Wireshark配置安装以及抓包教程详解(win10版)(包含TCP IP ICMP 三次握手 半扫描等相关知识 ) |
您所在的位置:网站首页 › wireshark抓包socket › Wireshark配置安装以及抓包教程详解(win10版)(包含TCP IP ICMP 三次握手 半扫描等相关知识 ) |
了解过网络安全技术的人都知道一个名词“抓包”。那对于局外人,一定会问什么是抓包?考虑到,大家的技术水平不一,我尽可能用非专业的口吻简单的说一下。 抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据,然后通过分析,结合社会工程学进行攻击。所以,学会抓包,对于学好网络安全技术十分重要。 在我们做接口测试的时候,经常需要验证发送的消息是否正确,或者在出现问题的时候,查看手机客户端发送给server端的包内容是否正确,就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢?今天我们就来简单聊一聊最常用的2种。 Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容。 总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。 今天我们主要来学习一下在window上的Wreshark 学习的第一步,肯定是装软件,搭环境,下面我们即将开启软件安装之路 注意:Wireshark 支持多个操作系统,在下载安装文件的时候注意选择与自己PC的操作系统匹配的安装文件。(本次学习之路是在Windows10上完成,如果有小伙伴需要在Ubuntu上学习的,可以自行摸索前行,私下我们也可多交流,多学习) 建议大家在官网下载正版软件,免得安装盗版软件的时候,绑定好多垃圾软件,污染我们电脑,所以去官网上下载是最安全最保险的做法 官网传送门 正式安装 双击点开
(本部分参考传送门) 软件启动后的主界面 1、抓包过滤器语法和实例 抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非) (1)协议过滤 比较简单,直接在抓包过滤框中直接输入协议名即可。 tcp,只显示TCP协议的数据包列表 http,只查看HTTP协议的数据包列表 icmp,只显示ICMP协议的数据包列表 (2)IP过滤 host 192.168.1.104 src host 192.168.1.104 dst host 192.168.1.104 (3)端口过滤 port 80 src port 80 dst port 80 (4)逻辑运算符&& 与、|| 或、!非 src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包 host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包 !broadcast 不抓取广播数据包 2、显示过滤器语法和实例 (1)比较操作符 比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、Time Display Format --> Date and Time of Day。调整后格式如下: 本部分参考:传送门 导语:在本文中,您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到,Wireshark如何捕获不同的网络流量数据包,用于打开和关闭端口。 在本文中,您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到,Wireshark如何捕获不同的网络流量数据包,用于打开和关闭端口。 TCP扫描 Tcp扫描将像端口22.21.23.44等扫描TCP端口,并通过源端口和目的端口之间的三次握手连接确保监听端口(打开)。如果端口打开,则使用SYN数据包发送请求,响应目的地发送SYN,ACK数据包然后发送ACK数据包,最后源再次发送RST,ACK数据包。
从给定的图像可以观察结果端口445是开放的。 您会注意到它已经捕获了与上述相同的标志序列: · 源发送SYN包到目的地 · 目的地发送SYN,ACK到源 · 源发送ACK包到目的地 · 源再次发送RST,ACK到目的地
源发送SYN包,如果端口关闭,接收方将通过RST,ACK发送响应。 从给定的图像可以观察结果端口3389被关闭。 源发送SYN包到目的地 目的地发送RST,ACK包到源 SYN扫描是默认和最受欢迎的扫描选项,有很好的理由。它可以快速执行,在不受限制性防火墙阻碍的快速网络上每秒扫描数千个端口。它也是相对典型和隐秘的,因为它从未完成TCP连接。如果接收到SYN数据包(没有ACK标志),端口也被视为打开。 这种技术通常被称为半开放扫描,因为您没有打开完整的TCP连接。您发送一个SYN数据包,就好像要打开一个真实的连接,然后等待响应。SYN,ACK表示端口正在侦听(打开) 从给定的图像可以观察结果端口22是开放的。 源发送SYN数据包到目的地 目的地发送SYN,ACK数据包到源 源发送RST报文到目的地
从给定的图像可以观察结果端口3389被关闭。 源发送SYN数据包到目的地 目的地发送RST,ACK包到目的地 碎片扫描 通常在数据传输完成后,FIN数据包终止源端和目标端口之间的TCP连接。代替SYN数据包,Nmap通过使用FIN数据包开始FIN扫描。如果端口打开,则通过源端口发送FIN数据包时,目的端口不会响应。 键入以下NMAP命令进行TCP扫描,然后启动wireshark捕获发送的数据包。 nmap -F -p 22 192.168.1.102从给定的图像可以观察结果端口22是开放的。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序 · 源发送FIN包到目的地 · 目的地不发送回复来源 从给定的图像可以观察结果端口3389是接近。 · 源发送SYN数据包到目的地 · 目的地发送RST报文到目的地 空扫 空扫描是一系列TCP数据包,保存序列号为“0”(0000000),并且由于没有设置任何标志,目的地将不知道如何回复请求。它将丢弃数据包,并且不会发送回复,这表示端口是打开的。 从给定的图像可以观察结果端口22是开放的。 · 源发送Null数据包到目的地 · 目的地不发送回复来源
从给定的图像可以观察结果端口3389是接近。 · 目的地发送RST,ACK到源 UDP扫描通过向每个目的端口发送UDP数据包来工作; 它是一个连接少协议。对于一些常见的端口如53和161,发送协议特定的有效载荷以增加响应速率,服务将使用UDP数据包进行响应,证明它是开放的。如果在重传后没有收到响应,则端口被分类为打开|过滤。这意味着端口可能是打开的,或者可能包过滤器阻塞通信。 从给定的图像可以观察结果端口161是开放的。 查看通过Wireshark捕获的源和目标之间的数据包传输顺序 · 源UDP发送到目的地址 · 目的地向源发送一些数据的UDP数据包 从给定的图像可以观察结果端口53是接近。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序 · 源UDP发送到目的地址 · 目的地发送ICMP报文端口不可达源 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |