In diesem Artikel wird ein weiteres nützliches Paket -Capture -Tool vorgestellt, Wireshark, das zum Abholen von Netzwerkdatenpaketen verwendet wird, einschließlich HTTP, TCP, UDP und anderen Netzwerkprotokollpaketen.
Ich erinnere mich, dass ich das dreimalige Handshake-Protokoll gelernt habe, als ich im College war. Zu dieser Zeit wusste ich nur, dass ich diese Datenpakete nie wirklich gesehen hatte, obwohl ich in dem Buch eine Menge TCP- und UDP -Materialien gelesen hatte. Ich hatte immer das Gefühl, in der Wolke zu schweben und ich lernte nicht stetig. Bei Wireshark können diese Netzwerkpakete abgefangen werden und jedes Feld im Paket ist deutlich zu sehen. Es kann unser Verständnis von Netzwerkprotokollen weiter vertiefen.
Für mich ist Wireshark das beste Tool, um Netzwerkprotokolle zu lernen.
Inhalt lesen
Einführung in Wireshark
Wiresharks offizielle Download -Website: http://www.wireshark.org/
Wireshark ist eine sehr beliebte Software für Netzwerkpaketanalyse mit sehr leistungsstarken Funktionen. Verschiedene Netzwerkpakete können abgefangen werden und detaillierte Informationen von Netzwerkpaketen können angezeigt werden.
Wireshark ist eine Open -Source -Software, die mit Zuversicht verwendet werden kann. Kann unter Windows und Mac OS ausgeführt werden.
Menschen, die Wireshark verwenden, müssen das Netzwerkprotokoll verstehen, sonst verstehen sie Wireshark nicht.
Was Wireshark nicht tun kann
Aus Sicherheitsgründen kann Wireshark das Paket nur anzeigen, kann jedoch den Inhalt des Pakets nicht ändern oder das Paket senden.
Wireshark gegen Fiddler
Fiddler ist ein Programm, das unter Windows ausgeführt wird und speziell zum Erfassen von HTTP und HTTPS verwendet wird.
Wireshark kann HTTP und HTTPS erhalten, kann aber nicht HTTPS entschlüsseln, sodass Wireshark den Inhalt in HTTPS nicht verstehen kann.
Zusammenfassend, wenn Sie HTTP, HTTPS oder Fiddler verwenden, verwenden andere Protokolle wie TCP und UDP Wireshark
Andere Werkzeuge des gleichen Typs
Microsoft Network Monitor
Schnüffler
Wer würde Wireshark benutzen
1. Netzwerkadministratoren verwenden Wireshark, um Netzwerkprobleme zu überprüfen
2. Software -Testingenieure verwenden Wireshark, um Pakete zu erfassen, um die von ihnen getestete Software zu analysieren
3. Ingenieure, die mit Socket -Programmierung tätig sind, werden Wireshark zum Debuggen verwenden
4. Ich habe gehört, dass die meisten Ingenieure bei Huawei und ZTE Wireshark verwenden.
Kurz gesagt, Wireshark kann für Dinge im Zusammenhang mit dem Internet verwendet werden.
Wireshark beginnt zu greifen
Starten Sie die Schnittstelle
Wireshark ist ein Netzwerkpaket, das eine bestimmte Netzwerkkarte auf dem Computer erfasst. Wenn Sie mehrere Netzwerkkarten auf Ihrem Computer haben, müssen Sie eine Netzwerkkarte auswählen.
Klicken Sie auf Caputre-> Schnittstellen. Das folgende Dialogfeld wird angezeigt und wählen Sie die richtige Netzwerkkarte. Klicken Sie dann auf die Schaltfläche "Starten", um das Greifen zu beginnen
Wireshark Fenster Einführung
Wireshark ist hauptsächlich in diese Schnittstellen unterteilt
1. Anzeigefilter, der zum Filterung verwendet wird
2. Paketlistenbereich (Paketliste), Zeigt das erfasste Paket, die aktive Adresse und die Zieladresse und die Portnummer an. Verschiedene Farben repräsentieren
3. Paketdetailsbereich (Paketdetails), die Felder im Paket anzeigen
4. Dissektorbereich (Hexadezimaldaten)
5. Miscellanous (Adressbar, Verschiedenes)
Wireshark Display -Filterung
Die Verwendung der Filterung ist sehr wichtig. Wenn Anfänger Wireshark verwenden, erhalten sie viele redundante Informationen, was so schwierig ist, das Teil, das sie benötigen, in Tausenden oder sogar Zehntausenden von Aufzeichnungen zu finden. Es machte mich schwindelig.
Filter helfen uns, die Informationen, die wir benötigen, schnell in einer großen Datenmenge zu finden.
Es gibt zwei Arten von Filtern.
Eines ist der Anzeigefilter, der auf der Hauptschnittstelle, mit der die erforderlichen Datensätze in den erfassten Datensätzen ermittelt werden.
Einer ist ein Erfassungsfilter, mit dem erfasste Pakete gefiltert werden, um zu viele Datensätze zu erfassen. Einstellungen in Capture -> Erfassungsfilter
Filter speichern
Klicken Sie in der Filterspalte nach dem Ausfüllen des Filterausdrucks auf die Schaltfläche Speichern und geben Sie ihm einen Namen an. Zum Beispiel "Filter 102",
Auf der Filterleiste befindet sich eine zusätzliche "Filter 102" -Taste.
Regeln für die Filterung von Ausdrücken
Ausdrucksregeln
1. Protokollfilterung
Beispielsweise zeigt TCP nur das TCP -Protokoll an.
2. IP -Filterung
Beispielsweise zeigt IP.src == 192.168.1.102, dass die Quelladresse 192.168.1.102 ist.
ip.dst == 192.168.1.102, die Zieladresse ist 192.168.1.102
3. Portfilterung
tcp.port == 80, Port 80
tcp.srcport == 80 zeigt nur, dass der Wunschport des TCP -Protokolls 80 beträgt.
4. Filterung des HTTP -Modus
http.request.method == "get", Zeigt nur die HTTP -GET -Methode an.
5. Der logische Operator ist und/oder
Häufig verwendete Filterausdrücke
| Filterausdrücke | verwenden |
| http | Zeigen Sie nur die HTTP -Protokolldatensätze an |
| ip.src == 192.168.1.102 oder ip.dst == 192.168.1.102 | Die Quelladresse oder Zieladresse lautet 192.168.1.102 |
Paketlistenbereich
In der Paketliste werden die Informationen, Zeitstempel, Quelladresse, Zieladresse, Protokoll, Länge und Paketinformationen im Panel angezeigt. Sie können sehen, dass verschiedene Protokolle in verschiedenen Farben angezeigt werden.
Sie können diese Regeln der Anzeigefarben auch ändern, Ansicht -> Malvorlagen.
Paketdetailsbereiche
Dieses Panel ist unsere wichtigste Sache, jedes Feld im Protokoll zu sehen.
Die Informationen in jeder Zeile sind
Rahmen: Überblick über Datenrahmen für die physische Schicht
Ethernet II: Datenverbindungsschicht Ethernet -Frame -Header -Informationen
Internet -Protokollversion 4: Internet -Layer -IP -Paket -Header -Informationen
Transmissionsregelungsprotokoll: Die Datensegment -Headerinformationen der Transportschicht t, hier ist TCP
Hypertext -Transferprotokoll: Anwendungsschichtinformationen, hier ist das HTTP -Protokoll
Wireshark und das entsprechende OSI-Siebenschichtmodell
Spezifischer Inhalt des TCP -Pakets
Aus der folgenden Abbildung sehen Sie jedes Feld im von Wireshark erfassten TCP -Paket.
Beispielanalyse des dreimaligen Handshake-Prozesses TCP
Als ich dies sah, habe ich im Grunde ein vorläufiges Verständnis von Wireshak erlangt. Schauen wir uns nun ein Beispiel von TCP-Händedruck an.
Der dreimalige Handshake-Prozess ist
Ich habe dieses Bild schon oft gesehen. Dieses Mal verwenden wir Wireshark, um den Prozess von drei Handshakes tatsächlich zu analysieren.
Öffnen Sie Wireshark, öffnen Sie den Browser und geben Sie http://www.cnblogs.com/tankxiao ein
Geben Sie HTTP ein, um in Wireshark zu filtern, und wählen Sie dann den Aufzeichnung von GET /TANKIAO HTTP /1.1 aus, klicken Sie mit der rechten Maustaste und klicken Sie auf "TCP-Stream folgen".
Dies ist der Zweck, die Datenpakete zum Öffnen der Website durch den Browser zu erhalten. Sie erhalten das folgende Bild
In der Abbildung können Sie sehen, dass Wireshark drei Datenpakete mit drei Handshakes abgefangen hat. Das vierte Paket ist HTTP, das zeigt, dass HTTP TCP verwendet, um Verbindungen herzustellen.
Erster Handshake -Paket
Der Client sendet eine TCP mit der Flag -Bit -Syn und die Seriennummer 0, was die Anfrage des Clients zur Herstellung einer Verbindung darstellt. Die folgende Abbildung
Datenpaket für den zweiten Handschlag
Der Server sendet das Bestätigungspaket zurück, das Flag ist syn und ack. Legen Sie die Bestätigungsnummer (Bestätigungsnummer) auf das ISN Plus des Clients ein. Das heißt 0+1 = 1, wie in der folgenden Abbildung gezeigt
Das Datenpaket für den dritten Handschlag
Der Kunde sendet das Bestätigungspaket (ACK) erneut. Das Syn -Flag -Bit beträgt 0 und das ACK -Flag -Bit ist 1. und der Server sendet das Feld ACK -Nummer +1 und legt das Bestätigungsfeld an die andere Partei. Und stellt das +1 des ISN in das Datensegment, wie in der folgenden Abbildung gezeigt:
Auf diese Weise wurde der TCP -Handshake dreimal vorbeigegeben und die Verbindung hergestellt.
Das obige ist die grundlegende Einführung in Wireshark und das Lernen von TCP dreimal. Wir werden in Zukunft weiterhin relevantes Wissen organisieren. Vielen Dank für Ihre Unterstützung für diese Seite!