渗透测试(12)- WireShark 网络数据包分析

目录

[1、WireShack 简介](#1、WireShack 简介)

[2、WireShark 基本使用方法](#2、WireShark 基本使用方法)

[3、 WireShack 抓包分析](#3、 WireShack 抓包分析)

[3.1 Hypertext Transfer Protocol (应用层)](#3.1 Hypertext Transfer Protocol (应用层))

[3.2 Transmission Control Protocol (传输层)](#3.2 Transmission Control Protocol (传输层))

[3.3 Internet Protocol Version 4(网络层)](#3.3 Internet Protocol Version 4(网络层))

[3.4 Ethernet Il (链路层): 数据链路层以太网头部信息](#3.4 Ethernet Il (链路层): 数据链路层以太网头部信息)

[3.5 Frame(物理层)](#3.5 Frame(物理层))


1、WireShack****简介

Wireshark 是一个免费开源的网络数据包分析软件。 网络数据包分析软 件的功能是截取互联网传输的网络数据包,并尽可能显示出最为详细的网络数据包数据 。

2、WireShark 基本使用方法

2.1 启动wireshark

在之前安装的kali下,已经预装了wireshark,点击启动

2.2 选择监听网卡,双击即可

2.3 混杂模式下对网络造成的影响较大,所以选择关闭混杂模式(暂停捕获后,点击捕获选项卡,点击)
混杂模式表示接收所有经过该网卡的数据包,即使不是发给该设备的数据包也被抓取


2.4 保存文件
注意: 保存文件格式选 pcap ,这个格式基本所有的抓包软件都能打开,兼容性最好;

2.5 WireShack 筛选器
例如:筛选抓取的http包,输入http,回车即可,如果要清除筛选条件,点击筛选框右侧的X号
筛选TCP、UDP、icmp、dns方法一样

根据ip地址筛选

筛选源地址
ip.src host == 192.168.3.67 or ip.src host == 192.168.1.1
ip.src host == 192.168.3.67 表示源 IP 地址
ip.dst host == 192.168.3.28 表示目的地址
注:两个条件用 or 进行了连接,是或的意思;当然我们也可以使用 and
or 的意思是两个条件满足一个就行
and 的意思是两个条件必须同时满足
2.6 从上几个图中可以看到,时间列显示的时间看不懂,可以更改下时间格式

3、 WireShack****抓包分析

在目标资产主动信息收集篇章中,介绍了TCP/IP五层模型,通过wireshark抓包分析,可以直观的看到五层模型的工作过程。

先简单回顾一下五层模型:


物理层----数据链路层----网络层---传输层----应用层
(1)Frame(物理层): 物理层的数据顿概况
(2) Ethernet Il (链路层): 数据链路层以太网头部信息
(3)Internet Protocol Version 4(网络层): 互联网层 IP 包头部信息
(4)Transmission Control Protocol (传输层): 传输层 T 的数据段头部信息,此处是 TCP
(5)Hypertext Transfer Protocol (应用层):应用层的信息,此处是 HTTP 协议

3.1 Hypertext Transfer Protocol (应用层)

http (超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议, 访问物理机 http://192.168.3.38/dvwa 时抓获的包直接过滤出 http 协议的包,如果想看到在访问之前的三手握手包,可以过滤 tcp,因为 http连接在访问前需要建立 TCP 会话。
请求包:192.168.3.67请求192.168.3.38

GET/HTTP/1.1#头部相关信息,HTTP 协议 11 版本
Request Method: GET#请求方法为头部信息
Request URL: /#表示请求资源为网站的根目录(可以理解为首页)
Request Version: HTTP/1.1 #表示 HTTP 协议 11 版本
Host:192.168.3.38#表示请求主机名称
User-Agent: Mozilla #表示用户使用的访问工具及版本
响应包:192.168.3.38 响应 192.168.3.67

HTTP/1.1 200 0K # 表示 HTTP 协议 1.1 版本,状态 200 ,表示 OK
Status Code: 200 # 响应的状态码, 200 表示正常
Response Phrase: OK # 表示响应短语 OK
Server: apache/2.4.39 # 服务器程序及版本信息
Content-Type: text/html # 内容类型

3.2 Transmission Control Protocol (传输层)

请求包:192.168.3.67请求192.168.3.38

source port :源端口,即本机端口,这个端口是随机分配的。

Destination port:目的端口,这个端口是固定的,80是http协议,443是https协议

响应包:192.168.3.38 响应 192.168.3.67

从响应包可以发现,源端口和目的端口正好换了位置,响应时候,会根据发起方随机分配的端口进行交互。

3.3 Internet Protocol Version 4(网络层)

先看请求包的信息

再看响应包

从请求包和响应包分析,重点先关注源地址和目的地址。

3.4 Ethernet Il (链路层): 数据链路层以太网头部信息

3.5 Frame(物理层)

物理层是 OSI 的第一层,它虽然处于最底层,却是整个开放系统的基础。物理层为设 备之间的数据通信提供传输媒体及互连设备,为数据传输提供可靠的环境。简单记忆,那就是" 信号和介质 ",但是重点在信号,物理设备其实不在TCP/IP协议范围内,但物理层理解为包括物理设备,有助于更好的理解物理层的作用,因为信号传输需要介质,记住了物理设备,那也就记住了了物理设备的作用是传输信号的。

总结:以上通过wireshark抓包简单梳理了下TCP/IP五层协议的工作流程,TCP/IP协议是非常复杂的,通过本篇文章,旨在理解每一层的主要工作内容(从渗透角度),应用层建立连接,传输层是添加端口,网络层是增加IP地址,链路层是添加MAC地址,物理层是信号传输。

相关推荐
小小小小钰儿16 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
爱学习的程序媛18 小时前
SIP抓包调试、故障排查与项目上线实战手册
运维·wireshark·呼叫中心·联络中心·sip协议·sip信令
蝶恋舞者19 小时前
Wireshark 抓包工具
网络·测试工具·wireshark
数据知道20 小时前
BGP 劫持是怎么回事?运营商级路由安全科普
网络·安全·网络安全·智能路由器·bgp劫持
m0_738120721 天前
AI安全实战系列(四):Lab04 Multi-Agent——多智能体攻击分析
服务器·开发语言·人工智能·安全·网络安全·语言模型
2501_916007471 天前
抓包工具对比 Charles、Fiddler、TraceEagle、Wireshark 与 Proxyman
前端·网络协议·ios·adb·https·fiddler·wireshark
NOVAnet20231 天前
SASE 架构如何为本地 DeepSeek 大模型提供全域网络安全支撑
web安全·安全架构·sd-wan·sase·零信任访问
NOVAnet20231 天前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
Hiyajo pray1 天前
SDN 访问控制性能调优方法
服务器·网络·网络安全
数据知道2 天前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划