WireShark抓包工具

WireShark抓包工具

主要目的--->抓pc客户端和服务器通信数据

---

学习WireShark主要抓的协议包

1. Tcp协议
2. Udp协议
3. Http协议
4. Https协议
5. ws协议

---

请求发送过程

以windows操作系统为例:

• ipconfig查看网络适配器
• 查看Ipv4地址--->本机ip
• 网关ip

本机发送网络请求会先把请求发送到网关,网关在把请求发送到目标服务器.目标服务器返回资源也是先经过网关在到本机

WireShark抓包模式

混杂模式

特点:

接收所有经过网卡的数据包,包括不是发送给本机的包--->不验证Mac地址

普通模式

网卡只接收发给本机的包(包括广播包),传递给上层程序,其他包一律丢弃

混杂模式不会影响网卡的正常工作,多在网络监听工具上使用

WireShark混杂模式打开方式

选项--->捕获--->选择✔混杂模式

WireSharkFilter(过滤器)

查看指定协议的包只需要输入指定协议即可--->所以基于Tcp协议的包,包括http和websocket

核心:

了解发包的过程,包括每次发包或者握手的第一次发的包的内容等等

以tcp协议举例:

tcp.flags.ack == 0--->第一次发包确认的信息

tcp.flags.syn == 1--->第一次发包确认的信息

tcp.flags.seq == x--->第一次发包确认的信息

上诉就是tcp三次握手中第一次握手建立的信息

第二次握手:

tcp.flags.syn == 1

tcp.flags.ack == 1

tcp.flags.seq == y

tcp.flags.ack == x+1

第三次握手:

tcp.flags.ack == 1--->ack是确认的信息

tcp.flags.seq == x+1

tcp.flags.ack == y +1

确定已经发送服务:

tcp.flags.fin == 1

协议注意协议版本号

wireshark查询发包ip

ip.src_host == 本机

查询目标ip:

ip.dst_host == 目标ip

指定ip的发包或者接包:

ip.addr == 目标ip

WireShark使用流量图

流量图可以建立连接可视图