wireshark

简述：本文介绍了抓包数据含义，有TCP报文、Http报文、DNS报文。如有错误，欢迎指正。 1、TCP报文 TCP是4层工业标准中的传输层协议，使用三次握手协议建立连接，面向连接的，可靠的通信。当主动方发出SYN连接请求后，等待对方回答SYN，ACK。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。 第一次握手：建立连接时，客户端发送SYN包(SEQ=x)到服务器，并进入SYN_SEND状态，等待服务器确认。 第二次握手：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包，此时服务器进入SYN_RECV状态。 第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进入Established状态，完成三次握手。 序列号与确认序列号工作方式 第一次发送了"my nam"几个字符，6个字节，序号是1到6 如果服务器正常接收所有字符，那么服务器返回的"确认序列号"就是7，前提是ACK=1 如果服务器只接收了3个字符，也就是"my "，那么服务器返回的"确认序列号"就是4，下一次传送的数据就从第4个序号开始的6个字节（也就是6个字符） 需要注意的是：window的大小由各端自己定义，也就是常说的窗口 1>

wireshark抓包工具 了解使用wireshark抓包工具 分类: 基础类 标签: 抓包 , 三次握手 , 四次挥手 一、简介 　　1、什么是wireshark 　　　　百度： 　　　　Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 　　　　在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。 　　　　开源软件，用GPL协议发行，所以可以免费在任意数量机器上使用 　　　　 　　2、主要应用 　　　　帮助管理员解决网络问题 　　　　帮助安全工程师用来检测安全隐患 　　　　开发人员用来测试协议执行情况 　　　　用来学习网络协议 　　　　等等。 　　3、特性 　　　　跨平台支持windows/unix平台 　　　　在接口实时抓包 　　　　能详细显示包的详细协议信息 　　　　可以打开/保存捕捉的包 　　　　可以导入导出其他程序支持的包数据格式 　　　　可以通过多种方式过滤包 　　　　多种方式查找包

前段时间看到群里在讨论Wireshark抓包工具，想写一篇使用笔记但一直没来得及写，本篇就通过实例来分享wireshark抓包工具的使用。 Wireshark简介 Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 Wireshark下载、安装 下载链接： https://www.wireshark.org/#download 官网下载速度较慢，在本公众号聊天界面回复关键字： Wireshark ，获取网盘链接，若链接失效可联系我获取。 安装与一般的PC机软件安装方式一样，按默认方式安装即可。 Wireshark的使用 我们就借助往期文章： C语言、嵌入式应用：TCP通信实例分析 的TCP通信的demo来做演示。 实验框图如： 在本公众号聊天界面回复关键字： Wireshark ，获取本次试验代码及工具： 其中tcp_client为RT-Thread Studio工程，使用RT-Thread Studio工具导入之后，修改WiFi信息与你电脑连接的WiFi一致： 编译下载到小熊派开发板即可。 启动Wireshark抓包工具，选择无线网卡： 输入过滤信息 ip.src == xxx.xxx.xxx.xxx or ip.dst == xxx.xxx.xxx.xxx ，比如我这边是 ip.src == 192.168

一、说明 一是很多时候IP都是设置成通过dhcp动态获取的，但一直不太清楚dhcp的具体交互过程；二是加上前几天有同事问知不知道DHCP具体交互过程；三是这两天正好在分析协议。所以就顺道来看一下。 如果对wireshark不太熟悉，可参考" wireshark 捕获/显示过滤器表达式书写规律说明 "。 二、DHCP协议 2.1 通俗版解释 【客户端小C（RELEASE）：S1老哥，你给我的x.x.x.x这个IP我不用了哦。】 客户端小C（DISCOVERY）：谁给我个IP啊？ 服务器S1（OFFER）：y.y.y.y，拿去用吧。 【服务器S2（OFFER）：z.z.z.z，拿去用吧。】 客户端小C（REQUEST）：y.y.y.y，那我就用这个了哦。 服务器S1（ACKNOWLEDGE）：用吧，不过x小时后我就自就回收了，如果你要继续用在剩y小时的时候你要跟我说一声。 客户端小C（INFORM）：ok，那我就用了。你我只要注意你刚才说的就行了对吧。 服务器S1（ACKNOWLEDGE）：对滴。 2.2 技术性解释 dhcp使用udp进行通信，一般来说客户端通过68端口发出，服务端在67端口监听。 整个dhcp获取ip的过程包括以下六步：DISCOVERY、OFFER、REQUEST、ACKNOWLEDGE、INFORM、再次ACKNOWLEDGE。具体实现时可能没有后两步。

文章来自【 字节脉搏社区 】 作者-purplet 社区网址：www.ityo.cn；欢迎你的加入 攻击机kali （1）IP地址：192.168.194.157 （2）硬件地址：00:0c:29:46:aa:16(注意) （3）网关：192.168.194.2 靶机win7 （1）IP地址：192.168.194.129 （2）硬件地址：00:0c-29-14-bb-36 （3）网关：192.168.194.2 网关 （1）IP地址：192.168.194.2 （2）硬件地址：00:50:56:fa:bc:2c（注意） 在正常情况下查看下靶机ARP表，如下 当访问一个外网地址：“www.baidu.com”的时候，这时会首先将数据包交给网关，再由网关通过各种路由协议送到“www.baidu.com” 设置的网关地址为192.168.194.2，按照ARP表中对应的硬件地址为00:50:56:fa:bc:2c，这样所有数据包都发往这个硬件地址了 现在只需要想办法修改靶机的ARP表中的192.168.194.2表项即可，因为ARP中规定，主机只要收到一个ARP请求之后，不会去判断这个请求的真伪。就会直接将请求中的IP地址和硬件地址添加到ARP表中。如果之前有了相同的IP地址的表项，就对其进行修改，这种方式称为动态ARP表 ARP欺骗复现 使用kali中的arpspoof工具

作者：蓝军高级威胁团队@深信服千里目安全实验室 原文链接： https://mp.weixin.qq.com/s/wtEbawfOd1g_T2ovp1SaGg 1.针对SolarWinds供应链攻击简介 最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大，SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst，十分隐蔽和具有迷惑性，分析认为攻击者对SolarWinds Orion产品理解程度很深。 有证据表明，早在2019年10月，UNC2452黑客组织就一直在研究通过添加空类来插入代码的能力。因此将恶意代码插入原始SolarWinds.Orion.Core.BusinessLayer.dll的时间可能很早，甚至可能是在软件构建编译之前。这就导致SolarWinds官方无意间对包含4000行恶意代码的DLL进行了数字签名，这样容易让恶意代码提升权限，并且很难被人发现。感染的Origin软件第一个版本是2019.4.5200.9083，在此几个月的时间内，用户通过下载受到感染的产品版本被感染。目前原始dll文件中没有发现存在动态拓展、也不存在横向移动等后渗透阶段的相关能力支持。 2.Sunburst后门总体流程 总体流程图 （Sunburst的供应链攻击各阶段-图源

复刻smartbits的国产网络性能测试工具minismb ，是一款专门用于测试智能路由器，网络交换机的性能和稳定性的软硬件相结合的工具。可以通过此工具测试任何 ip网络设备的端口吞吐率，带宽，并发连接数和最大连接数等诸多参数指标。 Minismb软件在性能上与Spirent公司的smartbits软件一样，可以给用户的产品生命周期中的各个阶段提供各种分析解决方案。 在操作界面上也与 Spirent公司的smartbits软件几乎一样，为用户提供图形化界面，为每个板卡模块提供交互式测试环境。 minismb软件工作主界面 在图中最底部即为系统的状态栏，该栏右边显示了当前 MiniSMB网络测试仪表的IP地址。 在下图中红色方框标注的部分即为 MiniSMB网络测试仪表的测试端口，每一个竖形的长方形代表一个物理端口。在该竖形长方形中Full字符代表了当前物理端口的工作状态是全双工模式。1Gb代表了当前物理端口通过自动协商达到1Gbps的端口速率。绿色的灯代表了当前的端口的状态是LinkUP，也就是激活状态。 PCAP数据包回放 可以将通过 Wireshark等软件抓下来的数据包原样或经过任意修改后重新回放。允许你对报文做任意的修改（主要是指对2层、3层、4层报文头），指定重放报文的速度等，这样minismb就可以用来复现抓包的情景以定位bug，以极快的速度重放从而实现压力测试。

上传文件程序会有一定的概率提示错误，错误率大概在1%以下，错误信息是： org.apache.http.NoHttpResponseException , s3-us-west-1.amazonaws.com:80 failed to respond ，看着是上传到S3的过程中发送了网络错误？ 通过查阅资料，发现了一篇比较好的文章： 一次NoHttpResponseException问题分析解决 。这个文章的观点是会发生这个错误的原因是服务端关闭了连接，而客户端还在使用该连接，导致服务端响应RST报文，客户端收到RST报NoHttpResponseException异常。 为了说明这个场景，就要提一下Keepalive机制。Keepalive是HTTP的连接复用机制，在HTTP1.0时代，每个请求经过三次握手后，只会传输一次HTTP请求和响应报文后，就进入四次挥手关闭连接了。而TCP建立连接和关闭连接的代价是比较大的，导致HTTP1.0的通道利用率较低，时延较高。针对这个问题，退出了Keepalive机制，一个TCP连接建立后，可以在上面发送多个HTTP报文，只有这个TCP连接的空闲时间达到超时时间，才会被关闭。HTTP1.1默认开启Keepalive。这里的关闭行为可能发生在客户端和服务端，比如客户端的Keepalive超时时间更短，则客户端就会先关闭连接

// 每日前端夜话 第460篇 // 正文共：4600 字 // 预计阅读时间：10 分钟 最近部门组织了一次前端性能优化交流会，大家从输入页面 URL 到最终页面展示内容这个过程提出了许多优化点。但同时发现很多同学对 HTTP 协议层的知识不能串联起来，于是整理了这篇文章，希望可以给大家带来一丝灵感。 当我们在页面上发起一个 AJAX 请求的时候，在网络协议层面都经历了哪些内容？ // 发起请求 fetch( 'https://baidu.com' ) // 协议层1... // 协议层2... // 协议层3... . then (res=> // 得到结果 console.log(res) }) 如上述代码所示，我们对 baidu.com 发起了一个网络请求，最终在 then 方法中得到了具体的响应内容。 使用 Wireshark 抓包结果如下： 图片 图中可以看到，请求 baidu.com 时，首先通过 TCP 3 次握手建立连接，然后通过 HTTP 传输内容，最后通过 TCP 4 次挥手断开连接。 真实的过程更加复杂，我们主要分析以下几点： 建立连接阶段 通过 Mac 寻址找到服务器硬件接口（数据链路层） 通过网线向服务器硬件接口传输比特信息（物理层） DNS 域名解析（应用层） 建立 TCP 连接（传输层） 通过 IP 寻址找到目标服务器（网络层） 发送数据阶段 发送