一.實驗環境
Wireshark linux
二. 實驗要求與目的
1.熟悉常見的無線測量工具的特點和用途
2.學習Linux 上的 Wireshark和Kismet 資料包捕獲和分析
三. 實驗步驟與演示
下列為抓取的網路資料包
四.資料包分析(這里以TCP包為例)
通過抓包分析,這里大部分為TCP協議的包,這上述圖片的游標所處的TCP的包中可以得知:
第一行,幀Frame 110 指的是要發送的資料塊,其中,所抓幀的序號為110,捕獲位元組數等于傳送位元組數:66位元組;
第二行,以太網,有線局域網技術,是資料鏈路層,源Mac地址為5c:5f:67:03:a9:fd;目標Mac地址為a0:57:e3:01:7d:ff;
第三行,IPV4協議,也稱網際協議,是網路層;源IP地址為192.168.43.189;目標IP地址為192.168.1.88;
第四行,TCP協議,也稱傳輸控制協議,是傳輸層;源埠(1037);目標埠(3260);序列號(0);
Arrival Time:到達時間,值為Mar 19, 2021 15:48:32.21043700 中國標準時間
EPoch Time:資訊出現時間,值為1616140112.21043700秒
[ Time delta from previous captured frame: 0.317623000 seconds] :
Frame Number: 104,幀編號為104;
Frame Length: 66 bytes (528 bits),幀長度為66位元組;
[Frame is marked: False],幀標記:無;
[Protocols in frame: eth:ethertype:ip:tcp],協議幀:eth(以太網)、IP、tcp、ethertype
[Coloring Rule Name: TCP SYN/FIN],色彩規則名稱:TCP SYN/FIN;
[Coloring Rule String:tcp.flags&0x02||tcp.flags.fin==1]色彩規程字串:tcp.flags&0x02||tcp.flags.fin==1;
Destination: HuaweiTe_01:7d:ff (a0:57:e3:01:7d:ff),目標Mac地址為a0:57:e3:01:7d:ff
Source: IntelCor_03:a9:fd (5c:5f:67:03:a9:fd),源Mac地址為5c:5f:67:03:a9:fd
Type: IP (0x0800),型別是IP資料包
由圖可知:
Version:4 IP協議版本為Ipv4;
Header Length:20 bytes(5) 頭部資料長度為20位元組
Differentiated Services Field: 0x00 (DSCP CS0, ECN: Not-ECT),區分的服務領域:0x00 (默認的是DSCP:0x00);
Flags: 0x02 (Don't Fragment),不支持分組;
Fragment offset:0 ,分組偏移量為0;
Time to live: 64,TTL,生存時間為64,TTL通常表示包在被丟棄前最多能經過的路由器個數,當資料包傳輸到一個路由器之后,TTL就自動減1,如果減到0了還沒有傳送到目標主機,那么就自動丟失,
Header checksum:0x0000,頭部校驗和
Source: 192.168.43.189,源IP地址為192.168.43.189;
Destination Address:192.168.1.88 目的ip為192.168.1.88
埠號,資料傳輸的16位源埠號和16位目標埠號(用于尋找發端和收端應用行程);
相對序列號,該資料包的相對序列號為0(此序列號用來確定傳送資料的正確位置,且序列號用來偵測丟失的包);下一個資料包的序列號是3680512857;
Acknowledgment number是32位確認序列號,值等于1表示資料包收到,確認有效;
手動的資料包的頭位元組長度是20位元組;
五.分析總結
這里還抓取了ICMPv6,NBNS,MDNS,GQUIC,ARP,DNS等包文,
1.ICMPv6
ICMP是((Internet Control Message Protocol Internet控制報文協議,它是TCP/IP協議族的一個子協議,用于在IP主機、路由器之間傳遞控制訊息,控制訊息是指網路通不通、主機是否可達、路由是否可用等網路本身的訊息,這些控制訊息雖然并不傳輸用戶資料,但是對于用戶資料的傳遞起著重要的作用,
各種ICMP報文的前32bits都是三個長度固定的欄位:type型別欄位(8位)、code 代碼欄位(8位)、checksum校驗和欄位(16位) 8bits型別和 8bits 代碼欄位:一起決定了ICMP報文的型別,
2.NBNS
137/UDP -- NetBIOS 名稱服務器,網路基本輸入/輸出系統 (NetBIOS) 名稱服務器 (NBNS) 協議是 TCP/IP 上的 NetBIOS (NetBT) 協議族的一部分,它在基于 NetBIOS 名稱訪問的網路上提供主機名和地址映射方法
NetBIOS是Network Basic Input/Output System的簡稱,一般指用于局域網通信的一套API
3.DNS
域名系統(Domain Name System,縮寫:DNS)是互聯網的一項服務,它作為將域名和IP地址相互映射的一個分布式資料庫,能夠使人更方便地訪問互聯網,DNS使用TCP和UDP埠53,當前,對于每一級域名長度的限制是63個字符,域名總長度則不能超過253個字符,DNS協議是用來將域名轉換為IP地址(也可以將IP地址轉換為相應的域名地址),
4.ARP
地址決議協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議,主機發送資訊時將包含目標IP地址的ARP請求廣播到局域網路上的所有主機,并接識訓傳訊息,以此確定目標的物理地址;收到回傳訊息后將該IP地址和物理地址存入本機ARP快取中并保留一定時間,下次請求時直接查詢ARP快取以節約資源,地址決議協議是建立在網路中各個主機互相信任的基礎上的,局域網路上的主機可以自主發送ARP應答訊息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP快取;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的資訊無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙,ARP命令可用于查詢本機ARP快取中IP地址和MAC地址的對應關系、添加或洗掉靜態對應關系等,相關協議有RARP、代理ARP,NDP用于在IPv6中代替地址決議協議,
六.實驗總結與體會
通過本次實驗我了解了常見的無線測量工具的特點和用途,學會了如何在linux下運用Wiresshark進行抓包,并通過資料包分析了資料包的各種資訊,了解了不同協議的資料包,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/273992.html
標籤:其他