一、TCP/IP協(xié)議簇

• 網(wǎng)絡(luò)接口層（沒(méi)有特定的協(xié)議）? ?
  • 物理層：PPPOE寬帶撥號(hào)（應(yīng)用場(chǎng)景：寬帶撥號(hào)，運(yùn)營(yíng)商切網(wǎng)過(guò)來(lái)沒(méi)有固定IP就需要撥號(hào)，家庭帶寬一般都采用的是撥號(hào)方式）
  • 數(shù)據(jù)鏈路層
• 網(wǎng)絡(luò)層：IP（v4/v6） ARP（地址解析協(xié)議） RARP 、ICMP（internet控制報(bào)文協(xié)議） IGMP
• 傳輸層：TCP（傳輸控制協(xié)議）? UDP（用戶數(shù)據(jù)報(bào)協(xié)議）
• 應(yīng)用層：基于傳輸層協(xié)議的端口，總共0-65535? ?固定協(xié)議端口號(hào)0-1023? ?http-80，https-443
  • DHCP
  • DNS
  • HTTP
  • HTTPS
  • FTP
  • SMTP
  • POP3
  • IMAP
• 流量抓取工具（winshark）

二、winshark工具簡(jiǎn)介

1、混雜 and 非混雜

winshark是對(duì)主機(jī)網(wǎng)卡上的數(shù)據(jù)流量進(jìn)行抓取，可以對(duì)網(wǎng)卡進(jìn)行混雜模式和非混雜模式的抓包。

• 混雜模式：不管目的是否是自己，都接收。
  數(shù)據(jù)鏡像：主機(jī)A正常與主機(jī)B通信，做數(shù)據(jù)鏡像端口，將F0/0接口鏡像到F0/2接口，如果主機(jī)C開(kāi)啟混雜模式，就能抓取澳主機(jī)A發(fā)往主機(jī)B的鏈路流量，反之如果主機(jī)C是非混雜模式就會(huì)將丟棄該數(shù)據(jù)。
  
• 非混雜模式：默認(rèn)情況下，主機(jī)的網(wǎng)卡處于此模式，不會(huì)接收目的非自己的數(shù)據(jù)
  

2、winshark軟件界面介紹

（1）菜單欄

（2）網(wǎng)卡

winshark可以檢測(cè)到本地的所有網(wǎng)卡

（3）混雜模式

在菜單欄-捕獲->選項(xiàng)進(jìn)入可以設(shè)置混雜模式，默認(rèn)是開(kāi)啟的。

3、抓取數(shù)據(jù)

（1）流量

• No 抓取報(bào)文的序號(hào)
• time：時(shí)間，抓取這個(gè)流量耗費(fèi)的時(shí)間
• Source：源IP地址
• Destination：目標(biāo)IP地址
• Protocol：協(xié)議
• length：數(shù)據(jù)報(bào)文的長(zhǎng)度
• Info：簡(jiǎn)要信息

（2）數(shù)據(jù)包

看報(bào)文詳細(xì)內(nèi)容，通過(guò)TCP/IP 五層來(lái)展現(xiàn)的。

• Frame56：物理層封裝的信息（很少去看）
• Ethernet II ：二層封裝信息 源MAC 目的MAC Type，下面會(huì)顯示十六進(jìn)制的消息

• Internet Protocol version 4：網(wǎng)絡(luò)層數(shù)據(jù)
• User Datagram protocol：傳輸層數(shù)據(jù)
• Domain Name System（response）：應(yīng)用層數(shù)據(jù)

（3）追蹤流(用的比較多)

追蹤流：

Wireshark的跟蹤數(shù)據(jù)流功能可以將捕獲的數(shù)據(jù)包排好順序使之容易查看，右鍵捕獲的數(shù)據(jù)包并選擇追蹤流，假設(shè)選擇HTTP流，HTTP流就會(huì)在一個(gè)單獨(dú)的窗口中顯示。

我們可以注意到窗口中的文字以兩種顏色顯示，紅色用來(lái)標(biāo)明從源地址前往目標(biāo)地址的流量，而藍(lán)色用來(lái)區(qū)分從目標(biāo)地址到源地址的流量。以訪問(wèn)www.xiaodi8.com為例。

其中黑底紅字的報(bào)文是錯(cuò)誤報(bào)文，根據(jù)winshark菜單欄視圖->著色規(guī)則可知，是Bad TCP

（4）自定義顯示的列

我們想快速看報(bào)文的某些字段信息，就可以設(shè)置應(yīng)用為列。例如想看報(bào)文的Type類型，可以直接右擊Ethernet II里面的Type，選擇應(yīng)用為列。

（5）自定義Time列

菜單欄視圖->日期時(shí)間格式下有很多顯示時(shí)間的格式，我們可以根據(jù)場(chǎng)景來(lái)選擇顯示時(shí)間的格式。例如當(dāng)我們發(fā)現(xiàn)某個(gè)報(bào)文有問(wèn)題時(shí)，可以設(shè)置時(shí)間格式為日期和時(shí)間從而追溯到這個(gè)報(bào)文是在哪個(gè)時(shí)間點(diǎn)發(fā)的。

• 日期和時(shí)間

• 自從上一顯示分組經(jīng)過(guò)的秒數(shù)

• 自捕獲開(kāi)始經(jīng)過(guò)的秒數(shù):

• 設(shè)置參考時(shí)間

針對(duì)某一個(gè)報(bào)文也可以設(shè)置參考時(shí)間，選中報(bào)文，右擊，設(shè)置/取消設(shè)置時(shí)間參考，下面報(bào)文Time顯示的就是針對(duì)上面報(bào)文的間隔時(shí)間。

（6）、名稱解析

默認(rèn)顯示Source和Destination都是IP地址的方式，可以設(shè)置成名稱的顯示方式

可以看到MAC地址默認(rèn)是做了名稱解析的，一個(gè)MAC地址前24位由廠商來(lái)代替，后面24位是廠商的序列號(hào)。

勾選網(wǎng)絡(luò)地址和端口的名稱顯示后，抓包數(shù)據(jù)信息就會(huì)顯示域名和端口，443就直接解析成了https

?4、過(guò)濾器

（1）兩種過(guò)濾器

• 捕獲過(guò)濾器：在抓包之前先進(jìn)行過(guò)濾（只抓取某種類型的數(shù)據(jù)包）

• 顯示過(guò)濾器：抓包前抓包后都可以進(jìn)行過(guò)濾，但是不會(huì)影響抓取的包

（2）過(guò)濾器語(yǔ)法

????A? ? 捕獲過(guò)濾器語(yǔ)法

• 類型：host net? port
• 方向：src dst
• 協(xié)議：ether ip tcp udp http ftp……
• 邏輯運(yùn)算：&&與、 || 或? 、！非
• 舉個(gè)栗子：
  • 抓取源地址是本機(jī)且目的端口是80的數(shù)據(jù)流量

    src host 192.168.2.16?&& dst port 80

  • 抓取IP地址為192.168.2.16 或者192.168.2.1

    host 192.168.2.16 || 192.168.2.1

  • 不抓廣播報(bào)文

    ! broadcast

  • 抓取源IP為192.168.2.16或者192.168.2.0/24，目的TCP端口號(hào)在200到10000之間，并且目的位于47.0.0.0/8的數(shù)據(jù)流量。

    (src host 192.168.2.16 || src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net 47.0.0.0/8)

? ? B? ? 顯示過(guò)濾器語(yǔ)法

• 比較操作符：== (eq)? ? ??!=(neq)??>大于(gt)??<小于(lt)? ??>=大于等于(ge)? <=小于等于(le)
• IP地址過(guò)濾：ip.addr? ? ip.host? ? ip.dst
• 端口過(guò)濾：tcp.port? ? ? ?udp.port? ? ? ? tcp.dstport? ? ? ?tcp.flag.syn? ?tcp.flag.ack
• 協(xié)議過(guò)濾：arp? ?ip? ?icmp? ?udp? tcp? ?http
• 舉個(gè)栗子
  • 顯示源IP為192.168.2.16并且tcp端口為443

    ip.src ==192.168.2.16 and tcp.port==443

  • 顯示源不為192.168.2.16或者目的不為47.75.212.155的

    ip.src!=192.168.2.16?or ip.dst!=47.75.212.155

?三、案例?

1、實(shí)驗(yàn)要求

開(kāi)啟winshark抓包，抓取所有的報(bào)文

過(guò)濾DNS的報(bào)文，找到對(duì)應(yīng)的域名解析報(bào)文

根據(jù)DNS返回的IP地址，找到主機(jī)與服務(wù)器的TCP交互過(guò)程

找到客戶機(jī)請(qǐng)求服務(wù)器的HTTP報(bào)文，?追蹤HTTP流情況

2、實(shí)驗(yàn)過(guò)程

（1）關(guān)掉已打開(kāi)的網(wǎng)頁(yè)

（2）刷新DNS緩存

（3）精確查找

過(guò)濾DNS，Ctrl+N，輸入域名精確查找

（4）定位請(qǐng)求/響應(yīng)報(bào)文?

（5）找目標(biāo)IP地址

響應(yīng)報(bào)文Answer中會(huì)顯示目標(biāo)IP地址為47.75.212.155

?（6）追蹤流分析

如果訪問(wèn)的是https的網(wǎng)站，報(bào)文中protocol字段就是TLS，追蹤流追蹤到的就是加密的內(nèi)容，看不到網(wǎng)頁(yè)響應(yīng)源碼。

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-815926.html

到了這里，關(guān)于網(wǎng)絡(luò)協(xié)議與攻擊模擬_01winshark工具簡(jiǎn)介的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！