目錄

一、開(kāi)啟WireShark的大門(mén)

1.1 WireShark簡(jiǎn)介

1.2 常用的Wireshark過(guò)濾方式

二、如何抓包搜索關(guān)鍵字

2.1 協(xié)議過(guò)濾

2.2 IP過(guò)濾

?編輯

2.3 過(guò)濾端口

2.4 過(guò)濾MAC地址

2.5 過(guò)濾包長(zhǎng)度

2.6 HTTP模式過(guò)濾

三、ARP協(xié)議分析

四、WireShark之ICMP協(xié)議

五、TCP三次握手與四次揮手

5.1 TCP三次握手

5.2 可視化看TCP三次握手

5.3 TCP四次揮手

5.4 可視化看TCP四次揮手

5.5 異常情況

---

一、開(kāi)啟WireShark的大門(mén)

---

相關(guān)文章：

【Linux】網(wǎng)絡(luò)診斷 ping命令詳解_linux ping-CSDN博客

【Linux】網(wǎng)絡(luò)診斷 traceroute命令詳解-CSDN博客

【Linux】nc 網(wǎng)絡(luò)診斷 | 文件傳輸 命令詳解-CSDN博客

【網(wǎng)絡(luò)】抓包工具Wireshark下載安裝和基本使用教程-CSDN博客

【網(wǎng)絡(luò)】路由器和交換機(jī)的區(qū)別-CSDN博客

【網(wǎng)絡(luò)】計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)概念入門(mén)-CSDN博客

【網(wǎng)絡(luò)】網(wǎng)絡(luò)層IP地址和IP數(shù)據(jù)報(bào)的格式-CSDN博客

【網(wǎng)絡(luò)】網(wǎng)絡(luò)層協(xié)議ARP和IP協(xié)議轉(zhuǎn)發(fā)流程-CSDN博客

【網(wǎng)絡(luò)】網(wǎng)絡(luò)層ICMP協(xié)議-CSDN博客

【網(wǎng)絡(luò)】傳輸層TCP協(xié)議-CSDN博客

---

1.1 WireShark簡(jiǎn)介

---

wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件，功能十分強(qiáng)大。可以截取各種網(wǎng)絡(luò)封包，顯示網(wǎng)絡(luò)封包的詳細(xì)信息。常用來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題、攻擊溯源、或者分析底層通信機(jī)制。

cmd輸入ipconfig，下圖中是我的IP：192.168.21.218

下圖左側(cè)對(duì)應(yīng)你的電腦網(wǎng)卡，可以注意旁邊的折線(xiàn)圖，有波動(dòng)的就是在使用的網(wǎng)卡。

停止運(yùn)行，再點(diǎn)擊捕獲，選項(xiàng)，可以看到是否選擇混雜模式

如下選擇使用混雜模式

混雜模式︰混雜模式就是接收所有經(jīng)過(guò)網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包，即不驗(yàn)證MAC地址。
普通模式：普通模式下網(wǎng)卡只接收發(fā)給本機(jī)的包(包括廣播包）傳遞給上層程序，其它的包一律丟棄。
一般來(lái)說(shuō)，混雜模式不會(huì)影響網(wǎng)卡的正常工作，多在網(wǎng)絡(luò)監(jiān)聽(tīng)工具上使用。

1.2 常用的Wireshark過(guò)濾方式

---

• IP地址過(guò)濾：通過(guò)指定源IP地址或目的IP地址來(lái)過(guò)濾數(shù)據(jù)包，例如：ip.src==192.168.1.1 或 ip.dst==192.168.1.1。
• 網(wǎng)絡(luò)協(xié)議過(guò)濾：通過(guò)指定網(wǎng)絡(luò)協(xié)議來(lái)過(guò)濾數(shù)據(jù)包，例如：tcp、udp、Http等。
• 端口過(guò)濾：通過(guò)指定源端口或目的端口來(lái)過(guò)濾數(shù)據(jù)包，例如：tcp.srcport==80 或 tcp.dstport==443。
• 數(shù)據(jù)包長(zhǎng)度過(guò)濾：通過(guò)指定數(shù)據(jù)包的長(zhǎng)度來(lái)過(guò)濾數(shù)據(jù)包，例如：frame.len>100。
• 數(shù)據(jù)包內(nèi)容過(guò)濾：通過(guò)指定數(shù)據(jù)包中的特定內(nèi)容來(lái)過(guò)濾數(shù)據(jù)包，例如：http contains "passWord"。
• 協(xié)議字段過(guò)濾：通過(guò)指定協(xié)議字段的值來(lái)過(guò)濾數(shù)據(jù)包，例如：http.response.code==200。
• 時(shí)間窗口過(guò)濾：通過(guò)指定時(shí)間范圍來(lái)過(guò)濾數(shù)據(jù)包，例如：frame.time>= "2022-01-01 00:00:00" and frame.time<= "2022-01-01 23:59:59"。
• 組合過(guò)濾：可以通過(guò)使用邏輯運(yùn)算符（and、or、not）來(lái)組合多個(gè)過(guò)濾條件，例如：ip.src==192.168.1.1 and tcp.dstport==80。

---

二、如何抓包搜索關(guān)鍵字

---

2.1 協(xié)議過(guò)濾

---

點(diǎn)擊藍(lán)色鯊魚(yú)狀的是開(kāi)始捕獲，紅色方塊是停止。

比如說(shuō)查T(mén)CP、UDP建立連接的時(shí)候是什么樣的

tcp協(xié)議過(guò)濾

或者抓http的包，訪(fǎng)問(wèn) 192.168.2.153:8080

抓包結(jié)果如下，153 頁(yè)面刷新響應(yīng)218 HTTP 200 OK

2.2 IP過(guò)濾

---

或者搜一下我的網(wǎng)關(guān)試試

IP源地址：ip.src == 192.168.21.218
IP目的地址：ip.dst == 192.168.21.218
IP地址（包括源和目的）: ip.addr == 192.168.21.218
邏輯運(yùn)算符為 AND/ OR

有著強(qiáng)大的聯(lián)想提示功能，我們輸入"ip."后會(huì)有提示

示例如下：過(guò)濾本地 192.168.21.218 到 192.168.2.153 且協(xié)議為 http 的數(shù)據(jù)包：

ip.src_host == 192.168.21.218 and ip.dst_host == 192.168.2.153 and http

2.3 過(guò)濾端口

---

語(yǔ)法格式：

TCP端口：tcp.port == 80TCP目的端口：tcp.dstport == 80TCP源端口：tcp.srcport == 80UDP端口：udp.port eq 15000TCP 1-80之間的端口：tcp.port >= 1 and tcp.port <= 80tcp.port == 8080 || udp.port == 80

如下過(guò)濾8080 端口，可以看到從本機(jī)192.168.21.218 到 192.168.2.153且為HTTP協(xié)議

2.4 過(guò)濾MAC地址

---

語(yǔ)法格式

源MAC地址：eth.src == 8c-ec-4b-bc-94-ad目的MAC地址：eth.dst == 8c-ec-4b-7c-3b-f8MAC地址（包括源和目的）：eth.addr == e0-78-a3-02-83-38

windows執(zhí)行 arp -a可以看到本機(jī)所有網(wǎng)絡(luò)接口接收到的IP及對(duì)應(yīng)的物理地址

示例如下：

eth.addr==e0-78-a3-02-83-38

2.5 過(guò)濾包長(zhǎng)度

---

語(yǔ)法格式

整個(gè)UDP數(shù)據(jù)包：udp.length == 20TCP數(shù)據(jù)包中的IP數(shù)據(jù)包：tcp.len >= 20整個(gè)IP數(shù)據(jù)包：ip.len == 20整個(gè)數(shù)據(jù)包：frame.len == 20

2.6 HTTP模式過(guò)濾

---

請(qǐng)求方法為GET ：http.request.method=="GET"請(qǐng)求方法為POST：http.request.method=="POST"指定URI：http.request.uri.path contains "x"泛   指：http contains "x"

如下獲取GET請(qǐng)求

http.request.method == "GET"

---

三、ARP協(xié)議分析

---

ARP（Address Resolution Protocol）即地址解析協(xié)議，由于是IP協(xié)議使用了ARP協(xié)議，因此通常就把ARP協(xié)議劃歸網(wǎng)絡(luò)層。ARP協(xié)議的用途是為了從網(wǎng)絡(luò)層使用的IP地址解析出在數(shù)據(jù)鏈路層使用的硬件地址。ARP的基本功能就是負(fù)責(zé)將一個(gè)已知的IP地址解析成MAC地址，以便主機(jī)間能正常進(jìn)行通信。

ping 192.168.21.254(這是我的網(wǎng)關(guān))

如下是我本地的IP和物理地址

示例如下：

192.168.21.218(本機(jī))發(fā)出一個(gè)廣播來(lái)詢(xún)問(wèn)MAC地址：Who Has 192.168.21.254? Tell 192.168.21.218
182.168.21.254 做出應(yīng)答：182.168.21.1254的MAC地址是 74: ea: c8: b1:51: 3f

ARP請(qǐng)求包（request）192.168.21.218——> 192.168.21.254

ARP響應(yīng)包(reply)192.168.21.254——> 192.168.21.218

---

四、WireShark之ICMP協(xié)議

---

網(wǎng)絡(luò)層使用了網(wǎng)際控制報(bào)文協(xié)議ICMP，Internet控制報(bào)文協(xié)議(Intemet Control Message Protocol, ICMP）是IP協(xié)議的一種補(bǔ)充，它與IP協(xié)議結(jié)合使用，以便提供與IP協(xié)議層配置和IP數(shù)據(jù)包處理相關(guān)的診斷和控制信息（IP協(xié)議本身并沒(méi)有為終端系統(tǒng)提供直接的方法來(lái)發(fā)現(xiàn)那些發(fā)往目的地址失敗的IP數(shù)據(jù)包，也沒(méi)有提供直接的方式來(lái)獲取診斷信息。）

ICMP通常被認(rèn)為是IP層的一部分，它是在IP數(shù)據(jù)報(bào)內(nèi)被封裝傳輸?shù)摹?/p>

icmp數(shù)據(jù)包解讀

（1）	Frame: 物理層
（2）	Ethernet II: 數(shù)據(jù)鏈路層
（3）	Internet Protocol Version 4: 網(wǎng)絡(luò)層
（4）	Internet Control Message Protocol： icmp信息ping www.baidu.com

具體詳情文章：【網(wǎng)絡(luò)】網(wǎng)絡(luò)層ICMP協(xié)議-CSDN博客

---

五、TCP三次握手與四次揮手

---

5.1 TCP三次握手

---

【網(wǎng)絡(luò)】傳輸層TCP協(xié)議 | 三次握手 | 四次揮手-CSDN博客

下面是常見(jiàn)的TCP層的常用FLAGS。

標(biāo)志位	描述
SYN	建立連接
ACK	確認(rèn)
PSH	有 DATA數(shù)據(jù)傳輸
FIN	關(guān)閉連接
RST	連接重置

標(biāo)志位：
SYN(synchronize)指請(qǐng)求同步
ACK指確認(rèn)同步

TCP 建立連接的過(guò)程叫做握手，握手需要在客戶(hù)和服務(wù)器之間交換三個(gè)TCP報(bào)文段。下圖為客戶(hù)端主動(dòng)發(fā)起的圖解：

獲取百度的IP地址

tcp && ip.addr == 110.242.68.3
www.baidu.com的IP地址(目的IP)

輸入后，回車(chē)。剛開(kāi)始頁(yè)面是空的流量信息，接下來(lái)打開(kāi)百度首頁(yè)(瀏覽器網(wǎng)址www.baidu.com)，關(guān)注這里的流量信息，可以發(fā)現(xiàn)三次握手的流量包信息已經(jīng)顯示在下方了

第一次握手

客戶(hù)端發(fā)送一個(gè)TCP，標(biāo)志位為SYN=1， 代表客戶(hù)端請(qǐng)求建立連接。等待服務(wù)器收到數(shù)據(jù)包后，客戶(hù)端變?yōu)楸O(jiān)聽(tīng)狀態(tài)。

第二次握手

服務(wù)器發(fā)回確認(rèn)包， 標(biāo)志位為 SYN，ACK。
SYN=1表示已經(jīng)同步數(shù)據(jù)包
ACK=1表示確認(rèn)收到
seq設(shè)為0，即服務(wù)器發(fā)出的第0個(gè)數(shù)據(jù)包
將確認(rèn)序號(hào)設(shè)置為客戶(hù)的seq加1，即ack=0+1=1

第三次握手

客戶(hù)端再次發(fā)送確認(rèn)包，SYN標(biāo)志位為0，ACK標(biāo)志位為1。
seq=0+1=1，客戶(hù)端發(fā)送的第二個(gè)包，編號(hào)為1
ack=0+1=1，回復(fù)給服務(wù)器，表示服務(wù)器發(fā)出的0數(shù)據(jù)包已經(jīng)收到。

5.2 可視化看TCP三次握手

---

統(tǒng)計(jì)——>流量圖

三次握手的整個(gè)過(guò)程簡(jiǎn)單總結(jié)：

5.3 TCP四次揮手

---

本機(jī)地址：192.168.21.218，www.baidu.com的IP地址(IP 110.242.68.3)

第一次揮手：baidu.com發(fā)送帶有[FIN，ACK]標(biāo)志的數(shù)據(jù)包發(fā)送至本機(jī)，Seq=849，ACK=2786，發(fā)送后baidu.com進(jìn)入FIN-WAIT-1（終止等待）狀態(tài)。

此時(shí)Fin和Ack都為1，是一個(gè)客戶(hù)端發(fā)送連接請(qǐng)求。

第二次揮手：本機(jī)收到baidu.com的FIN數(shù)據(jù)包，向baidu.com響應(yīng)ACK數(shù)據(jù)包，Seq=2786（與baidu.com的FIN數(shù)據(jù)包 ACK值相同），ACK=850（等于baidu.com FIN數(shù)據(jù)包的 Seq +1 ）。后本機(jī)進(jìn)入了CLOSE-WAIT（關(guān)閉等待）狀態(tài)。

第三次揮手：數(shù)據(jù)發(fā)送完后，本機(jī)向baidu.com發(fā)送[FIN，ACK]報(bào)文，Seq=2786（與上一條報(bào)文的Seq值相同），ACK=850（與上一條報(bào)文的ACK值相同）。

第四次揮手：baidu.com向本機(jī)發(fā)送標(biāo)志為[RST，ACK]的報(bào)文，Seq=850（與本機(jī)發(fā)送baidu.com的FIN報(bào)文ACK值相同），ACK=2787（與本機(jī)發(fā)送到baidu.com的FIN報(bào)文的Seq值相同）。

RST：該標(biāo)志表示連接復(fù)位請(qǐng)求，用來(lái)復(fù)位那些產(chǎn)生的錯(cuò)誤連接，也用來(lái)拒絕錯(cuò)誤和非法的數(shù)據(jù)包

5.4 可視化看TCP四次揮手

---

統(tǒng)計(jì)——>流量圖

5.5 異常情況

---

異常情況：RST終止

在研究這三四次揮手的時(shí)候，發(fā)現(xiàn)了異常終止情況

我們一般都是正常的等待終止連接，但這時(shí)出現(xiàn)了服務(wù)器提出終止連接請(qǐng)求，看來(lái)是 TCP連接異常中斷，因?yàn)門(mén)CP是全雙工通信，兩者通信地位相等，雙方都有權(quán)利主動(dòng)終止請(qǐng)求。

在服務(wù)器主動(dòng)發(fā)送終止指令后，客戶(hù)端被動(dòng)響應(yīng)終止。然后客戶(hù)端主動(dòng)提出keep-alive不斷開(kāi)連接，服務(wù)器響應(yīng)再一次客戶(hù)端提出keep-alive的時(shí)候，服務(wù)器RST終止了異常的連接。

————————————————

參考原文鏈接：wireshark分析tcp協(xié)議（二）四次揮手（異常情況）【理論 + 實(shí)操】_wireshark監(jiān)測(cè)異常行為介紹-CSDN博客

【網(wǎng)絡(luò)安全】Wireshark過(guò)濾數(shù)據(jù)包&分析TCP三次握手_wireshark過(guò)濾tcp-CSDN博客