前言
總算有時間把計網實驗的學習過程記錄一下了。也當做是一個複習的過程,過程太長,分兩篇部落格寫吧。
正文
這一篇是對協定封包的分析,這裡面有對Wireshark的使用,隻能說我對于Wireshark這款軟體的使用還是渣。各種ip位址的過濾以及如何去利用Wireshark強大的搜尋功能這裡就不多說了。個人感覺最好的方法就是在CTF裡面的流量分析題目裡學,在CTF的流量分析題目裡面你會經常觸碰到那種要導出檔案圖檔,導進秘鑰解密https的各種類型題,感覺學的會更快。
不多說廢話下面上課實驗的内容
(1) 運用抓包工具,分别擷取不同網際網路通路情形下的本機網卡資料包;過濾捕獲和過濾顯示不同條件的資料包。
(2)分别對不同網際網路通路情形下的資料包進行逐層分析,給出各層協定的主要參數及意義;要求分别擷取WWW服務、Email服務、QQ通信和迅雷檔案下載下傳四種不同網絡服務過程中的資料包。
(3)運用抓包工具,連續擷取面向連接配接的網際網路通路情形下的本機網卡資料包;對連續擷取的資料包找到執行面向連接配接過程的封包,給出實作面向連接配接過程(TCP三向交握)的詳細分析。
實驗内容第一點
http協定
關于這個協定,個人了解是網際網路的服務協定,預設端口是80端口,運輸層使用的是可靠的TCP,不過現在也有它的加密版本https,也就是在http的基礎上增加了ssl去加密,預設端口是443,是以在我們需要解密含有https的封包的時候,想檢視更多的資訊,應該追蹤http流而不應該追蹤tcp,到運輸層的時候已經加密了,看不出啥東西的,我記得DDCTF裡面有一道流量分析的題目就是這樣的,裡面可以導出一個圖檔然後運用的是ocr把秘鑰提取出來。确實有點煩,ocr這東西不準。對于Wireshark裡面的分組,我們可以直接過濾http就可以獲得啦,前提是記得通路http的頁面,别通路https的頁面,233333,不然你隻能顧慮的是https了。
UDP協定
UDP協定是面向封包的一種協定,如果你觀察他的封裝,你會發現客戶給他什麼資料他就直接封裝網下層IP層送去,不像TCP一樣會有時候會對封包的進行分組處理,是以一般UDP都是不可靠,無連接配接的,除非上層的應用程式承擔了檢錯的任務,是以UDP協定追求的是效率,一般都用在視訊語音上了。我們在抓包的時候直接使用udp就可以過濾網絡中的udp使用者資料封包了。
TCP協定
TCP協定是是一種面向位元組流,可靠,面向連接配接的協定,他對于使用者傳送的封包可以進行分組形成封包段,其中協定中如何保證傳輸的正确性,如何進行擁塞控制,如何進行連接配接的建立以及釋放都是重點,為了複習,還是回顧一下吧,其中保證傳輸的正确性視窗(視窗的概念就不多講了)的作用至關重要,其中最為重要的是其中的ARQ協定(自動重傳協定),對于擁塞控制,最重要的還是那四個算法,慢開始,擁塞避免,快重傳,快恢複,關鍵點就在擁塞視窗值以及門限值的變化并且在不同情況下使用的算法也不一樣,慢開始是使用在一開始的時候以及發現逾時的時候使用的,而快重傳,快恢複是在在逾時計數器結束前連續收到三個響應封包使用的。在過濾的時候我們隻需要用tcp指令就可把TCP封包給濾出來了。
ICMP協定
ICMP協定是一種用于報告錯誤資訊的協定,位于IP層,我們平常使用的ping,tracert指令都是屬于這一協定裡面的,這兩個指令都十分常用,ping用于及鈉鹽網絡是否連通,而是用tracert指令我們可以探測出網絡拓撲結構,是以要抓到icmp的封包,隻需要ping一下然後在Wireshark裡面用icmp這一個指令過濾出來即可。
實驗内容第二點
先把各部分的包的先過濾出來
WWW服務資料包:
Email服務資料包:
QQ通信資料包:
迅雷檔案下載下傳服務資料包:
不同網際網路通路情形下的資料包進行逐層分析,先Packet Details Pane(封包詳細資訊)有大緻了解, 顯示封包中的字段,各行資訊說明如下:
- Frame: 實體層的資料幀概況(這是最底層的,一般以比特流傳送,看不懂)
- Ethernet II: 資料鍊路層以太網幀頭部資訊,
- Internet Protocol Version 4: 網際網路層IP標頭部資訊
- Transmission Control Protocol: 傳輸層T的資料段頭部信
- Hypertext Transfer Protocol: 應用層的資訊
UDP資料包詳細分析:
這個資料包的詳細資訊裡面包含了實體層(Frame那一行),資料鍊路層(Ethernet那一行),網路層(Internet Protocol那一行),傳輸層(User Datagram Protocol那一行)還有應用層資料,層次結構十分明顯。
從UDP的封包格式可以得到UDP的首部資訊,源端口為4026,目的端口為8000,UDP長度為55,檢驗和為0x4362
再看IP層的内容
可以清楚分析出他的首部資訊,首部長為20位元組,還有辨別位5428,3位沒有設定的标志位以及總長度偏移量,TTL為64,協定字段17,代表了上層使用UDP,下面就是源IP為192.168.1.101,目的IP為140.207.62.105
再往下分析就是資料鍊路層了,裡面的資訊也很清楚,把源MAC位址還有目的MAC位址顯示出來,并且上層IP類型為IPv4源MAC位址:74:c3:30:12:e6:f4,目的MAC位址:c8:ff:28:28:7d:49
http資料包詳細分析:
對于http資料進行分析,發現還是離不開五層協定,實體層,資料鍊路層,網路層,傳輸層,還有應用層,層次結構十分明顯,這一次應用層以http封包顯示,裡面傳遞的的東西很明确,通過GET方式通路網站資源,通路的主機名為pub.idqqimg.com,還有其他的一些浏覽器相關的資訊等等。
下面一層是TCP,可以看出TCP首部資訊,我們也可以從另一個方面推出http協定使用的運輸層協定是tcp,源端口為18122,目的端口為80,還有它的序号以及确認信号,還可以看到标志位Flags,視窗大小為32768,首部長度為20,檢驗和是0x0dfc,緊急指針Urgent pointer置0
再看IP層的内容,可以清楚分析出他的首部資訊,版本号為4,首部長為20位元組,還有辨別633,3位沒有設定的标志位Flags以及總長度偏移量,TTL為64,協定字段6,代表了上層使用TCP,下面就是源IP為192.168.1.101,目的IP為157.0.149.41
分析資料鍊路層,裡面的資訊也很清楚,把源MAC位址還有目的MAC位址顯示出來,并且上層IP類型為IPv4,源MAC位址:74:c3:30:12:e6:f4,目的MAC位址:c8:ff:28:28:7d:49
TCP包詳細分析:
分析TCP同樣可以看出TCP首部資訊,源端口為18122,目的端口為80,還有它的序号以及确認
信号,還可以看到标志位Flags,視窗大小為65535,首部長度為20,檢驗和是0x16eb,緊急指針Urgent pointer置0
IP層的内容,可以清楚分析出他的首部資訊,版本号為4,首部長為20位元組,還有辨別631,3位沒有設定的标志位Flags以及總長度偏移量,TTL為64,協定字段6,代表了上層使用TCP,下面就是源IP為192.168.1.101,目的IP為157.0.149.41
資料鍊路層,裡面的資訊也很清楚,把源MAC位址還有目的MAC位址顯示出來,并且上層IP類型為IPv4,源MAC位址:74:c3:30:12:e6:f4,目的MAC位址:c8:ff:28:28:7d:49
ICMP包詳細分析:
使用icmp過濾相關的封包,分析根據封包格式分析icmp包裡面的内容,Type顯示8表明這是一個請求封包
分析網絡層和資料鍊路層跟前面幾次沒什麼差別,源IP為192.168.1.101,目的IP為192.168.1.100,IP首部為20位元組,IP類型為IPv4,源MAC位址:74:c3:30:12:e6:f4,目的MAC位址:c8:ff:28:28:7d:49
分析QQ的封包:
對于QQ的包可以得出來應用層是使用了OICQ的協定,裡面包含了QQ号的資訊以及加密過了的資料,使用的是UDP的傳輸協定,源端口是8000,目的端口是4026
對于網絡層以及資料鍊路層是一樣的分析過程,源IP是140.207.62.150,目的IP是192.168.1.101,傳輸層使用的是UDP,TTL是55
對郵件包分析:
可以看得出來郵件傳送有一個建立連接配接的過程,從哪裡發的并且在哪裡接收都有對應的郵箱,建立連接配接的密碼用base64加密過了,看下層運輸層是使用TCP建立連接配接的,目的端口是17379,源端口号25,視窗值138,序号是454,IP版本是IPv4,源IP是192.168.1.101, 目的IP是123.125.50.138
實驗内容第三點
通路網站
www.souci.li
,過濾http然後追蹤tcp流就可以看見http協定工作的大概過程(在這之前應該還得通過DNS去解析域名,你會發現這個包過濾DNS會發現把域名轉換成IP的過程),然後就是封裝http請求資料包,封裝成tcp包,建立tcp連接配接(三封包握手在HTTP工作開始 之前,客戶機(Web浏覽器)首先要通過網絡與伺服器建立連接配接,該連接配接是通過TCP來完成的,用戶端發送請求,伺服器響應,伺服器關閉tcp連接配接
分析三封包握手的過程:
第一次封包握手
用戶端發送一個TCP,标志位為SYN,序列号為0, 代表用戶端請求建立連接配接
第二次握手的資料包
伺服器發回确認包, 标志位為 SYN,ACK. 将确認序号(Acknowledgement Number)設定為客戶的I S N加1以.即0+1=1, 如下圖
第三次握手的資料包
用戶端再次發送确認包(ACK) SYN标志位為0,ACK标志位為1.并且把伺服器發來ACK 的序号字段+1,放在确定字段中發送給對方,如下圖:
就這樣通過了TCP三封包握手,建立了連接配接
小小回顧,感覺廢話太多,emmm。。。
歡迎大家多來踩踩我的部落格:https://0verwatch.top