WireShark抓包工具
主要目的--->抓
pc客户端和服务器通信数据
学习WireShark主要抓的协议包
Tcp协议Udp协议Http协议Https协议ws协议
请求发送过程
以windows操作系统为例:
ipconfig查看网络适配器- 查看
Ipv4地址--->本机ip - 网关
ip
本机发送网络请求会先把请求发送到网关,网关在把请求发送到目标服务器.目标服务器返回资源也是先经过网关在到本机
WireShark抓包模式
混杂模式
特点:
接收所有经过网卡的数据包,包括不是发送给本机的包--->不验证Mac地址
普通模式
网卡只接收发给本机的包(包括广播包),传递给上层程序,其他包一律丢弃
混杂模式不会影响网卡的正常工作,多在网络监听工具上使用
WireShark混杂模式打开方式
选项--->捕获--->选择✔混杂模式
WireSharkFilter(过滤器)
查看指定协议的包只需要输入指定协议即可--->所以基于Tcp协议的包,包括http和websocket
核心:
了解发包的过程,包括每次发包或者握手的第一次发的包的内容等等
以tcp协议举例:
tcp.flags.ack == 0--->第一次发包确认的信息
tcp.flags.syn == 1--->第一次发包确认的信息
tcp.flags.seq == x--->第一次发包确认的信息
上诉就是tcp三次握手中第一次握手建立的信息
第二次握手:
tcp.flags.syn == 1
tcp.flags.ack == 1
tcp.flags.seq == y
tcp.flags.ack == x+1
第三次握手:
tcp.flags.ack == 1--->ack是确认的信息
tcp.flags.seq == x+1
tcp.flags.ack == y +1
确定已经发送服务:
tcp.flags.fin == 1
协议注意协议版本号
wireshark查询发包ip
ip.src_host == 本机
查询目标ip:
ip.dst_host == 目标ip
指定ip的发包或者接包:
ip.addr == 目标ip
WireShark使用流量图
流量图可以建立连接可视图