WireShark抓包原理解析及抓包实战教程「建议收藏」

大家好，欢迎来到IT知识分享网。

1、WireShark快速分析数据包技巧

(1)确定 Wireshark的物理位置。如果没有一个正确的位置,启动 Wireshark后会花费很长时问捕获一些与自己无关的数据。“

(2)选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

(3)使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获数据。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。”

(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。“

(5)使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。“

(7)重组数据。当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是重组一个完整的图片或文件。

2、实战：WireShark抓包及快速定位数据包技巧

2.1常见协议包

ARP协议

ICMP协议

TCP协议

UDP协议

DNS协议

HTTP协议

2.2使用 WireShark 进行抓包

启动WireSharke

2.3 混杂模式介绍

1）混杂模式概述：混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序，其它的包一律丢弃

一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。

2）关闭和开启混杂模式方法

打开wireshark，点击capture（捕获）——Options（选项）

勾选箭头，Enable promiscuous mde on all interfaces（在所有接口上使用混杂模式），这样就开启混杂模式，取消勾选，就变为普通模式

2.4 WireShark的过滤使用

开启混杂模式，在捕获过滤器处输入如下指令

1）host 172.16.12.15 捕获该IP相关的数据包

2）src 172.16.12.15 捕获该IP发出去的数据包

3）dst 172.16.12.15 捕获所有发给该IP的数据包

4）port 80 捕获和80端口有关的数据包

5）ether host [MAC地址] 捕获该MAC地址相关的数据包

在显示过滤器下面输入如下指令

1、tcp/arp/udp/http/dns等 捕获所有tcp数据包

2、ip.src_host == 172.16.12.15 or ip. dst_host ==172.16.12.2 捕获源地址是15或者目标地址是2的ip

3、ip.src_host == 172.16.12.15 and ip.dst_host ==172.16.12.2 捕获源地址是15且目标地址是2的ip and可以用&&表示

4、ip.addr == == 172.16.12.15 and ip.addr ==172.16.12.2

3 、实战：使用 WireShark 对常用协议抓包并分析原理

协议分析的时候我们关闭混淆模式，避免一些干扰的数据包存在。

3.1常用协议分析-ARP协议

地址解析协议(英语：Address Resolution Protocol，缩写：ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议，它在 IPv4 中极其重要。ARP是通过网络地址来定位 MAC 地址。

关闭混杂模式，显示过滤器输入arp

Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包

Hardware type: Ethernet (1) #硬件类型

Protocol type: IPv4 (0x0800 ) #协议类型~

Hardware size: 6 #硬件地址

Protocol size: 4 #协议长度

Opcode: reply(2) #操作码，该值为2 表示ARP回复包 1表示request请求包

Sender MAC address: XXXXXXXXXXXX(9c:61：21:75:55:50) #源MAC地址Sender IP address: 192.168.1.1 #源IP地址

Target MAC address: VMware_f1:35:ee (00:0c:29:f1:35:ee) #目标MAC地址Target IP address: 192.168.1.53 #目标 IP地址

总结：我们可以看到到应答包补全了自己的 MAC 地址，目的地址和源地址做了替换我们再来看两个数据包的请求和过程

Who has 192.168.1.1? Tell 192.168.1.53

192.168.1.1 is at 9c:61:21:75:55:50

192.168.1.53 广播：谁有192.168.1.1的MAC地址?

192.168.1.1 应答：192.168.1.1的MAC地址是XXXXXXXXXXX

3.2常用协议分析-ICMP协议

ICMP请求包

Internet Control Message Protocol

Type:8 (Echo (ping) request)

Code:0 #type0 协议类型8 code 0 代码0 表示请求报文

Checksum:Oxfd1c [correct] #校验和，用户检查错误的数据

[Checksum Status:Good] #校验状态：good

Identifier (BE):63126（Oxf696)

Identifier (LE):38646（0x96f6） #ID值，在应答包中返回该字段

Sequence Number (BE):1 (0x0001) #序列号依旧在应答包中返回该字段

Sequence Number (LE):256 (0x0100)

[Response frame:654] 响应帧的序列号：654

Timestamp from icmpdata:Sep 8，202108:54:30.000000000 EDT [Timestamp from icmp data(relative)：0.746635014 seconds] Data (48 bytes)

ICMP响应包

Internet Control Message Protocol

Type:0(Echo (ping) reply)

Code:0 #type0 协议类型0 code 0 代码0 表示回显应答报文

Checksum:0x051d [correct] #校验和

「Checksum Status:Goodl

Identifier (BE):63126（Oxf696）

Identifier (LE):38646（0x96f6)

Sequence Number (BE):1 (0×0001)

Sequence Number (LE):256 (0x0100) #这里的ID和序列号和请求包一样

[Request frame:653] #请求帧的序列号

[Response time:60.003 ms] #响应时间

Timestamp from icmp data: Sep 8,2021 08:54:30.000000000 EDT [Timestamp from icmp data(relative):0.806637645seconds]Data (48 bytes) #填充数据，共48字节

本机发送一个ICMP Echo Request的包

接收方返回一个ICMP Echo Reply，包含了接受到数据拷贝和一些其他命令

3.3 常用协议分析-TCP协议

三次握手

三次握手统计图

到这里三次握手就结束了，下面是三次握手统计图

四次挥手

我们分析一下过程，我们在终端输入 EXIT 实际上是在我们Kali上执行的命令，表示我们SSHD的Server 端向客户端发起关闭链接请求。“

第一次挥手：服务端发送一个[FIN+ACK]，表示自己没有数据要发送了，想断开连接，并进入FIN WAIT 1状态

第二次挥手：客户端收到 FIN 后，知道不会再有数据从服务端传来，发送 ACK 进行确认，确认序号为收到序号+1(与SYN相同，一个 FIN占用一个序号)，客户端进入CLOSE_WAIT状态。

第三次挥手：客户端发送[FIN+ACK]给对方，表示自己没有数据要发送了，客户端进入LAST_ACK 状态，然后直接断开TCP会话的连接，释放相应的资源。+

第四次挥手：服务户端收到了客户端的 FIN 信令后，进入TIMED_WAIT状态，并发送ACK确认消息。服务端在TIMED_WAIT状态下，等待一段时间，没有数据到来，就认为对面已经收到了自己发送的ACK 并正确关闭了进入CLOSE 状态，自己也断开了TCP连接，释放所有资源。当客户端收到服务端的ACK回应后，会进入CLOSE状态并关闭本端的会话接口，释放相应资源。

3.4 常用协议分析-GTTP协议

┌──(root💀kali)-[~]

└─# curl -I baidu.com 请求百度头部字段

HTTP/1.1 200 OK

Date: Thu, 09 Sep 2021 11:53:50 GMT

Server: Apache

Last-Modified: Tue, 12 Jan 2010 13:48:00 GMT

ETag: “51-47cf7e6ee8400”

Accept-Ranges: bytes

Content-Length: 81

Cache-Control: max-age=86400

Expires: Fri, 10 Sep 2021 11:53:50 GMT

Connection: Keep-Alive

Content-Type: text/html

第一步：我们我们发送了一个HTTP的HEAD请求

第二步：服务器收到我们的请求返回了一个Seq/ACK进行确认

第三步：服务器将 HTTP的头部信息返回给我们客户端 状态码为200 表示页面正常

第四步：客户端收到服务器返回的头部信息向服务器发送Seq/ACK进行确认

发送完成之后客户端就会发送FIN/ACK来进行关闭链接的请求。

4、实战：WireShark抓包解决服务器被黑上不了网

场景：服务器被黑上不了网，可以ping通网关，但是不能上网。

模拟场景

修改主机TTL值为1，下面的方式是我们临时修改内核参数。

┌──(root💀kali)-[~]

└─# cat /proc/sys/net/ipv4/ip_default_ttl

64

┌──(root💀kali)-[~]

└─# echo “1” > /proc/sys/net/ipv4/ip_default_ttl

┌──(root💀kali)-[~]

└─# cat /proc/sys/net/ipv4/ip_default_ttl

1

TTL（time to live）： 数据报文的生存周期。每过一个网络设备，TTL值-1

默认 linux 操作系统值：64，每经过一个路由节点，TTL值减1。TTL值为0时，说明目标地址不可达并返回：Time to live exceeded

作用：防止数据包，无限制在公网中转发。我们测试结果

┌──(root💀kali)-[~]

└─# ping 192.168.0.1

PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.

From 192.168.0.36 icmp_seq=1 Time to live exceeded

64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=1.99 ms #网关可以ping通

┌──(root💀kali)-[~]

└─# ping baidu.com -c1

PING baidu.com (220.181.38.148) 56(84) bytes of data.

From localhost (192.168.0.1) icmp_seq=1 Time to live exceeded

#出了网关，TTL为0，数据包丢弃，百度ping不通

我们可以看到提示我们 Time to live exceeded 这表示超过生存时间，

我们判断和目标之间经过多少个网络设备是根据目标返回给我们的 TTL 值来判断的，因为我们发送的数据包是看不到的。

开启抓包，过滤ICMP，然后ping百度，抓包结果如下

我们可以看到第一个包是发送了一个ping 请求包ttl=1

然后呢我们收到了网关 192.168.1.1 返回给我们的数据包告诉我们超过数据包生存时间，数据包被丢弃。

那我们把 TTL值修改成2会有什么效果呢？

┌──(root💀kali)-[~]

└─# echo “2” > /proc/sys/net/ipv4/ip_default_ttl

──(root💀kali)-[~]

└─# ping baidu.com -c1 1 ⨯

PING baidu.com (220.181.38.251) 56(84) bytes of data.

From localhost (192.168.1.1) icmp_seq=1 Time to live exceeded

我们对比数据包发现返回我们数据包被丢弃的源地址变成了220.181.38.251，这证明了数据包在网络中已经到达了下一个网络设备才被丢弃，由此我们还判断出我们的运营商网关地址为 220.181.38.251，但是我们并没有到达目标主机。

那TTL恢复成正常的64，结果如何？

┌──(root💀kali)-[~]

└─# echo “64” > /proc/sys/net/ipv4/ip_default_ttl

┌──(root💀kali)-[~]

└─# ping baidu.com -c1

PING baidu.com (220.181.38.148) 56(84) bytes of data.

64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=50 time=16.9 ms

目标返回给我们的TTL值为50，这表示我们的TTL值需要大于64-50=14才可以访问百度

下载mtr 路由跟踪工具进行查看

┌──(root💀kali)-[~/Desktop]

└─# apt install mtr –fix-missing

检测到达www.baidu.com的所有节点的通信质量

┌──(root💀kali)-[~/Desktop]

└─# mtr www.baidu.com

如图，主机连接到百度需要经过13个设备（13跳），100%表示丢包严重，可能是被防火墙过滤、