1.工具简介

(1)定义

WireShark是一个网络封包分析软件。网络封包分析软件的功能是抓取网络封包，并尽可能显示出最为详细的网络封包资料。使用WinPACA作为接口，直接与网卡进行数据报文交换。

(2)嗅探器工作原理

收集：从网络线缆上收集原始二进制数据，一般通过选定网卡设置为混杂模式，然后抓取网段所有通信流量而不是发往它的数据包。

转换：将二进制转换成可读形式，以一种非常基础解析方法显示，而大部分分析工作留给用户。

分析：嗅探器以捕获网络数据作为输入，识别和验证它们的协议，然后开始分析每个协议的特定属性。

(3)使用技巧

①确定WireShark物理位置（在网络线路哪个节点上）。若没有正确位置，启动后会花很长时间捕获一些与自己无关的数据。

②选择捕获接口。一般是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。

③使用捕获过滤器。设置过滤器可以避免产生大量无关数据

④使用显示过滤器。进一步过滤分析。

⑤使用着色规则。通过使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

⑥构建图表。可视化分析

⑦重组数据。当传输较大文件时，需要将信息分布在多个数据包中。此时需要使用重组数据方法抓取完整数据。WireShark可以重组一个会话中不同数据包的信息，或者是重组一个完整的文件。

(4)使用场景——交换式环境

不同于集线器网络中广播传递，交换式网络捕获流量基本方法有：①端口镜像、②集线器接出（hubbing out）、③使用网络分流器、④ARP欺骗攻击。

2.功能使用

(1)混杂模式

①概述

接受所有经过网卡的数据包，包括不是发给本机的包，即不验证MAC地址。普通模式下网卡只接收发给本机的包（包括广播包）传递给上层程序，其他的包一律丢弃。

一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。

②开启和关闭

(2)过滤器应用

①筛选 TCP 的数据包

②筛选源地址是 192.168.1.53 或目的地址是 192.168.1.1

③查看源地址或目标地址均为192.168.1.53 → ip.addr==192.168.1.53

3.协议

(1)定义

又称网络语言，协议栈是一组协同工作的网络协议的逻辑组合。帮助我们定义如何路由数据包，如何发起连接，以及如何确认收到数据。协议共同问题：

发起连接：由客户端还是服务器发起？在真正通信前必须交换哪些信息？

协商连接参数：通信需要进行协议加密吗？加密密钥如何在通信双方之间传输？

数据格式：通信数据在数据包中如何排列？数据到达设备时以什么顺序处理？

错误检测与校正：当数据包花太长时间到达目的地如何处理？当客户端暂时无法和服务器建立通信连接，如何恢复？

连接终止：一台主机如何通知另一台主机通信结束？终止链接应该发送什么最终信息？

(2)ARP协议分析

定义：通过解析网络层IP地址来找寻数据链路层的MAC地址

①查看 Address Resolution Protocol (request) ARP 请求包内容

Address Resolution Protocol (request) #ARP 地址解析协议 request 表示请求包
  Hardware type: Ethernet (1) #硬件类型
  Protocol type: IPv4 ( 0x0800 ) #协议类型
  Hardware size: 6 #硬件地址
  Protocol size: 4 #协议长度
  Opcode:_ request ( 1 ) #操作码，该值为 1 表示 ARP 请求包
  Sender MAC address: Vmware_ 96:67:52 (00:0c:29:8b:2b:b8) #源 MAC 地址
  Sender IP address: 192.168.1.53 . #源 IP 地址
  Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标 MAC 地址
  Target IP address: 192.168.1.1 #目标 IP 地址

②ARP应答/第二个数据包内容

Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
  Hardware type: Ethernet (1) #硬件类型
  Protocol type: IPv4 ( 0x0800 ) #协议类型
  Hardware size: 6 #硬件地址
  Protocol size: 4 #协议长度
  Opcode:_ reply ( 2 ) #操作码，该值为 2 表示 ARP 回复包
  Sender MAC address: XXXXXXXXXXXX (a4:56:02:3b:4b:03) #源 MAC 地址
  Sender IP address: 192.168.1.1 . #源 IP 地址
  Target MAC address: 00:00:00_ 00: 00:00 (00:0c:29:8b:2b:b8) #目标 MAC 地址
  Target IP address: 192.168.1.53 #目标 IP 地址

总结：可以看到到应答包补全了自己的 MAC 地址，目的地址和源地址做了替换

③ARP info内过程

192.168.1.53广播询问：谁有 192.168.1.1 的 MAC 地址？

192.168.1.1 单播应答：192.168.1.1 的 MAC 地址是 xxxxxxxxxxx

(3)ICMP协议分析

工作过程：

本机发送一个 ICMP Echo Request 的包

接受方返回一个 ICMP Echo Reply，包含了接受到数据拷贝和一些其他指令

①ICMP请求包

②ICMP响应包

(4)TCP协议分析——三次握手

①第一次握手，53209端口主动申请连接22端口（SYN）

②第二次握手，53209端口主动申请连接22端口（SYN+ACK）

SYN=1，ACK=1

表示回应第一个 SYN 数据包 134号帧。

③第三次握手，53209端口主动申请连接22端口（ACK）

ACK=1

表示回应第二个 SYN 数据包 135号帧

【可视化分析】

统计→流量图→过滤TCP类型

(5)TCP协议分析——四次挥手

过程解释：

第一次挥手：服务端发送一个[FIN+ACK]，表示自己没有数据要发送了，想断开连接，并进入FIN_WAIT_1 状态

第二次挥手：客户端收到 FIN 后，知道不会再有数据从服务端传来，发送ACK进行确认，确认序号为收到序号+1（与 SYN 相同，一个 FIN 占用一个序号），客户端进入 CLOSE_WAIT 状态。

第三次挥手：客户端发送[FIN+ACK]给对方，表示自己没有数据要发送了，客户端进入LAST_ACK 状态，然后直接断开 TCP 会话的连接，释放相应的资源。

第四次挥手：服务户端收到了客户端的 FIN 信令后，进入 TIMED_WAIT 状态，并发送ACK确认消息。服务端在 TIMED_WAIT 状态下，等待一段时间，没有数据到来，就认为对面已经收到了自己发送的ACK 并正确关闭了进入 CLOSE 状态，自己也断开了 TCP 连接，释放所有资源。当客户端收到服务端的ACK 回应后，会进入 CLOSE 状态并关闭本端的会话接口，释放相应资源。