WireShark & 网络模型

2021-06-09  本文已影响0人  长毛先生

一、工具和软件链接

wireshark下载地址如下,假如是win10系统,可能还需要安装另外的win10cap。

---wireshark管网   

----win10cap

二、wireshark介绍

   1、首页,选择网卡进入详情界面,主要包括 过滤器、列表、包详情、原始数据、地址栏

选择使用的网卡 详情界面 设置“我的过滤器” 右边栏可直接使用

2、过滤器(使用)

类型 分为两种,一种是 显示过滤器,即界面可见,在已捕获的记录中过滤所需要的记录(操作和设置如下图)

一种是捕获过滤器,打开Capture -> Capture Filters ,过滤捕获过程的数据包,可以过滤部分记录

    规则:

                 》 协议过滤,TCP/UDP

                  》IP 过滤, ip.src ==192.168.1.1 显示源地址为192.168.1.1的数据,ip.dst==192.168.1.102, 目标地址为192.168.1.1的数据

                  》端口过滤,tcp.port ==80,  端口为80的tcp.srcport == 80,  过滤并只显示TCP协议的源端口为80的数据。

                   》Http模式过滤,http.request.method=="GET",   过滤并只显示GET方法的数据。

3、列表(解析)

对应的七层模型和数据详情如图

网络模型对应 数据类型

4、时间显示(使用)

wireshark分析,对于列表时间戳调整。调整方法为View -->Time Display Format --> Date and Time of Day

三、3次握手模型

           借助 wireshark抓包,能简单的理解和看到三次握手整个过程。

三次握手模型 抓包

step1,客户端处于SYN_SENT状态,发送Syn 请求消息给Server端,SYN标志位置为1,和分配好的U32的整型Seq号(随时间产生的一个随机值,一般每4ms加1),另外还有最大报文段长度MSS,表示tcp到对端的最大数据块长度。

step1

step2,服务端收到Syn请求,进入SYN_RCVD状态,并返回Ack消息给客户端,表示已经收到SYN消息并通过了确认。反馈含两部分内容,一是回复客户端的Syn消息,包括ACK=1,Seq号则等于客户端的发来的Syn消息的Seq数值+1,另一部分是主动发送Sever端的Syn消息给Client,Seq号码是Server端上面对应的序列号,Syn标志位也会设置成1,MSS表示的是Server这一端的最大数据块长度。

step2

step3,回到客户端,在收到服务端的应答之后,客户端的状态从SYN_SENT变成ESTABLISHED,并再次发消息给服务端,表示链接成功,客户端端回复ACK消息给服务端,包括ACK状态被设置为1,Seq号码被设置成Server端的序列号+1,同时客户端也将包内容发给服务端。最后,服务端进入ESTABLISHED状态,端到端连接建立成功,服务端和客户端可以相互提醒,TCP的全双工连接建立完成。

step3
上一篇下一篇

猜你喜欢

热点阅读