wireshark抓包分析各協議

2021-09-12 04:22:09 字數 2223 閱讀 1749

執行環境:kali linux

工具:wireshark

位址解析協議,即arp(address resolution protocol),是根據ip位址獲取實體地址的乙個tcp/ip協議。主機傳送資訊時將包含目標ip位址的arp請求廣播到網路上的所有主機,並接收返回訊息,以此確定目標的實體地址;收到返回訊息後將該ip位址和實體地址存入本機arp快取中並保留一定時間,下次請求時直接查詢arp快取以節約資源。位址解析協議是建立在網路中各個主機互相信任的基礎上的,網路上的主機可以自主傳送arp應答訊息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機arp快取;由此攻擊者就可以向某一主機傳送偽arp應答報文,使其傳送的資訊無法到達預期的主機或到達錯誤的主機,這就構成了乙個arp欺騙。arp命令可用於查詢本機arp快取中ip位址和mac位址的對應關係、新增或刪除靜態對應關係等。

選取第6個包看看具體抓包情況

這是幀的頭部,目的位址為全ff表示廣播詢問,源位址本地的mac位址,型別欄位是0x0806為arp協議字段,

再看看arp資料報

網際網路協議位址(英語:internet protocol address,又譯為網際協議位址),縮寫為ip位址(英語:ip address),是分配給使用者上網使用的網際協議(英語:internet protocol, ip)的裝置的數字標籤。常見的ip位址分為ipv4與ipv6兩大類,但是也有其他不常用的小分類。

選取乙個包,檢視其中的ipv4報文

tcp(transmission control protocol 傳輸控制協議)是一種面向連線的、可靠的、基於位元組流的傳輸層通訊協議,由ietf的rfc 793定義。在簡化的計算機網路osi模型中,它完成第四層傳輸層所指定的功能,使用者資料報協議(udp)是同一層內 [1] 另乙個重要的傳輸協議。在網際網路協議族(internet protocol suite)中,tcp層是位於ip層之上,應用層之下的中間層。不同主機的應用層之間經常需要可靠的、像管道一樣的連線,但是ip層不提供這樣的流機制,而是提供不可靠的包交換。

udp協議全稱是使用者資料報協議,在網路中它與tcp協議一樣用於處理資料報,是一種無連線的協議。在osi模型中,在第四層——傳輸層,處於ip協議的上一層。udp有不提供資料報分組、組裝和不能對資料報進行排序的缺點,也就是說,當報文傳送之後,是無法得知其是否安全完整到達的。

1、tcp面向連線(如打**要先撥號建立連線);udp是無連線的,即傳送資料之前不需要建立連線

2、tcp提供可靠的服務。也就是說,通過tcp連線傳送的資料,無差錯,不丟失,不重複,且按序到達;udp盡最大努力交付,即不保證可靠交付

3、tcp面向位元組流,實際上是tcp把資料看成一連串無結構的位元組流;udp是面向報文的

4、每一條tcp連線只能是點到點的;udp支援一對一,一對多,多對一和多對多的互動通訊

5、tcp首部開銷20位元組;udp的首部開銷小,只有8個位元組

6、tcp的邏輯通訊通道是全雙工的可靠通道,udp則是不可靠通道

第一次握手資料報,客戶端傳送乙個tcp,標誌位為syn,序列號為0, 代表客戶端請求建立連線,

wireshark抓包分析 tcp包長度

1 最近分析rtmp資料報的時候,用tcpdump抓到一段資料報,有一部分理解不了。tcp連線的時候,協商的mss是1460,為什麼這裡傳輸的時候是2920位元組?2 原因分析,tcpdump工作在資料鏈路層,linux系統在設定了tso iso的時候,通過網絡卡進行分tcp資料 組合tcp資料報以...

wireshark抓包分析http報文

接著分析http報文 此時前面四條和三次握手報文相差不大,應該可以看懂,我們這裡主要研究hypertext transfer protocal 請求行 請求頭 空白行 body 請求體 請求體如下 實際上request格式如下 那麼響應報文是怎樣的呢 其格式為 這裡我們看一下body資訊 這裡htt...

ssl協議 wireshark抓包分析

wosign 專欄導航 https協議詳解 一 https基礎知識 https協議詳解 二 tls ssl工作原理 https協議詳解 三 pki 體系 https協議詳解 四 tls ssl握手過程 https協議詳解 五 https效能與優化 客戶端發起請求,以明文傳輸請求資訊,包含版本資訊,加...