wireshark简单运用笔记(四)

  前面说了不少对wireshark的简单操作,这里我们说说如何分析在wireshark中捕获的数据包。

  首先是我们耳熟能闻的TCP流数据包,我们都知道,要建立TCP连接必须经过三次握手的规则,那么,它在wireshark如何体现出来呢?我们又如何在wireshark中捕获的数据包看出三次握手呢?

  编号44的数据包时192.168.1.4在50734端口向74.125.128.199请求建立TCP连接,51号数据包回应了该请求,同时74.125.128.199也向192.168.1.4的50734端口请求建立TCP连接,52号数据包中192.168.1.4回应了该请求,此时,整个TCP连接三次握手完成,双方成功建立了TCP连接,这从54号数据包的内容可以看出。

  我们还可以对TCP数据包进行跟踪,右键单击其中一个TCP数据包,选择Follow TCP Stream,在弹出的窗口中我们就可以清晰的看到该TCP数据包的流动信息。

  从图中,我们可以清晰看到源地址(192.168.1.104)向目标地址(65.55.57.27)发送了一个GET请求,而这个GET请求所包含的信息则是红色字体部分内容,而蓝色字体内容则是响应这个请求,并返回一些信息。通过这个,我们可以更清晰的了解到该TCP流包的作用。

  接下来我们来看看ICMP包又是怎样的:

  我们设置规则只抓取ICMP包,然后ping任意一个网站,这里以百度为例。第一个数据包是源主机192.168.1.4向目标机即百度115.239.    210.26(百度的其中一个IP)的ICMP请求,第二个数据包则是百度该IP对192.168.1.4的ICMP请求的回应。这是最简单的ICMP包,同时也是ping命令执行的原理。该图中一共进行了4次ping请求和回应,这是最典型的window系统的ping命令(linux的ping命令默认没有次数限制,会不断执行,而window的则默认只执行4次)。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注