية. عندما يستخدم المبتدئون Wireshark ، سيحصلون على الكثير من المعلومات الزائدة ، والتي يصعب العثور عليها في الجزء الذي يحتاجون إليه بآلاف أو حتى عشرات الآلاف من السجلات. جعلني بالدوار.
سوف تساعدنا المرشحات في العثور بسرعة على المعلومات التي نحتاجها في كمية كبيرة من البيانات.
هناك نوعان من المرشحات.
أحدهما هو مرشح العرض ، وهو الواجهة الموجودة على الواجهة الرئيسية ، المستخدمة للعثور على السجلات المطلوبة في السجلات التي تم التقاطها.
أحدهما هو مرشح التقاط ، والذي يستخدم لتصفية الحزم الملتقطة لتجنب التقاط الكثير من السجلات. الإعدادات في التقاط -> التقاط مرشحات
حفظ المرشح
في عمود التصفية ، بعد ملء تعبير المرشح ، انقر فوق الزر "حفظ" واعطه اسمًا. على سبيل المثال ، "Filter 102" ،
يوجد زر "مرشح 102" إضافي على شريط التصفية.
قواعد تصفية التعبيرات
قواعد التعبير
1. تصفية البروتوكول
على سبيل المثال ، يعرض TCP فقط بروتوكول TCP.
2. تصفية IP
على سبيل المثال ، يوضح ip.src == 192.168.1.102 أن عنوان المصدر هو 192.168.1.102.
IP.DST == 192.168.1.102 ، العنوان الهدف هو 192.168.1.102
3. تصفية المنفذ
tcp.port == 80 ، المنفذ 80
TCP.SRCPORT == 80 ، يعرض فقط أن منفذ الرغبة في بروتوكول TCP هو 80.
4. تصفية وضع HTTP
http.request.method == "get" ، يعرض فقط طريقة الحصول على HTTP.
5. المشغل المنطقي هو و/أو
تعبيرات مرشح شائعة الاستخدام
| تصفية تعبيرات | يستخدم |
| http | عرض فقط سجلات بروتوكول HTTP |
| ip.src == 192.168.1.102 أو ip.dst == 192.168.1.102 | عنوان المصدر أو عنوان الوجهة هو 192.168.1.102 |
Packet List Pane
تعرض قائمة الحزمة الرقم ، والطابع الزمني ، وعنوان المصدر ، وعنوان الوجهة ، والبروتوكول ، والطول ، ومعلومات الحزمة في اللوحة. يمكنك أن ترى أن البروتوكولات المختلفة يتم عرضها بألوان مختلفة.
يمكنك أيضًا تعديل قواعد ألوان العرض هذه ، عرض -> قواعد التلوين.
جزء تفاصيل الحزمة
هذه اللوحة هي أهم شيء لعرض كل حقل في البروتوكول.
المعلومات في كل سطر
الإطار: نظرة عامة على إطارات البيانات للطبقة الفعلية
Ethernet II: معلومات ارتباط البيانات معلومات رأس إطار Ethernet
إصدار بروتوكول الإنترنت 4: معلومات رأس حزمة IP طبقة الإنترنت
بروتوكول التحكم في الإرسال: معلومات رأس قطاع البيانات لطبقة النقل T ، هنا TCP
بروتوكول نقل النص التشعبي: معلومات طبقة التطبيق ، إليك بروتوكول HTTP
Wireshark ونموذج OSI سبع طبقات المقابلة
محتوى محدد لحزمة TCP
من الشكل أدناه ، يمكنك رؤية كل حقل في حزمة TCP التي تم التقاطها بواسطة Wireshark.
مثال تحليل عملية المصافحة ثلاث مرات TCP
رؤية هذا ، لقد اكتسبت بشكل أساسي فهمًا أوليًا لـ Wireshak. الآن دعونا نلقي نظرة على مثال على المصافحة TCP ثلاث مرات.
عملية المصافحة ثلاث مرات
لقد رأيت هذه الصورة عدة مرات. هذه المرة نستخدم Wireshark لتحليل عملية ثلاثة مصافحة بالفعل.
افتح wireshark ، افتح المتصفح وأدخل http://www.cnblogs.com/tankxiao
أدخل HTTP للتصفية في Wireshark ، ثم حدد سجل Get /Tankxiao HTTP /1.1 ، انقر بزر الماوس الأيمن وانقر فوق "اتبع تيار TCP" ،
والغرض من ذلك هو الحصول على حزم البيانات المتعلقة بفتح موقع الويب بواسطة المتصفح. ستحصل على الصورة التالية
في الشكل ، يمكنك أن ترى أن Wireshark اعترض ثلاث حزم بيانات من ثلاث مصافحة. الحزمة الرابعة هي HTTP ، والتي توضح أن HTTP يستخدم TCP لإنشاء اتصالات.
حزمة المصافحة الأولى
يرسل العميل TCP مع SYN SYN والرقم التسلسلي هو 0 ، وهو ما يمثل طلب العميل لإنشاء اتصال. الرقم التالي
حزمة البيانات للمصافحة الثانية
يقوم الخادم بإرسال حزمة التأكيد ، وعلم SYN و ACK. اضبط رقم التأكيد (رقم الإقرار) على العميل ISN Plus 1. أي 0+1 = 1 ، كما هو موضح في الشكل أدناه
حزمة البيانات للمصافحة الثالثة
يرسل العميل حزمة الإقرار (ACK) مرة أخرى. Bit Syn Syn هو 0 و Plg Dlag هو 1. والخادم يرسل حقل رقم ACK +1 ويضع حقل التأكيد على الطرف الآخر. ويضع +1 من ISN في قطاع البيانات ، كما هو موضح في الشكل أدناه:
وبهذه الطريقة ، تم تمرير مصافحة TCP ثلاث مرات وتم تأسيس الاتصال.
ما سبق هو المقدمة الأساسية لـ Wireshark وتعلم TCP ثلاث مرات. سوف نستمر في تنظيم المعرفة ذات الصلة في المستقبل. شكرا لك على دعمك لهذا الموقع!