1.工具简介

(1)定义

WireShark是一个网络封包分析软件。网络封包分析软件的功能是抓取网络封包,并尽可能显示出最为详细的网络封包资料。使用WinPACA作为接口,直接与网卡进行数据报文交换。

(2)嗅探器工作原理

  • 收集:从网络线缆上收集原始二进制数据,一般通过选定网卡设置为混杂模式,然后抓取网段所有通信流量而不是发往它的数据包。
  • 转换:将二进制转换成可读形式,以一种非常基础解析方法显示,而大部分分析工作留给用户。
  • 分析:嗅探器以捕获网络数据作为输入,识别和验证它们的协议,然后开始分析每个协议的特定属性。

(3)使用技巧

确定WireShark物理位置(在网络线路哪个节点上)。若没有正确位置,启动后会花很长时间捕获一些与自己无关的数据。

选择捕获接口。一般是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。

使用捕获过滤器。设置过滤器可以避免产生大量无关数据

使用显示过滤器。进一步过滤分析。

使用着色规则。通过使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。

构建图表。可视化分析

重组数据。当传输较大文件时,需要将信息分布在多个数据包中。此时需要使用重组数据方法抓取完整数据。WireShark可以重组一个会话中不同数据包的信息,或者是重组一个完整的文件。

(4)使用场景——交换式环境

不同于集线器网络中广播传递,交换式网络捕获流量基本方法有:①端口镜像、②集线器接出(hubbing out)、③使用网络分流器、④ARP欺骗攻击。




wireshark解析蓝牙 wireshark 解析_wireshark


2.功能使用

(1)混杂模式

①概述

接受所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其他的包一律丢弃。

一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。

②开启和关闭


wireshark解析蓝牙 wireshark 解析_网络协议_02


(2)过滤器应用

①筛选 TCP 的数据包


wireshark解析蓝牙 wireshark 解析_wireshark_03


②筛选源地址是 192.168.1.53 或目的地址是 192.168.1.1


wireshark解析蓝牙 wireshark 解析_wireshark解析蓝牙_04


③查看源地址或目标地址均为192.168.1.53 → ip.addr==192.168.1.53

3.协议

(1)定义

又称网络语言,协议栈是一组协同工作的网络协议的逻辑组合。帮助我们定义如何路由数据包,如何发起连接,以及如何确认收到数据。协议共同问题

  • 发起连接:由客户端还是服务器发起?在真正通信前必须交换哪些信息?
  • 协商连接参数:通信需要进行协议加密吗?加密密钥如何在通信双方之间传输?
  • 数据格式:通信数据在数据包中如何排列?数据到达设备时以什么顺序处理?
  • 错误检测与校正:当数据包花太长时间到达目的地如何处理?当客户端暂时无法和服务器建立通信连接,如何恢复?
  • 连接终止:一台主机如何通知另一台主机通信结束?终止链接应该发送什么最终信息?

(2)ARP协议分析

定义:通过解析网络层IP地址来找寻数据链路层的MAC地址

①查看 Address Resolution Protocol (request) ARP 请求包内容

Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
  Hardware type: Ethernet (1) #硬件类型
  Protocol type: IPv4 ( 0x0800 ) #协议类型
  Hardware size: 6 #硬件地址
  Protocol size: 4 #协议长度
  Opcode:_ request ( 1 ) #操作码,该值为 1 表示 ARP 请求包
  Sender MAC address: Vmware_ 96:67:52 (00:0c:29:8b:2b:b8) #源 MAC 地址
  Sender IP address: 192.168.1.53 . #源 IP 地址
  Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
  Target IP address: 192.168.1.1 #目标 IP 地址


wireshark解析蓝牙 wireshark 解析_wireshark_05


②ARP应答/第二个数据包内容

Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
  Hardware type: Ethernet (1) #硬件类型
  Protocol type: IPv4 ( 0x0800 ) #协议类型
  Hardware size: 6 #硬件地址
  Protocol size: 4 #协议长度
  Opcode:_ reply ( 2 ) #操作码,该值为 2 表示 ARP 回复包
  Sender MAC address: XXXXXXXXXXXX (a4:56:02:3b:4b:03) #源 MAC 地址
  Sender IP address: 192.168.1.1 . #源 IP 地址
  Target MAC address: 00:00:00_ 00: 00:00 (00:0c:29:8b:2b:b8) #目标 MAC 地址
  Target IP address: 192.168.1.53 #目标 IP 地址

总结:可以看到到应答包补全了自己的 MAC 地址,目的地址和源地址做了替换


wireshark解析蓝牙 wireshark 解析_web安全_06


③ARP info内过程


wireshark解析蓝牙 wireshark 解析_网络安全_07


192.168.1.53广播询问:谁有 192.168.1.1 的 MAC 地址?

192.168.1.1 单播应答:192.168.1.1 的 MAC 地址是 xxxxxxxxxxx

(3)ICMP协议分析

工作过程:

  • 本机发送一个 ICMP Echo Request 的包
  • 接受方返回一个 ICMP Echo Reply,包含了接受到数据拷贝和一些其他指令

①ICMP请求包


wireshark解析蓝牙 wireshark 解析_网络协议_08


②ICMP响应包


wireshark解析蓝牙 wireshark 解析_wireshark_09


(4)TCP协议分析——三次握手

①第一次握手,53209端口主动申请连接22端口(SYN)


wireshark解析蓝牙 wireshark 解析_网络协议_10


wireshark解析蓝牙 wireshark 解析_wireshark解析蓝牙_11


②第二次握手,53209端口主动申请连接22端口(SYN+ACK)


wireshark解析蓝牙 wireshark 解析_网络协议_12


SYN=1,ACK=1


wireshark解析蓝牙 wireshark 解析_web安全_13


表示回应第一个 SYN 数据包 134号帧。


wireshark解析蓝牙 wireshark 解析_网络安全_14


③第三次握手,53209端口主动申请连接22端口(ACK)


wireshark解析蓝牙 wireshark 解析_wireshark解析蓝牙_15


ACK=1


wireshark解析蓝牙 wireshark 解析_wireshark解析蓝牙_16


表示回应第二个 SYN 数据包 135号帧


wireshark解析蓝牙 wireshark 解析_网络协议_17


【可视化分析】

统计→流量图→过滤TCP类型


wireshark解析蓝牙 wireshark 解析_web安全_18


(5)TCP协议分析——四次挥手

过程解释:

  • 第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入FIN_WAIT_1 状态
  • 第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送ACK进行确认,确认序号为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 CLOSE_WAIT 状态。
  • 第三次挥手:客户端发送[FIN+ACK]给对方,表示自己没有数据要发送了,客户端进入LAST_ACK 状态,然后直接断开 TCP 会话的连接,释放相应的资源。
  • 第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 TIMED_WAIT 状态,并发送ACK确认消息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。


wireshark解析蓝牙 wireshark 解析_web安全_19


(6)HTTP协议分析(一次curl请求)

curl -I baidu.com


wireshark解析蓝牙 wireshark 解析_网络协议_20


第一步:我们我们发送了一个HTTP 的 HEAD请求

第二步:服务器收到我们的请求返回了一个Seq/ACK进行确认

第三步:服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200表示页面正常

第四步:客户端收到服务器返回的头部信息向服务器发送 Seq/ACK 进行确认

发送完成之后客户端就会发送 FIN/ACK 来进行关闭链接的请求。

(7)实战:WireShark 抓包解决服务器被黑上不了网

①场景:服务器被黑上不了网,可以 ping 通网关,但是不能上网

②模拟场景:修改主机 TTL 值为 1,下面的方式是我们临时修改内核参数。

  • root@xuegod53:~# echo "1" > /proc/sys/net/ipv4/ip_default_ttl
  • 【TTL介绍】
  • TTL : 数据报文的生存周期。
  • 默认 linux 操作系统值:64,每经过一个路由节点,TTL 值减 1。TTL 值为 0 时,说明目标地址不可达并返回:Time to live exceeded
  • 作用:防止数据包,无限制在公网中转发
  • ping 192.168.1.1 -c 1


wireshark解析蓝牙 wireshark 解析_网络协议_21



wireshark解析蓝牙 wireshark 解析_wireshark_22


我们判断和目标之间经过多少个网络设备是根据目标返回给我们的 TTL 值来判断的,因为我们发送的数据包是看不到的。

③数据包分析

  • 开启抓包,过滤 icmp 协议:ping xuegod.cn -c 1


wireshark解析蓝牙 wireshark 解析_wireshark_23


  • 然后回到 WireShark 中查看数据包。我们可以看到第一个包是发送了一个 ping 请求包 ttl=1然后呢我们收到了 192.168.1.1 返回给我们的数据包告诉我们超过数据包生存时间,数据包被丢弃。
  • 然后把 TTL 值修改成 2 观察效果:
  • echo "2" > /proc/sys/net/ipv4/ip_default_ttl
  • ping xuegod.cn -c 1
  • 我们对比数据包发现返回我们数据包被丢弃的源地址变成了 112.103.140.1,这证明了数据包在网络中已经到达了下一个网络设备才被丢弃,由此我们还判断出我们的运营商网关地址为 112.103.140.1但是我们并没有到达目标主机。


wireshark解析蓝牙 wireshark 解析_网络安全_24


  • 现在恢复系统内核参数
  • echo "64" > /proc/sys/net/ipv4/ip_default_ttl
  • ping xuegod.cn -c 1
  • 目标返回给我们的 TTL 值为 52,这表示我们的 TTL 值需要大于 64-52=12才可以访问 xuegod.cn


wireshark解析蓝牙 wireshark 解析_网络安全_25


  • MTR 可以检测我们到达目标网络之间的所有网络设备的网络质量,首先安装MTR
  • apt install -y mtr
  • mtr xuegod.cn
  • 检测到达 xuegod.cn 所有节点的通信质量,我们可以看到从我当前主机到目标主机之间经过 12 跳。


wireshark解析蓝牙 wireshark 解析_web安全_26