Register

  • 点击获取
  •   

已有账号直接登录    

公告:

热门文章 利用Wireshark分析TCP/IP协议三次握手

时间:2016-8-25 作者:RainFly   分类: Web程序设计   热度: 11379°  评论:3  
时间:2016-8-25   分类: Web程序设计    热度:11379   评论:3

        关于wireshark做APP或者网站开发应该不会不熟悉,关于这类查看网络数据封包的工具有很多 Charles ,sniffer ,network monitor, Fiddler等等,当然有的需要收费,这款软件是免费使用的基于WinPcap的网络嗅探工具,当你看到真正的计算机网络协议包,会发现对此了解会网络协议层更加深刻理解。

我所使用的是经过汉化的wireshak喜欢的朋友可以在下方下载,其中包含了使用手册。

开始抓包

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器),  用于过滤

2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏,杂项)

 

使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 过滤器有两种, 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

 

Filter栏上就多了个"Filter 102" 的按钮。 

表达式规则  1. 协议过滤 比如TCP,只显示TCP协议。 2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80,  端口为80的 tcp.srcport == 80,  只显示TCP协议的愿端口为80的。 4. Http模式过滤 http.request.method=="GET",   只显示HTTP GET方法的。 5. 逻辑运算符为 AND/ OR 常用的过滤表达式 过滤表达式 用途 http 只查看HTTP协议的记录 ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102    

封包列表(Packet List Pane) 封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。 你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

封包详细信息 (Packet Details Pane) 这个面板是我们最重要的,用来查看协议中的每一个字段。 各行信息分别为 Frame:   物理层的数据帧概况 Ethernet II: 数据链路层以太网帧头部信息 Internet Protocol Version 4: 互联网层IP包头部信息 Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

wireshark与对应的OSI七层模型

TCP包的具体内容  从下图可以看到wireshark捕获到的TCP包中的每个字段。

实例分析TCP三次握手过程 看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例    三次握手过程为

这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。 打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao 在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream", 这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。   第一次握手数据包 客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

第二次握手的数据包 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图  

第三次握手的数据包 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

 就这样通过了TCP三次握手,建立了连接

本文转自:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

Wireshark安装包+使用教程来源:百度云网盘  | 大小:22MB  | 提取密码:um1w | 解压密码:www.rainfly.cn 已经过安全软件检测无毒,请您放心下载。          若链接失效可联系管理员!

热门文章 TP-LINK路由器硬改DD-WRT

时间:2015-7-19 作者:RainFly   分类: 计算机知识   热度: 13338°  评论:5  
时间:2015-7-19   分类: 计算机知识    热度:13338   评论:5

       DD-WRT是个不错的软件,功能强大,可设置项很多,并且是免费的,对于厌倦了路由器自带的那些简单设置的朋友是个不错的选择,同时DD-WRT可以让路由器增加一些原本不具备的额外功能,例如桥接等......

      

热门文章 轻松放大WiFi信号,获取最大网速(蹭网利器)

时间:2015-6-29 作者:RainFly   分类: 计算机知识   热度: 18751°  评论:3  
时间:2015-6-29   分类: 计算机知识    热度:18751   评论:3

        需要工具:1:外置增益高频定向天线,型号一般是:14dBi  SMA接口        2:ubnt的无线网桥网件,需要在网件下方接一个二级路由器,网速很可以 3,无线路由器     具体设置方法:用外置高频天线连接到网桥上面,登陆无线网桥,......

       

热门文章 绕过WiFi验证:四招教你免费用WiFi

时间:2015-3-7 作者:RainFly   分类: 计算机知识   热度: 13069°  评论:4  
时间:2015-3-7   分类: 计算机知识    热度:13069   评论:4

绕过WiFi验证:四招教你免费用WiFi

  

仅供娱乐,请各位遵纪守法,别被老板暴打^_^ 需要身份认证的WiFi 这是一种开放的WiFi网络。在真正使用该网络之前,当访问任意网页时,通常你会遇到一个强制的身份认证的页面——只有在你输入了正确的用户名和密码之后才能开始使用该网络。

在我们的日常生活中,你可以发现各种强制身份认证页面,例如在麦当劳、医院、机场、公园等等。 Hack it! 首先你需要注意的是,既然是开放WiFi网络,那么你可以毫不费力地连接上它。不过这种WiFi会利用身份验证来限制合法用户上网。通常这种方式是为了防止网络被滥用,例如:防止人们下载色情内容,利用该网络进行非法活动等。 可不管怎样,当我们连上了,我们就可以扫描网络中所有主机并嗅探他们的通信流量。 绕过热点身份验证常用方法主要有以下几种,下面我们将逐一进行介绍。 1、MAC地址伪造法 开放网络的身份验证通常是通过将你的上网设备的MAC地址同你的上网凭证(例如账号、密码)联系在一起来实现。 然而,因为任何设备的MAC地址都很容易修改,例如笔记本电脑、智能手机等设备。所以这种验证方法并不是一种强健的或者安全的身份验证方法。 我们首先要做的就是扫描整个网络,寻找其他已经连接上该网络的客户端。而实现该目的最快的方式是,利用ARP扫描技术,它会提供给我们一个包含所有已连接设备的IP地址和MAC地址的完整ARP表。

现在,我们可以用上图中的MAC地址一个一个地尝试,以此来查看对应的客户端是否已经通过身份验证。 为了提高查看的速度,我们可以尝试以下方法:

                                      1、检测这些设备是否能够产生通信流量。                                       2、如果产生了流量,那么就拦截该流量并查看是否是上网的网络流量。

如果以上两个条件同时满足,那么我们可以非常肯定该客户端已经通过了网络认证门户的身份验证。 有时这类WiFi对一个用户只提供一定时间或流量的免费服务。在这种情况下,一旦服务过期,我们可以通过随机修改MAC地址来继续享受该网络服务。 2、伪造认证页面 这种方式类似于“钓鱼”:我们创建一个伪造身份认证页面,迫使正常用户登录该页面进行身份验证,然后我们就可以盗取他们的上网凭证。 正如我之前所写,开放WiFi网络的所有流量都是未经加密的明文数据,所以我们可以拦截并篡改网络流量,做任何我们想做的事情。虽然有时认证页面是通过HTTPS连接,但是它们几乎所有时候都使用同一个定制的证书。 为了建立一个假的认证门户,我们不得不下载原来真正的认证页面。你可以使用任何你喜欢的工具来下载,然后编辑该门户网站来存储用户输入的上网凭证信息。一旦我们保存了这些信息,我们应该将用户请求信息转发到原始真正的认证页面中进行身份认证。 但是问题来了,我们该如何迫使用户登录我们伪造的认证门户,而不是原来真正的那个呢? 最简单的方法是对所有客户端发起一次ARP中毒攻击,通知上网设备认证门户的MAC地址现在变成了我们自己的MAC地址。 下面的图片可以很好地解释这种方法:

我们上搭建一个Web服务器,然后在上面做一个假的认证页面。至此工作完成,我们只要坐等用户名和密码就行啦。 3、利用“忘记密码” 这种方法很简单,一些带身份验证的WiFi热点会在你忘记密码的时候提供重置密码服务。 通常,这种服务通过你的手机号码来实现,会向你填入的手机号码上发送新密码。然而,也有很多时候是通过电子邮件发送新密码。 如果是这种情况,那么很可能他们会允许你连接你的邮件客户端到你的IMAP/POP邮件服务器,这意味着此时你可以免费使用他们的网络查看你的邮箱。更普遍的是,他们通常不会检查你所产生的流量是否真的是IMAP或POP流量(主要因为流量加密了)! 所以你可以在你的VPS上以端口号995或993搭A建一个SSH服务器,这两个端口分别是POP3和IMAP加密流量默认的端口号。因此你完全可以创建一个SSH隧道来代理你的网络浏览。 4、DNS隧道方法 大多数时候,WiFi热点会允许你进行DNS查询,它们一般使用自己的DNS服务器,同时很多时候他们也允许你查询外部DNS服务器。 创建于几年前的一个比较有趣的项目“Iodine”就是一款有关DNS隧道的软件。使用该软件,你可以使用DNS协议创建一个连接到你的服务器上的隧道,然后利用它上网。 这多少有点类似于你用VPN连接到你办公室的网络。一旦你创建了该隧道,你可以再次设置一个代理,通过SSH隧道连接到你的服务器,这样你就可以得到一个加密的安全通道来上网。 不过,为了使用DNS隧道服务,还需要满足另一个要求,即你必须拥有一个域名或者能够使用一些动态DNS提供商的子域名。  

返回顶部    首页    捐赠支持    手气不错    友情链接    关于我们    站长工具    站长介绍    手机版本    后台登陆   
版权所有:雨夜轩    站长:RainFly    特别鸣谢   文章归档   皖ICP备15003600号-1   百度统计
Copyright©2015雨夜轩 Powered by emlog强力驱动 七牛CDN全球加速 360站长联盟安全认证 中国博客联盟荣誉成员 可信赖网站 谷歌地图   百度地图   
页面加载耗时:0.051秒 数据库查询次数:48次
背景设置
$