3.5 常见用显示过滤需求及其对应表达式
3.5.1 数据链路层
筛选mac地址为04:f9:38:ad:13:26的数据包 eth.addr == 04:f9:38:ad:13:26 筛选源mac地址为04:f9:38:ad:13:26的数据包 eth.src == 04:f9:38:ad:13:26
打开Expression,找到Ethernet,可以参考下面的表达式
3.5.1 网络层
筛选ip地址为192.168.1.1的数据包 ip.addr == 192.168.1.1 筛选192.168.1.0网段的数据 ip contains 192.168.1 筛选192.168.1.1和192.168.1.2之间的数据包 ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2 筛选从192.168.1.1到192.168.1.2的数据包 ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
3.5.1 传输层
筛选tcp协议的数据包 tcp 筛选除tcp协议以外的数据包 !tcp 筛选端口为80的数据包 tcp.port == 80 筛选12345端口和80端口之间的数据 tcp.port == 12345 && tcp.port == 80 筛选从12345端口到80端口的数据包 tcp.srcport == 12345 && tcp.dstport == 80
3.5.1 应用层
注: http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1) http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。 筛选url中包含.php的http数据包 http.request.uri contains .php 筛选内容包含username的http数据包 http contains username
URL和URI区别
URL(locater):统一资源定位符,找到路经
URI(identification):统一资源标识符
URL是URI的子集
三、wireshark分析TCP三次握手
1. 过滤阿里云服务器
设置过滤阿里云服务器的IP地址
ip.addr == 123.56.136.14
由于目前尚未与服务器有数据传输,故监听不到数据包
2. 连接阿里云TCP服务端
需要安装一个网络调试助手辅助操作
百度网盘链接:
https://pan.baidu.com/s/1EK4jgQr3jeBTipa5N5Qi0A?pwd=v4zg
协议类型选择TCP Client,远程主机地址填写阿里云服务器IP地址,端口根据服务器具体端口开发情况设置
连接后,在Wireshark会看到,出现三条数据包信息(TCP三次握手)
参考下图,方便理解
2.1 TCP第一次握手数据包
客户端发送一个TCP,标志位为SYN=1, 代表客户端请求建立连接。等待服务器收到数据包后,客户端变为监听状态。
2.2 TCP第二次握手数据包
服务器发回确认包, 标志位为 SYN,ACK。
SYN=1表示已经同步数据包
ACK=1表示确认收到
seq设为0,即服务器发出的第0个数据包
将确认序号设置为客户的seq加1,即ack=0+1=1,
2.3 TCP第三次握手数据包
客户端再次发送确认包,SYN标志位为0,ACK标志位为1。
seq=0+1=1,客户端发送的第二个包,编号为1
ack=0+1=1,回复给服务器,表示服务器发出的0数据包已经收到
至此,三次握手完成
四、wireshark分析TCP四次挥手
1. 断开阿里云服务器连接
我们用客户端主动释放连接为例,在网络调试助手中,点击断开
在Wireshark页面中发现多出四行数据包,很显然,两次释放数据包,两次确认数据包
我们接着分析
2. TCP第一次挥手数据包
客户端主动释放连接,将结束报文端标志FIN设为1,ACK设为1,表明这是一个连接释放报文段,同时对之前接收到的报文段进行确认。
seq=1告诉服务器,这是客户端发送的序号为1的数据包
ack=1告诉服务器,之前发的0号数据包已经收到
客户端进入终止等待1状态
3. TCP第二次挥手数据包
服务器进程接收到TCP连接释放报文段后,会发送一个普通的TCP确认报文段并且进入关闭等待状态。
此时TCP客户进程到服务器进程这个方向的连接就释放了,这时的TCP连接属于半关闭状态,也就是TCP客户进程已经没有数据要发送了。
但是TCP服务器进程如果还有数据需要发送,客户进程则还需要接收,这个状态可能会持续一段时间,直到TCP服务器进程将数据发送完毕。
4. TCP第三次挥手数据包
服务器传输剩余数据,当TCP服务器进程没有数据要发送后,释放连接,TCP服务器进程发送TCP连接释放报文段并进入最后确认状态,FIN=1,ACK=1
5. TCP第四次挥手数据包
客户端收到TCP连接释放报文段后,针对该报文段发送最后一次确认报文段。客户端此时处于时间等待状态,等服务器收到后关闭,客户端等待2msl后也进入关闭状态
