Wire Shark抓包分析

Wire Shark抓包分析

xiang0712

从wire shark官网上下载该app,然后安装,安装完成后打开wire shark,绑定本地网卡以太网,打开https://www.guancha.cn进行抓包。

TCP协议

传输控制协议(TCP,Transmission Control Protocol)是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。位于OSI中的传输层。特点是三次握手四次挥手。

三次握手建立连接(如Figure1)

Wire Shark抓包分析
Figure 1

三次握手过程详解:

\1. TCP服务器进程先创建传输控制块TCB,时刻准备接受客户进程的连接请求,此时服务器就进入了LISTEN(监听)状态;

\2. 第一次握手:TCP客户进程也是先创建传输控制块TCB,然后向服务器发出连接请求报文,这是报文首部中的同部位SYN=1,同时选择一个初始*** seq=x ,此时,TCP客户端进程进入了 SYN-SENT(同步已发送状态)状态。TCP规定,SYN报文段(SYN=1的报文段)不能携带数据,但需要消耗掉一个序号。

\3. 第二次握手:TCP服务器收到请求报文后,如果同意连接,则发出确认报文。确认报文中应该 ACK=1,SYN=1,确认号是ack=x+1,同时也要为自己初始化一个*** seq=y,此时,TCP服务器进程进入了SYN-RCVD(同步收到)状态。这个报文也不能携带数据,但是同样要消耗一个序号。

\4. 第三次握手:TCP客户进程收到确认后,还要向服务器给出确认。确认报文的ACK=1,ack=y+1,自己的***seq=x+1,此时,TCP连接建立,客户端进入ESTABLISHED(已建立连接)状态。TCP规定,ACK报文段可以携带数据,但是如果不携带数据则不消耗序号。

\5. 当服务器收到客户端的确认后也进入ESTABLISHED状态,此后双方就可以开始通信了

我们通过Ping www.guancha.cn查到,该网的IP为117.174.151.119

再在wire shark里寻找该地址(如Figure2):
Wire Shark抓包分析
Figure 2

第一次,本机向www.guancha.cn的ip117.174.151.119发送请求连接的数据,Seq=X(X=0)

第二次,www.guancha.cn的主机收到之后向本机发送一个收到连接的信息,允许连接并且建立双向的连接,ACK=X+1=1,Seq=Y(Y=0)

第三次,本机收到了www.guancha.cn的主机发来的信息后,向www.guancha.cn的主机发送了一个收到的数据信息,ACK=Y+1=1,Seq=收到的ACK=1

DNS协议

域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。比如访问观察者网,www.guancha.cn,这是一个域名,而网络间的传输是通过IP地址来进行的,DNS就是将域名转换为IP地址的一个协议。(如Figure3)

抓包得到的destination为117.174.151.119

即观察者网的IP地址
Wire Shark抓包分析Figure3

ICMP协议

ICMP全名为(INTERNET CONTROL MESSAGE PROTOCOL)网络控制消息协议。ICMP的协议号为1。ICMP报文就像是IP报文的小弟,总顶着IP报文的名头出来混。
Wire Shark抓包分析Wire Shark抓包分析

UDP协议

Wire Shark抓包分析
UDP 是User Datagram Protocol的简称(用户数据报协议),是OSI参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。

UDP和TCP同为OSI中传输层中的协议,二者有着不同之处。

1) TCP提供面向连接的传输,通信前要先建立连接(三次握手机制);
UDP提供无连接的传输,通信前不需要建立连接。

2) TCP提供可靠的传输(有序,无差错,不丢失,不重复);
UDP提供不可靠的传输。

3) TCP面向字节流的传输,因此它能将信息分割成组,并在接收端将其重组;UDP是面向数据报的传输,没有分组开销。

4) TCP提供拥塞控制和流量控制机制;
UDP不提供拥塞控制和流量控制机制。

TCP协议的应用于可靠传输的情况,比如:文件传输,重要状态更新的场景
UDP协议的应用于高效传输和实时性要求较高的通信领域,比如:早期的QQ,视频传输,另外还可以用于广播

在本次抓包过程中,UDP协议相比于TCP协议的数量,是很少的,也符合以上场景的应用

ARP

Wire Shark抓包分析
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。

这是本机通过广播向局域网的所有主机发送信息。

相关文章:

  • 2021-04-28
  • 2021-12-20
  • 2021-11-11
  • 2021-10-05
  • 2021-05-03
  • 2021-12-08
猜你喜欢
  • 2021-09-04
  • 2021-12-16
  • 2022-12-23
  • 2021-05-25
  • 2021-07-11
  • 2021-12-06
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode