首页 > 其他分享 >Wireshark网络分析笔记

Wireshark网络分析笔记

时间:2022-09-26 00:34:27浏览次数:79  
标签:6d 笔记 77 76 75 73 网络分析 69 Wireshark

Wireshark简介

Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。
它使用WinPCAP作为接口,直接与网卡进行数据报文交换。
[https://www.wireshark.org]

分析网络协议

Windows平台:ping 8.8.8.8 -t
指定包长度:ping -l 1472 8.8.8.8 -t
ping www.baidu.com -t
启动Wireshark网络抓包

ICMP协议

[https://zhuanlan.zhihu.com/p/360850424]
网络上的报文并不总是能顺利地传送并被接收,有时可能由于网关MTU太小而报文不允许分片造成报文不能被网关转发,有时可能由于TTL值减小到0而不能继续发送或接收,也有可能由于报文头参数有问题而不能被接收者接收,这些问题,并不能简单地丢弃处理。如果你丢弃了又不告诉源主机,源主机会认为它发送成功了,这样会造成通信双方信息不同步,进而造成更大的故障。所以,在丢弃报文的同时,还必须告知源主机丢弃的原因,就是通过ICMP报文携带相关信息.
ICMP:Internet Control Message Protocol,它位于网络层,是IP层的一个组成部分,主要用来传递差错报文以及其他需要注意的信息.
ipv4网络主要是ICMPv4,其他还有ICMPv6.

ICMP报文结构:

macHeader ipHeader icmp
mac头 ip头 icmp内容

ICMP报文类型:

ICMP Echo Request/Response ICMP目的不可达消息 ICMP重定向消息 ICMP超时消息 ICMP参数问题消息 ICMP源端被关闭消息
用于检测IP网络连通性的Ping/Tracert,就是我们在cmd窗口中ping的操作 由于路由设备的MTU太小而需要分片,然而IP报文DF标志位不允许,造成无法转发,此时路由会丢弃报文并同时向源主机发送一条ICMP目的不可达消息 在特定的情况下,当路由器检测到一台主机或网络设备使用非优化路由的时候,它会向该主机或网络设备发送一个ICMP重定向报文,请求主机或网络设备改变路由。路由器也会把初始数据报向它的目的地转发 当收到TTL为0的报文时,网络设备/主机会丢弃该报文,并返回一个ICMP超时报文 如果发现接收的数据包存在报文头参数有问题,无法完成数据包解析时,网络/主机会将数据包丢弃,并可能会返回一个ICMP参数问题消息给源端 用于表示对方或中途的服务器繁忙无法回应

DNS协议

DNS(Domain Names System),域名系统,是互联网一项服务,是进行域名和与之相对应的 IP 地址进行转换的服务器
DNS有两种查询方式:递归查询和迭代查询
DNS报文结构:

Header Question Answer Authority Additional
报文头 查询的问题 应答 授权应答 附加信息

MTU最大传输单元

MTU(Maximum Transmission Unit)即最大传输单元,用来通知对方所能接受数据服务单元的最大尺寸,说明发送方能够接受的有效载荷大小。
MTU是包或帧的最大长度,一般以字节记,如果过大,在碰到路由器时会被拒绝转发,如果太小,因为协议一定要在包(或帧)上加上包头,那实际传送的数据量就会过小。

数据包大小计算

[https://www.cnblogs.com/sudochen/p/15931027.html]
在应用程序中我们用到的Data的长度最大是多少,直接取决于底层的限制。   
我们从下到上分析一下:   
1.在链路层,由以太网的物理特性决定了数据帧的长度为(46+18)-(1500+18),其中的18是数据帧的头和尾,也就是说数据帧的内容最大为1500(不包括帧头和帧尾),即MTU(Maximum Transmission Unit)为1500;  
2.在网络层,因为IP包的首部要占用20字节,所以这的MTU为1500-20=1480; 
3.在传输层,对于UDP包的首部要占用8字节,所以这的MTU为1480-8=1472;   
所以,在应用层,你的Data最大长度为1472。 (当我们的UDP包中的数据多于MTU(1472)时,发送方的IP层需要分片fragmentation进行传输,而在接收方IP层则需要进行数据报重组,由于UDP是不可靠的传输协议,如果分片丢失导致重组失败,将导致UDP数据包被丢弃)。   
从上面的分析来看,在普通的局域网环境下,UDP的数据最大为1472字节最好(避免分片重组)。   
但在网络编程中,Internet中的路由器可能有设置成不同的值(小于默认值),Internet上的标准MTU值为576,所以Internet的UDP编程时数据长度最好在576-20-8=548字节以内。

抓包分析

  1. 8.8.8.8(DNS服务器)
    [https://blog.csdn.net/weixin_47627078/article/details/122418744]

    直接ping 8.8.8.8是使用ICMP协议,即使8.8.8.8是一台DNS服务器。
    我们简单理解DNS功能是把域名转成IP地址,我们先发送一个DNS请求数据包到本地域名服务器去找,找不到我们就去根域名服务器去找,根域名找不到我们再把顶级域名服务器地址回复给本地域名服务器,然后本地域名服务器到顶级域名服务器去查询,如果依然找不到,同理,再到权限域名服务器去找.
    我们没有访问一个域名,所以没有使用到DNS协议。
    正常使用32字节的包:

    使用1472字节数据包:


    ping不通,访问拒绝。原因:Wireshark显示数据包实际为1514字节,大于MTU=1500,产生IP分片,被谷歌安全防护阻断相关报文。
    包长度:1472+14+20+8=1514,其中1472字节为原始数据,14字节为以太头,20字节为IP包首部,8字节为UDP包首部。
0000   50 eb f6 09 c2 20 54 e1 ad e4 79 0b 08 00 45 00   P.... T...y...E.
0010   05 dc 83 e0 00 00 40 01 00 00 c0 a8 32 3a 08 08   [email protected]:..
0020   08 08 08 00 3f f3 00 01 00 54 61 62 63 64 65 66   ....?....Tabcdef
0030   67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76   ghijklmnopqrstuv
0040   77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f   wabcdefghijklmno
0050   70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68   pqrstuvwabcdefgh
0060   69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61   ijklmnopqrstuvwa
0070   62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71   bcdefghijklmnopq
0080   72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a   rstuvwabcdefghij
0090   6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63   klmnopqrstuvwabc
00a0   64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73   defghijklmnopqrs
00b0   74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c   tuvwabcdefghijkl
00c0   6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65   mnopqrstuvwabcde
00d0   66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
00e0   76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e   vwabcdefghijklmn
00f0   6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67   opqrstuvwabcdefg
0100   68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77   hijklmnopqrstuvw
0110   61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0120   71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
0130   6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62   jklmnopqrstuvwab
0140   63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72   cdefghijklmnopqr
0150   73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b   stuvwabcdefghijk
0160   6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64   lmnopqrstuvwabcd
0170   65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74   efghijklmnopqrst
0180   75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d   uvwabcdefghijklm
0190   6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66   nopqrstuvwabcdef
01a0   67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76   ghijklmnopqrstuv
01b0   77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f   wabcdefghijklmno
01c0   70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68   pqrstuvwabcdefgh
01d0   69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61   ijklmnopqrstuvwa
01e0   62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71   bcdefghijklmnopq
01f0   72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a   rstuvwabcdefghij
0200   6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63   klmnopqrstuvwabc
0210   64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73   defghijklmnopqrs
0220   74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c   tuvwabcdefghijkl
0230   6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65   mnopqrstuvwabcde
0240   66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
0250   76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e   vwabcdefghijklmn
0260   6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67   opqrstuvwabcdefg
0270   68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77   hijklmnopqrstuvw
0280   61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0290   71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
02a0   6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62   jklmnopqrstuvwab
02b0   63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72   cdefghijklmnopqr
02c0   73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b   stuvwabcdefghijk
02d0   6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64   lmnopqrstuvwabcd
02e0   65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74   efghijklmnopqrst
02f0   75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d   uvwabcdefghijklm
0300   6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66   nopqrstuvwabcdef
0310   67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76   ghijklmnopqrstuv
0320   77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f   wabcdefghijklmno
0330   70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68   pqrstuvwabcdefgh
0340   69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61   ijklmnopqrstuvwa
0350   62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71   bcdefghijklmnopq
0360   72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a   rstuvwabcdefghij
0370   6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63   klmnopqrstuvwabc
0380   64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73   defghijklmnopqrs
0390   74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c   tuvwabcdefghijkl
03a0   6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65   mnopqrstuvwabcde
03b0   66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
03c0   76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e   vwabcdefghijklmn
03d0   6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67   opqrstuvwabcdefg
03e0   68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77   hijklmnopqrstuvw
03f0   61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0400   71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
0410   6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62   jklmnopqrstuvwab
0420   63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72   cdefghijklmnopqr
0430   73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b   stuvwabcdefghijk
0440   6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64   lmnopqrstuvwabcd
0450   65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74   efghijklmnopqrst
0460   75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d   uvwabcdefghijklm
0470   6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66   nopqrstuvwabcdef
0480   67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76   ghijklmnopqrstuv
0490   77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f   wabcdefghijklmno
04a0   70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68   pqrstuvwabcdefgh
04b0   69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61   ijklmnopqrstuvwa
04c0   62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71   bcdefghijklmnopq
04d0   72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a   rstuvwabcdefghij
04e0   6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63   klmnopqrstuvwabc
04f0   64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73   defghijklmnopqrs
0500   74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c   tuvwabcdefghijkl
0510   6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65   mnopqrstuvwabcde
0520   66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
0530   76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e   vwabcdefghijklmn
0540   6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67   opqrstuvwabcdefg
0550   68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77   hijklmnopqrstuvw
0560   61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0570   71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
0580   6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62   jklmnopqrstuvwab
0590   63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72   cdefghijklmnopqr
05a0   73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b   stuvwabcdefghijk
05b0   6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64   lmnopqrstuvwabcd
05c0   65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74   efghijklmnopqrst
05d0   75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d   uvwabcdefghijklm
05e0   6e 6f 70 71 72 73 74 75 76 77                     nopqrstuvw
  1. www.baidu.com
    DNS协议询问了114.114.114.114

    可以看到应答中给了www.baidu.com的www.a.shifen.com服务器地址。
    [https://www.zhihu.com/question/20100901/answer/13975433]

其实http://www.a.shifen.com只是一个CNAME别名记录,用于多线智能解析的,百度为了每条线路(电信、联通/网通、移动等)上的用户都能最快访问站点,所以用了别名记录。 ping http://baidu.com之所以不出现http

标签:6d,笔记,77,76,75,73,网络分析,69,Wireshark
From: https://www.cnblogs.com/qsbye/p/16729499.html

相关文章

  • Bootstrap 笔记
    BootstrapBootstrap是预编写的CSS和JavaScript代码段(chunk)的集合。引入任何Web应用,都可以通过添加如下代码到HTML的head标签中来引入Bootstrap。<linkre......
  • 傅里叶变换学习笔记
    教材信号与系统.AlanV.Oppenheim.第二版.西安交通大学出版社.1998博文傅里叶分析之掐死教程@知乎.韩昊视频形象展示傅里叶变换@3Blue1Brown......
  • React 入门学习笔记
    npxcreate-react-appdemo创建reactdemo,此命令行不需要提前安装create-react-app脚手架,创建demo后就会删除了vue微信小程序都是MVVM框架react是MVC框架jsx......
  • 接口测试学习笔记一
    接口测试理论什么是接口接口:是指系统或组件之间的交互点,通过这些交互点可以实现数据的交互(数据交互的通道)接口的类型接口分为系统之间的接口和程序内部的接口系......
  • 第四周学习笔记
    第7章文件操作——教材知识点归纳7.1文件操作级别(1)硬件级别:fdisk:讲盘进行分区mfks:格式化磁盘分区fsck:检查和维修系统2)操作系统内核中的文件系统函数:其中前缀k表示内......
  • 笔记本
    笔记本本隐私政策更新时间:2022年8月生效时间:2021年8月广州菁宏信息科技有限公司非常注重保护用户(“您”)的个人信息及隐私,我们深知个人信息对您的重要性,并将按照法律法规要......
  • 《Unix/Linux系统编程》第四周学习笔记
    《Unix/Linux系统编程》第四周学习笔记文件操作(第7章)文件操作级别硬件级别:硬件级别的文件操作包括:`fdisk`:将硬件、U盘或SDC盘分区。`mkfs`:格式化磁盘分区,为系统做好......
  • 【Coel.学习笔记】特殊的图 - 仙人掌与圆方树
    你是什么仙人?引入仙人掌是一种特殊的无向图,它的任意一条边至多只出现在一条简单回路(每个点只出现一次的回路是简单回路,特殊地,自环不算简单回路)。这里借用一下[SHOI2006......
  • 《JavaScript高级程序设计》Chapter03学习笔记
    Chapter03JavaScriptLanguageSyntax类C区分大小写,标识符可以字母、下划线(_)、美元符号($)开头语句以分号(;)结尾:虽然不加分号也是被允许的,但会导致性能的降......
  • 第七、八章学习笔记
    第七章   文件操作第七章的主要内容是文件操作,主要包括以下几个方面:文件操作级别文件I/O操作低级别文件操作EXT2文件系统简介一、知识点归纳以及自己最有收获......