网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!

本文涉及的产品
Serverless 应用引擎免费试用套餐包,4320000 CU,有效期3个月
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!

欢迎各位彦祖与热巴畅游本人专栏与博客

你的三连是我最大的动力

以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习



专栏跑道二

➡️ 24 Network Security -LJS



专栏跑道三

➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP;H3C-SE;CCIP——LJS[华为、华三、思科高级网络]



专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]

image.png


专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]


专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]



上节回顾 2.实战:使用 WireShark 对常用协议抓包并分析原理

  • 协议分析的时候我们关闭混淆模式,避免一些干扰的数据包存在。

2.1常用协议分析-ARP 协议

  • 地址解析协议(英语:Address Resolution Protocol,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在 IPv4 中极其重要。
  • ARP 是通过网络地址来定位 MAC 地址。

开始抓包---过滤 arp

image.gif 编辑

使用 nmap 来基于 ARP 协议进行扫描

root@xuegod53:~# nmap -sn 192.168.1.1
  • image.gif
  • image.gif 编辑

看一下我们抓取到的数据包并分析第一个请求包

  • image.gif

查看 Address Resolution Protocol (request) ARP 请求包内容:

  • image.gif
Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ request ( 1 ) #操作码,该值为 1 表示 ARP 请求包
Sender MAC address: Vmware_ 96:67:52 (00:0c:29:8b:2b:b8) #源 MAC 地址
Sender IP address: 192.168.1.53 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
Target IP address: 192.168.1.1 #目标 IP 地址
  • image.gif image.gif
Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ reply ( 2 ) #操作码,该值为 2 表示 ARP 回复包
Sender MAC address: XXXXXXXXXXXX (a4:56:02:3b:4b:03) #源 MAC 地址
Sender IP address: 192.168.1.1 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00:0c:29:8b:2b:b8) #目标 MAC 地址
Target IP address: 192.168.1.53 #目标 IP 地址
  • image.gif 总结:
  • 可以看到到应答包补全了自己的 MAC 地址,目的地址和源地址做了替换
  • 我们再来看两个数据包的请求和过程
  • image.gif 编辑
192.168.1.53 广播:谁有 192.168.1.1 的 MAC 地址?
192.168.1.1 应答:192.168.1.1 的 MAC 地址是 xxxxxxxxxxx
  • image.gif

2.2常用协议分析-ICMP 协议

  • 把之前的数据包清空掉然后筛选 ICMP 协议的数据包

image.gif

打开一个终端

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

  • 只发送一个 ping 包,方便我们分析发送完之后停止抓包即可。

image.gif

先看请求包的内容我们可以看到这是个 4 层的协议包

image.gif

下面开始分析 ICMP 协议包:

ICMP 协议分析请求包

image.gif

image.gif

ICMP 协议分析应答包

image.gif

工作过程:

  • 本机发送一个 ICMP Echo Request 的包
  • 接受方返回一个 ICMP Echo Reply,包含了接受到数据拷贝和一些其他指令

image.gif

2.3常用协议分析-TCP 协议

首先是清空数据包然后筛选 tcp 开始抓包

image.gif

  • 模拟一下 tcp 会话建立,那最简单的方式是什么呢?
  • 我们通过 Xshell 远程连接 Kali Linux 就会捕获到完整的 TCP3 次握手的链接。

image.gif

  • 抓完数据包之后我们就停止抓包,接下来我们开始分析 TCP 的数据包
  • TCP 协议最核心的概念无非就是 3 次握手 4 次断开,我们先讲 TCP 的 3 次握手

image.gif

查看 TCP 协议:

  • 先来看第一个数据包 SYN 数据包

image.gif

打开标志位的详细信息

image.gif

从以上信息就可以看出这是一个 SYN 数据包,SYN=1 表示发送一个链接请求。这时 Seq 和
ACK 都是 0

分析第二个数据包

image.gif

Flags 位信息

image.gif

image.gif

  • 可以看到服务端收到 SYN 连接请求返回的数据包 SYN=1,ACK=1 表示回应第一个 SYN 数据包。

分析第三个数据包 image.gif

这里三次握手过程就结束了。

image.gif

生成一个图表来观察数据交互的过程

image.gif

image.gif 编辑

全工程分析如下:

  • 在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的Server 端向客户端发起关闭链接请求。
  1. 第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入FIN_WAIT_1 状态
  2. 第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 进行确认,确认序号为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 CLOSE_WAIT 状态。
  3. 第三次挥手:客户端发送 [FIN+ACK] 给对方,表示自己没有数据要发送了,客户端进入LAST_ACK 状态,然后直接断开 TCP 会话的连接,释放相应的资源。
  4. 第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 TIMED_WAIT 状态,并发送 ACK 确认消息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。

2.4常用协议分析-HTTP 协议

  • 还是筛选 TCP 协议因为 HTTP 是 TCP 的上层协议,所以我们过滤 TCP 的数据会包含 HTTP 协议的数据包

image.gif 编辑

打开一个终端输入下面命

root@xuegod53:~# curl -I baidu.com

image.gif

image.gif

cur介绍

 

  • 是一个在命令行下工作的文件传输工具,我们这里用来发送 http 请求
  • -I 大写的 i 表示仅返回头部信息。
  • 可以看到我们抓到了 TCP 的 3 次握手 4 次断开

image.gif

第 4 个和第 6 个是我们的 HTTP 数据包

image.gif

完整过程分析:

  • 第一步:我们我们发送了一个 HTTP 的 HEAD 请求
  • 第二步:服务器收到我们的请求返回了一个 Seq/ACK 进行确认
  • 第三步:服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200 表示页面正常
  • 第四步:客户端收到服务器返回的头部信息向服务器发送 Seq/ACK 进行确认
  • 发送完成之后客户端就会发送 FIN/ACK 来进行关闭链接的请求。

image.gif

3.实战:WireShark 抓包解决服务器被黑上不了网

场景:服务器被黑上不了网,可以 ping 通网关,但是不能上网。
模拟场景
修改主机 TTL 值为 1,下面的方式是我们临时修改内核参数。

root@xuegod53:~# echo "1" > /proc/sys/net/ipv4/ip_default_ttl
image.gif

拓展补充:

  • TTL : 数据报文的生存周期。
  • 默认 linux 操作系统值:64,每经过一个路由节点,TTL 值减 1。TTL 值为 0 时,说明目标地址不可达并返回:Time to live exceeded
  • 作用: 防止数据包,无限制在公网中转发。

进行测试

root@xuegod53:~# ping 192.168.1.1 -c 1

image.gif

image.gif 编辑

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 可以看到提示我们 Time to live exceeded 这表示超过生存时间,
  • 我们判断和目标之间经过多少个网络设备根据目标返回给我们的 TTL 值来判断的,因为我们发送的数据包是看不到的。

实战抓包分析数据包

image.gif 编辑

开启抓包,过滤 icmp 协议

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

然后回到 WireShark 中查看数据包

image.gif 编辑

image.gif 编辑

  • 可以看到第一个包是发送了一个 ping 请求包 ttl=1
  • 然后呢我们收到了 192.168.1.1 返回给我们的数据包告诉我们超过数据包生存时间,数据包被丢

如果把 TTL 值修改成 2 会有什么效果呢?

root@xuegod53:~# echo "2" > /proc/sys/net/ipv4/ip_default_ttl
root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 对比数据包发现返回我们数据包被丢弃的源地址变成了 123.115.0.1,这证明了数据包在网络中已经到达了下一个网络设备才被丢弃
  • 由此我们还判断出我们的运营商网关地址为 123.115.0.1 但是我们并没有到达目标主机。

恢复系统内核参数

root@xuegod53:~# echo "64" > /proc/sys/net/ipv4/ip_default_ttl
root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 目标返回给我们的 TTL 值为 52,这表示我们的 TTL 值需要大于 64-52=12 才可以访问 xuegod.cn
  • MTR 可以检测我们到达目标网络之间的所有网络设备的网络质量,

默认系统是没有安装 MTR 工具的我们手动安装一下

root@xuegod53:~# apt install -y mtr

image.gif

示例:检测到达 xuegod.cn 所有节点的通信质量

root@xuegod53:~# mtr xuegod.cn

image.gif

image.gif 编辑

可以看到从我当前主机到目标主机[xuegod.cn ]之间经过 12 跳。

 2.实战:使用 WireShark 对常用协议抓包并分析原理

  • 协议分析的时候我们关闭混淆模式,避免一些干扰的数据包存在。

2.1常用协议分析-ARP 协议

  • 地址解析协议(英语:Address Resolution Protocol,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在 IPv4 中极其重要。
  • ARP 是通过网络地址来定位 MAC 地址。

开始抓包---过滤 arp

image.gif 编辑

使用 nmap 来基于 ARP 协议进行扫描

root@xuegod53:~# nmap -sn 192.168.1.1
  • image.gif
  • image.gif 编辑

看一下我们抓取到的数据包并分析第一个请求包

  • image.gif 编辑

查看 Address Resolution Protocol (request) ARP 请求包内容:

  • image.gif 编辑
Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ request ( 1 ) #操作码,该值为 1 表示 ARP 请求包
Sender MAC address: Vmware_ 96:67:52 (00:0c:29:8b:2b:b8) #源 MAC 地址
Sender IP address: 192.168.1.53 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
Target IP address: 192.168.1.1 #目标 IP 地址
  • image.gif image.gif 编辑
Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ reply ( 2 ) #操作码,该值为 2 表示 ARP 回复包
Sender MAC address: XXXXXXXXXXXX (a4:56:02:3b:4b:03) #源 MAC 地址
Sender IP address: 192.168.1.1 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00:0c:29:8b:2b:b8) #目标 MAC 地址
Target IP address: 192.168.1.53 #目标 IP 地址
  • image.gif 总结:
  • 可以看到到应答包补全了自己的 MAC 地址,目的地址和源地址做了替换
  • 我们再来看两个数据包的请求和过程
  • image.gif 编辑
192.168.1.53 广播:谁有 192.168.1.1 的 MAC 地址?
192.168.1.1 应答:192.168.1.1 的 MAC 地址是 xxxxxxxxxxx
  • image.gif

2.2常用协议分析-ICMP 协议

  • 把之前的数据包清空掉然后筛选 ICMP 协议的数据包

image.gif 编辑

打开一个终端

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

  • 只发送一个 ping 包,方便我们分析发送完之后停止抓包即可。

image.gif 编辑

先看请求包的内容我们可以看到这是个 4 层的协议包

image.gif 编辑

下面开始分析 ICMP 协议包:

ICMP 协议分析请求包

image.gif

image.gif 编辑

ICMP 协议分析应答包

image.gif

工作过程:

  • 本机发送一个 ICMP Echo Request 的包
  • 接受方返回一个 ICMP Echo Reply,包含了接受到数据拷贝和一些其他指令

image.gif

2.3常用协议分析-TCP 协议

首先是清空数据包然后筛选 tcp 开始抓包

image.gif

  • 模拟一下 tcp 会话建立,那最简单的方式是什么呢?
  • 我们通过 Xshell 远程连接 Kali Linux 就会捕获到完整的 TCP3 次握手的链接。

image.gif

  • 抓完数据包之后我们就停止抓包,接下来我们开始分析 TCP 的数据包
  • TCP 协议最核心的概念无非就是 3 次握手 4 次断开,我们先讲 TCP 的 3 次握手

image.gif

查看 TCP 协议:

  • 先来看第一个数据包 SYN 数据包

image.gif

打开标志位的详细信息

image.gif

从以上信息就可以看出这是一个 SYN 数据包,SYN=1 表示发送一个链接请求。这时 Seq 和
ACK 都是 0

分析第二个数据包

image.gif

Flags 位信息

image.gif

image.gif

  • 可以看到服务端收到 SYN 连接请求返回的数据包 SYN=1,ACK=1 表示回应第一个 SYN 数据包。

分析第三个数据包 image.gif

这里三次握手过程就结束了。

image.gif

生成一个图表来观察数据交互的过程

image.gif

image.gif

全工程分析如下:

  • 在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的Server 端向客户端发起关闭链接请求。
  1. 第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入FIN_WAIT_1 状态
  2. 第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 进行确认,确认序号为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 CLOSE_WAIT 状态。
  3. 第三次挥手:客户端发送 [FIN+ACK] 给对方,表示自己没有数据要发送了,客户端进入LAST_ACK 状态,然后直接断开 TCP 会话的连接,释放相应的资源。
  4. 第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 TIMED_WAIT 状态,并发送 ACK 确认消息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。

2.4常用协议分析-HTTP 协议

  • 还是筛选 TCP 协议因为 HTTP 是 TCP 的上层协议,所以我们过滤 TCP 的数据会包含 HTTP 协议的数据包

image.gif

打开一个终端输入下面命

root@xuegod53:~# curl -I baidu.com

image.gif

image.gif

cur介绍


  • 是一个在命令行下工作的文件传输工具,我们这里用来发送 http 请求
  • -I 大写的 i 表示仅返回头部信息。
  • 可以看到我们抓到了 TCP 的 3 次握手 4 次断开

image.gif

第 4 个和第 6 个是我们的 HTTP 数据包

image.gif

完整过程分析:

  • 第一步:我们我们发送了一个 HTTP 的 HEAD 请求
  • 第二步:服务器收到我们的请求返回了一个 Seq/ACK 进行确认
  • 第三步:服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200 表示页面正常
  • 第四步:客户端收到服务器返回的头部信息向服务器发送 Seq/ACK 进行确认
  • 发送完成之后客户端就会发送 FIN/ACK 来进行关闭链接的请求。

image.gif

3.实战:WireShark 抓包解决服务器被黑上不了网

场景:服务器被黑上不了网,可以 ping 通网关,但是不能上网。
模拟场景
修改主机 TTL 值为 1,下面的方式是我们临时修改内核参数。

root@xuegod53:~# echo "1" > /proc/sys/net/ipv4/ip_default_ttl
image.gif

拓展补充:

  • TTL : 数据报文的生存周期。
  • 默认 linux 操作系统值:64,每经过一个路由节点,TTL 值减 1。TTL 值为 0 时,说明目标地址不可达并返回:Time to live exceeded
  • 作用: 防止数据包,无限制在公网中转发。

进行测试

root@xuegod53:~# ping 192.168.1.1 -c 1

image.gif

image.gif 编辑

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 可以看到提示我们 Time to live exceeded 这表示超过生存时间,
  • 我们判断和目标之间经过多少个网络设备根据目标返回给我们的 TTL 值来判断的,因为我们发送的数据包是看不到的。

实战抓包分析数据包

image.gif 编辑

开启抓包,过滤 icmp 协议

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

然后回到 WireShark 中查看数据包

image.gif 编辑

image.gif 编辑

  • 可以看到第一个包是发送了一个 ping 请求包 ttl=1
  • 然后呢我们收到了 192.168.1.1 返回给我们的数据包告诉我们超过数据包生存时间,数据包被丢

如果把 TTL 值修改成 2 会有什么效果呢?

root@xuegod53:~# echo "2" > /proc/sys/net/ipv4/ip_default_ttl
root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 对比数据包发现返回我们数据包被丢弃的源地址变成了 123.115.0.1,这证明了数据包在网络中已经到达了下一个网络设备才被丢弃
  • 由此我们还判断出我们的运营商网关地址为 123.115.0.1 但是我们并没有到达目标主机。

恢复系统内核参数

root@xuegod53:~# echo "64" > /proc/sys/net/ipv4/ip_default_ttl
root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 目标返回给我们的 TTL 值为 52,这表示我们的 TTL 值需要大于 64-52=12 才可以访问 xuegod.cn
  • MTR 可以检测我们到达目标网络之间的所有网络设备的网络质量,

默认系统是没有安装 MTR 工具的我们手动安装一下

root@xuegod53:~# apt install -y mtr

image.gif

示例:检测到达 xuegod.cn 所有节点的通信质量

root@xuegod53:~# mtr xuegod.cn

image.gif

image.gif 编辑

可以看到从我当前主机到目标主机[xuegod.cn ]之间经过 12 跳。

 2.实战:使用 WireShark 对常用协议抓包并分析原理

  • 协议分析的时候我们关闭混淆模式,避免一些干扰的数据包存在。

2.1常用协议分析-ARP 协议

  • 地址解析协议(英语:Address Resolution Protocol,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在 IPv4 中极其重要。
  • ARP 是通过网络地址来定位 MAC 地址。

开始抓包---过滤 arp

image.gif 编辑

使用 nmap 来基于 ARP 协议进行扫描

root@xuegod53:~# nmap -sn 192.168.1.1
  • image.gif
  • image.gif 编辑

看一下我们抓取到的数据包并分析第一个请求包

  • image.gif 编辑

查看 Address Resolution Protocol (request) ARP 请求包内容:

  • image.gif 编辑
Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ request ( 1 ) #操作码,该值为 1 表示 ARP 请求包
Sender MAC address: Vmware_ 96:67:52 (00:0c:29:8b:2b:b8) #源 MAC 地址
Sender IP address: 192.168.1.53 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
Target IP address: 192.168.1.1 #目标 IP 地址
  • image.gif image.gif 编辑
Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( 0x0800 ) #协议类型
Hardware size: 6 #硬件地址
Protocol size: 4 #协议长度
Opcode:_ reply ( 2 ) #操作码,该值为 2 表示 ARP 回复包
Sender MAC address: XXXXXXXXXXXX (a4:56:02:3b:4b:03) #源 MAC 地址
Sender IP address: 192.168.1.1 . #源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00:0c:29:8b:2b:b8) #目标 MAC 地址
Target IP address: 192.168.1.53 #目标 IP 地址
  • image.gif 总结:
  • 可以看到到应答包补全了自己的 MAC 地址,目的地址和源地址做了替换
  • 我们再来看两个数据包的请求和过程
  • image.gif 编辑
192.168.1.53 广播:谁有 192.168.1.1 的 MAC 地址?
192.168.1.1 应答:192.168.1.1 的 MAC 地址是 xxxxxxxxxxx
  • image.gif

2.2常用协议分析-ICMP 协议

  • 把之前的数据包清空掉然后筛选 ICMP 协议的数据包

image.gif 编辑

打开一个终端

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

  • 只发送一个 ping 包,方便我们分析发送完之后停止抓包即可。

image.gif 编辑

先看请求包的内容我们可以看到这是个 4 层的协议包

image.gif 编辑

下面开始分析 ICMP 协议包:

ICMP 协议分析请求包

image.gif 编辑

image.gif

ICMP 协议分析应答包

image.gif

工作过程:

  • 本机发送一个 ICMP Echo Request 的包
  • 接受方返回一个 ICMP Echo Reply,包含了接受到数据拷贝和一些其他指令

image.gif

2.3常用协议分析-TCP 协议

首先是清空数据包然后筛选 tcp 开始抓包

image.gif

  • 模拟一下 tcp 会话建立,那最简单的方式是什么呢?
  • 我们通过 Xshell 远程连接 Kali Linux 就会捕获到完整的 TCP3 次握手的链接。

image.gif

  • 抓完数据包之后我们就停止抓包,接下来我们开始分析 TCP 的数据包
  • TCP 协议最核心的概念无非就是 3 次握手 4 次断开,我们先讲 TCP 的 3 次握手

image.gif

查看 TCP 协议:

  • 先来看第一个数据包 SYN 数据包

image.gif

打开标志位的详细信息

image.gif

从以上信息就可以看出这是一个 SYN 数据包,SYN=1 表示发送一个链接请求。这时 Seq 和
ACK 都是 0

分析第二个数据包

image.gif

Flags 位信息

image.gif

image.gif

  • 可以看到服务端收到 SYN 连接请求返回的数据包 SYN=1,ACK=1 表示回应第一个 SYN 数据包。

分析第三个数据包 image.gif 编辑

这里三次握手过程就结束了。

image.gif

生成一个图表来观察数据交互的过程

image.gif

image.gif 编辑

全工程分析如下:

  • 在终端输入 EXIT 实际上是在我们 Kali 上执行的命令,表示我们 SSHD 的Server 端向客户端发起关闭链接请求。
  1. 第一次挥手:服务端发送一个[FIN+ACK],表示自己没有数据要发送了,想断开连接,并进入FIN_WAIT_1 状态
  2. 第二次挥手:客户端收到 FIN 后,知道不会再有数据从服务端传来,发送 ACK 进行确认,确认序号为收到序号+1(与 SYN 相同,一个 FIN 占用一个序号),客户端进入 CLOSE_WAIT 状态。
  3. 第三次挥手:客户端发送 [FIN+ACK] 给对方,表示自己没有数据要发送了,客户端进入LAST_ACK 状态,然后直接断开 TCP 会话的连接,释放相应的资源。
  4. 第四次挥手:服务户端收到了客户端的 FIN 信令后,进入 TIMED_WAIT 状态,并发送 ACK 确认消息。服务端在 TIMED_WAIT 状态下,等待一段时间,没有数据到来,就认为对面已经收到了自己发送的ACK 并正确关闭了进入 CLOSE 状态,自己也断开了 TCP 连接,释放所有资源。当客户端收到服务端的ACK 回应后,会进入 CLOSE 状态并关闭本端的会话接口,释放相应资源。

2.4常用协议分析-HTTP 协议

  • 还是筛选 TCP 协议因为 HTTP 是 TCP 的上层协议,所以我们过滤 TCP 的数据会包含 HTTP 协议的数据包

image.gif 编辑

打开一个终端输入下面命

root@xuegod53:~# curl -I baidu.com

image.gif

image.gif

cur介绍

 

  • 是一个在命令行下工作的文件传输工具,我们这里用来发送 http 请求
  • -I 大写的 i 表示仅返回头部信息。
  • 可以看到我们抓到了 TCP 的 3 次握手 4 次断开

image.gif

第 4 个和第 6 个是我们的 HTTP 数据包

image.gif

完整过程分析:

  • 第一步:我们我们发送了一个 HTTP 的 HEAD 请求
  • 第二步:服务器收到我们的请求返回了一个 Seq/ACK 进行确认
  • 第三步:服务器将 HTTP 的头部信息返回给我们客户端 状态码为 200 表示页面正常
  • 第四步:客户端收到服务器返回的头部信息向服务器发送 Seq/ACK 进行确认
  • 发送完成之后客户端就会发送 FIN/ACK 来进行关闭链接的请求。

image.gif

3.实战:WireShark 抓包解决服务器被黑上不了网

场景:服务器被黑上不了网,可以 ping 通网关,但是不能上网。
模拟场景
修改主机 TTL 值为 1,下面的方式是我们临时修改内核参数。

root@xuegod53:~# echo "1" > /proc/sys/net/ipv4/ip_default_ttl
image.gif

拓展补充:

  • TTL : 数据报文的生存周期。
  • 默认 linux 操作系统值:64,每经过一个路由节点,TTL 值减 1。TTL 值为 0 时,说明目标地址不可达并返回:Time to live exceeded
  • 作用: 防止数据包,无限制在公网中转发。

进行测试

root@xuegod53:~# ping 192.168.1.1 -c 1

image.gif

image.gif 编辑

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 可以看到提示我们 Time to live exceeded 这表示超过生存时间,
  • 我们判断和目标之间经过多少个网络设备根据目标返回给我们的 TTL 值来判断的,因为我们发送的数据包是看不到的。

实战抓包分析数据包

image.gif 编辑

开启抓包,过滤 icmp 协议

root@xuegod53:~# ping xuegod.cn -c 1

image.gif

然后回到 WireShark 中查看数据包

image.gif 编辑

image.gif 编辑

  • 可以看到第一个包是发送了一个 ping 请求包 ttl=1
  • 然后呢我们收到了 192.168.1.1 返回给我们的数据包告诉我们超过数据包生存时间,数据包被丢

如果把 TTL 值修改成 2 会有什么效果呢?

root@xuegod53:~# echo "2" > /proc/sys/net/ipv4/ip_default_ttl
root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 对比数据包发现返回我们数据包被丢弃的源地址变成了 123.115.0.1,这证明了数据包在网络中已经到达了下一个网络设备才被丢弃
  • 由此我们还判断出我们的运营商网关地址为 123.115.0.1 但是我们并没有到达目标主机。

恢复系统内核参数

root@xuegod53:~# echo "64" > /proc/sys/net/ipv4/ip_default_ttl
root@xuegod53:~# ping xuegod.cn -c 1

image.gif

image.gif 编辑

  • 目标返回给我们的 TTL 值为 52,这表示我们的 TTL 值需要大于 64-52=12 才可以访问 xuegod.cn
  • MTR 可以检测我们到达目标网络之间的所有网络设备的网络质量,

默认系统是没有安装 MTR 工具的我们手动安装一下

root@xuegod53:~# apt install -y mtr

image.gif

示例:检测到达 xuegod.cn 所有节点的通信质量

root@xuegod53:~# mtr xuegod.cn

image.gif

image.gif 编辑

可以看到从我当前主机到目标主机[xuegod.cn ]之间经过 12 跳。

























相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
20天前
|
数据采集 缓存 定位技术
网络延迟对Python爬虫速度的影响分析
网络延迟对Python爬虫速度的影响分析
|
19天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
39 3
|
21天前
|
存储 安全 网络安全
网络安全法律框架:全球视角下的合规性分析
网络安全法律框架:全球视角下的合规性分析
33 1
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
1月前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
1月前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
8天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,并提供一些实用的技巧和建议,帮助读者更好地保护自己的网络安全和信息安全。
|
1天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
23 10
|
2天前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
随着云计算技术的飞速发展,越来越多的企业和个人开始使用云服务。然而,云计算的广泛应用也带来了一系列网络安全问题。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析当前面临的挑战,并提出相应的解决方案。
19 3
|
8天前
|
安全 算法 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在当今数字化时代,网络安全和信息安全已经成为了全球关注的焦点。随着技术的发展,网络攻击手段日益狡猾,而防范措施也必须不断更新以应对新的挑战。本文将深入探讨网络安全的常见漏洞,介绍加密技术的基本概念和应用,并强调培养良好安全意识的重要性。通过这些知识的分享,旨在提升公众对网络安全的认识,共同构建更加安全的网络环境。