wireshark
0x00 简介
wireshark是一款强大的协议分析软件
可以对网络数据包进行细致入微地分析,显示出数据包的详细内容。
强大之处
1. 官网:
https://www.wireshark.org
2. 官方提供的wiki:
https://wiki.wireshark.org
3. 官网提供的pcap:
https://wiki.wireshark.org/SampleCaptures
0x01 TCP/IP模型的分类
TCP/IP模型中包含了4层,每一层包含一系列对应的协议。
第一层:应用层
这层直接和用户及其他的网络协议进行互动。
这一层的重点在于将数据通过用户可以理解的方式呈现给用户。
举例:
- HTTP:超文本传输协议
- FTP:文件传输协议
- SNMP:简单网络管理协议
- SMTP:简单邮件传输协议
- DNS:域名服务
第二层:运输层
创建两台主机通信时使用的套接字,在两台设备之间创建出一条独立连接。
举例:
- TCP: 传输控制协议(可靠协议)
- UDP:用户数据报协议(不可靠通信协议)
第三层:网络层
关注重点:数据往返传输。
举例:
- IP:互联网协议
- IGMP:Internet 组管理协议
- ICMP:Internet控制报文协议
第四层:链路层
信息的比特数据如何在物理线缆中进行传输
- ARP:地址解析协议
作用:将MAC地址解析为IP地址 -
PPP:点到点协议
TCP/IP协议族中不同层次的协议.jpg
0x02 工作方式
1.收集
2.转换
3.分析
1.收集
抓取网络数据包有很多不同的方法。管理员可以根据不同的需求,将其部署在不同的网络位置上
1. 基于集线器的网络
解决方案:
因为集线器会将所有的数据包广播到它们所在的整个网络中。
所以集线器网络的性能会下降
2. 交换环境
解决方案
1)端口镜像技术
2)插拔的方式(用集线器连接交换机)
3)arp毒化(中间人)
在传输信息的双方之间冒充另一台设备。
0x03 界面介绍
6大部分
- 菜单栏
- 主工具栏(使用频率最高的几个选项构成)
所有选项可以在菜单栏中找到 - 数据包列表面板(wireshark抓取的数据包)
- 数据包详细信息面板(数据包的各层协议)
- 字节面板(十六进制和对应的ASCII码内容)
- 状态栏(显示一些详细信息)
0x04 练习题:(仅供参考)
1.TCP/IP模型分为多少层?它们的名称分别是什么?
答:四层 应用层 传输层 互联网层 链路层
2.TCP/IP模型中的哪一层负责处理二层地址
答:链路层
3.链路层还有一个名字是什么?
答:网络接口层
4.HTTP协议使用的是TCP还是UDP
答:TCP
5.IP、ICMP、和(IGMP)属于互联网层的协议
答:IGMP:Internet 组管理协议
ICMP:Internet控制报文协议
6.ARP是三层协议
答:ARP:地址解析协议
答:链路层协议
7.TCP协议是否采用了三次握手的通信建立方式?
答:是
8.端口镜像技术只能通过交换机实现
答:访问设备:路由器/交换机
9.拔插设别的方式是用同一台路由器来将同一个网络中的PC隔离开
答:不是
10.TCP是可靠通信协议
答:是
11.哪个面板会以十六进制和ASCII码的形式显示我们抓取的数据包?
答:字节面板
