Wireshark抓包介紹和TCP三次握手分析

wireshark介紹

 

wireshark的官方下載網站： http://www.wireshark.org/

wireshark是很是流行的網絡封包分析軟件，功能十分強大。能夠截取各類網絡封包，顯示網絡封包的詳細信息。

wireshark是開源軟件，能夠放心使用。 能夠運行在Windows和Mac OS上。

使用wireshark的人必須瞭解網絡協議，不然就看不懂wireshark。

 

Wireshark不能作的

 

爲了安全考慮，wireshark只能查看封包，而不能修改封包的內容，或者發送封包。

 

wireshark 開始抓包

 

下面是開始界面

wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你須要選擇一個網卡，通常選擇有數據傳輸的那個。

點擊Caputre->Interfaces.. 出現下面對話框，選擇正確的網卡。而後點擊"Start"按鈕，開始抓包。

 

Wireshark 窗口介紹

 

 

WireShark 主要分爲這幾個界面

1. Display Filter(顯示過濾器)，  用於過濾

2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，端口號。 顏色不一樣，表明

3. Packet Details Pane(封包詳細信息), 顯示封包中的字段

4. Dissector Pane(16進制數據)

5. Miscellanous(地址欄，雜項)

 

Wireshark 顯示過濾

 

使用過濾是很是重要的， 初學者使用wireshark時，將會獲得大量的冗餘信息，在幾千甚至幾萬條記錄中，以致於很難找到本身須要的部分。搞得暈頭轉向。

過濾器會幫助咱們在大量的數據中迅速找到咱們須要的信息。

過濾器有兩種，

一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所須要的記錄

一種是捕獲過濾器，用來過濾捕獲的封包，以避免捕獲太多的記錄。 在Capture -> Capture Filters 中設置

 

過濾表達式的規則

 

表達式規則

 1. 協議過濾

好比TCP，只顯示TCP協議。

2. IP 過濾

好比 ip.src ==192.168.1.102 顯示源地址爲192.168.1.102，

ip.dst==192.168.1.102, 目標地址爲192.168.1.102

3. 端口過濾

tcp.port ==80,  端口爲80的

tcp.srcport == 80,  只顯示TCP協議的源端口爲80的。

4. Http模式過濾

http.request.method=="GET",   只顯示HTTP GET方法的。

5. 邏輯運算符爲 AND/ OR

經常使用的過濾表達式

過濾表達式	用途
http	只查看HTTP協議的記錄
ip.src ==192.168.1.102 or ip.dst==192.168.1.102	源地址或者目標地址是192.168.1.102

 

 

 

 

 

 

 

 

 

 

封包列表(Packet List Pane)

 

封包列表的面板中顯示，編號，時間戳，源地址，目標地址，協議，長度，以及封包信息。 你能夠看到不一樣的協議用了不一樣的顏色顯示。

你也能夠修改這些顯示顏色的規則，  View ->Coloring Rules.

 

封包詳細信息 (Packet Details Pane)

 

這個面板是咱們最重要的，用來查看協議中的每個字段。

各行信息分別爲

Frame:   物理層的數據幀概況

Ethernet II: 數據鏈路層以太網幀頭部信息

Internet Protocol Version 4: 互聯網層IP包頭部信息

Transmission Control Protocol:  傳輸層T的數據段頭部信息，此處是TCP

Hypertext Transfer Protocol:  應用層的信息，此處是HTTP協議

 

wireshark與對應的OSI七層模型

 

 

TCP包的具體內容

 

從下圖能夠看到wireshark捕獲到的TCP包中的每一個字段。

 

 

實例分析TCP三次握手過程

 

看到這裏， 基本上對wireshak有了初步瞭解， 如今咱們看一個TCP三次握手的實例：

 

 三次握手過程爲

 

此次咱們用wireshark實際分析下三次握手的過程。

打開wireshark, 打開瀏覽器輸入 http://blog.csdn.net/xifeijian

在wireshark中輸入http過濾， 而後選中GET /tankxiao HTTP/1.1的那條記錄，右鍵而後點擊"Follow TCP Stream",

這樣作的目的是爲了獲得與瀏覽器打開網站相關的數據包，將獲得以下圖：

圖中能夠看到wireshark截獲到了三次握手的三個數據包。第四個包纔是HTTP的， 這說明HTTP的確是使用TCP創建鏈接的。

 

第一次握手數據包

客戶端發送一個TCP，標誌位爲SYN，序列號爲0， 表明客戶端請求創建鏈接。 以下圖

第二次握手的數據包

服務器發回確認包, 標誌位爲 SYN,ACK. 將確認序號(Acknowledgement Number)設置爲客戶的I S N加1以.即0+1=1, 以下圖

第三次握手的數據包

客戶端再次發送確認包(ACK) SYN標誌位爲0,ACK標誌位爲1.而且把服務器發來ACK的序號字段+1,放在肯定字段中發送給對方.而且在數據段放寫ISN的+1, 以下圖:

 

就這樣經過TCP三次握手，創建了鏈接。