前沿拓展：

wireshark

用wireshark時，大多數(shù)情況下我們都是用的電腦自帶的**網(wǎng)卡，所以只能抓取到流經(jīng)本機網(wǎng)卡的網(wǎng)絡(luò)包。也就是說除了局域網(wǎng)內(nèi)的廣播包外你無法抓到其他設(shè)備的網(wǎng)絡(luò)包。除非你買一個專用u**抓包網(wǎng)卡，這里不討論這種情況。

比如我們希望抓取局設(shè)備dev1和云端server通信的數(shù)據(jù)，我們需要用自己的電腦開一個熱點(Ap)，即建立一個私有的局域網(wǎng)。dev1做為(Station)連接到Ap。這樣當我們在自己的電腦上運行wireshark時就可以抓到dev1和server的通信數(shù)據(jù)了。

其實在局域網(wǎng)內(nèi)抓包并不是個容易的事，上面的情況是Dev1和server通信的情況下wireshark可以抓到包，但如果我們需要抓取局域網(wǎng)內(nèi)兩個設(shè)備Dev1和Dev2之間通信數(shù)據(jù)的話，這種情況就無法抓取了。

明明在同一個局域網(wǎng)，為什么PC上的wireshark無法抓取Dev1和Dev2的通信呢？原因正是因為Dev1和Dev2在同一個局域網(wǎng)的原因，它倆的通信數(shù)據(jù)在經(jīng)過PC的網(wǎng)卡時只涉及Mac層，壓根就不會進入PC的IP層協(xié)議處理，所以運行在PC上的wireshark自然就看不到任何數(shù)據(jù)了。而Dev1和server通信的情況就不同了，它需要PC將數(shù)據(jù)路由至外網(wǎng)的server，需要路由的數(shù)據(jù)必然會經(jīng)過IP層協(xié)議，所以wireshark能夠很好的抓取二者的通信數(shù)據(jù)包。

TTL的作用是限制IP數(shù)據(jù)包在計算機網(wǎng)絡(luò)中的存在的時間。TTL的最大值是255，TTL的一個推薦值是64。

雖然TTL從字面上翻譯，是可以存活的時間，但實際上TTL是IP數(shù)據(jù)包在計算機網(wǎng)絡(luò)中可以轉(zhuǎn)發(fā)的最大跳數(shù)。TTL字段由IP數(shù)據(jù)包的發(fā)送者設(shè)置，在IP數(shù)據(jù)包從源到目的的整個轉(zhuǎn)發(fā)路徑上，每經(jīng)過一個路由器，路由器都會修改這個TTL字段值，具體的做法是把該TTL的值減1，第二再將IP包轉(zhuǎn)發(fā)出去。如果在IP包到達目的IP之前，TTL減少為0，路由器將會丟棄收到的TTL=0的IP包并向IP包的發(fā)送者發(fā)送 ICMP time exceeded消息。

TTL的主要作用是避免IP包在網(wǎng)絡(luò)中的無限循環(huán)和收發(fā)，節(jié)省了網(wǎng)絡(luò)資源，并能使IP包的發(fā)送者能收到告警消息。

TTL 是由發(fā)送主機設(shè)置的，以防止數(shù)據(jù)包不斷在IP互聯(lián)網(wǎng)絡(luò)上**終止地循環(huán)。轉(zhuǎn)發(fā)IP數(shù)據(jù)包時，要求路由器至少將 TTL 減小 1。

在實際報文分析中，兩端（client 和 server）通信報文的TTL維持一致，在異常通信中，經(jīng)常會看到異常報文的TTL和其他報文的TTL不一致，這種場景是在通信時，被網(wǎng)絡(luò)鏈路中的其他網(wǎng)元設(shè)備（比如防火墻攔截等）回包時，尤其是在公網(wǎng)訪問未備案域名時，被工信部防火墻設(shè)備攔截，就會出現(xiàn)這種情況；

拓展知識：

wireshark???

一、? wireshark是捕獲機器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包 ，當你的機器上有多塊網(wǎng)卡的時候，你需要選擇一個網(wǎng)卡。

例如，我測試本地連接，直接選擇“本地連接”，進入如下界面

二、 WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器)，? 用于過濾

2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，端口號。 顏色不同，代表不同的協(xié)議，你也可以修改這些顯示顏色的規(guī)則，? View ->Coloring Rules.

3. Packet Details Pane(封包詳細信息), 顯示封包中的字段

Frame:???物理層的數(shù)據(jù)幀概況

Ethernet?II:?數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

Internet Protocol Version 4:?互聯(lián)網(wǎng)層IP包頭部信息

Tran**ission Control Protocol:??傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP

Hypertext Transfer Protocol:??應(yīng)用層的信息，此處是HTTP協(xié)議

4. Dissector Pane(16進制數(shù)據(jù))

5. Miscellanous(地址欄，雜項)

wireshark頂部顯示過濾器

使用過濾是非常重要的， 初學(xué)者使用wireshark時，將會得到大量的冗余信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。

過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。

過濾器有兩種，

一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄

一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設(shè)置

保存過濾

1）設(shè)置顯示過濾器，按如下步驟進行編輯

過濾表達式的規(guī)則

表達式規(guī)則

1. 協(xié)議過濾

比如TCP，只顯示TCP協(xié)議。

2. IP 過濾

比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102，

ip.dst==192.168.1.102, 目標地址為192.168.1.102

3. 端口過濾

tcp.port ==80,? 端口為80的

tcp.srcport == 80,? 只顯示TCP協(xié)議的愿端口為80的。

4. Http模式過濾

http.request.method==”GET”,?? 只顯示HTTP GET方法的。

5. 邏輯運算符為 AND/ OR

常用的過濾表達式

三、 wireshark與對應(yīng)的OSI七層模型

TCP包的具體內(nèi)容

從下圖可以看到wireshark捕獲到的TCP包中的每個字段。

四、實例分析TCP三次握手過程

看到這， 基本上對wireshak有了初步了解， 現(xiàn)在我們看一個TCP三次握手的實例

三次握手過程為

這圖我都看過很多遍了， 這次我們用wireshark實際分析下三次握手的過程。

打開wireshark, 打開瀏覽器輸入?http://www.cr173.com

在wireshark中輸入http過濾， 第二選中GET /tankxiao HTTP/1.1的那條記錄，右鍵第二點擊”Follow TCP Stream”,

這樣做的目的是為了得到與瀏覽器打開網(wǎng)站相關(guān)的數(shù)據(jù)包，將得到如下圖

圖中可以看到wireshark截獲到了三次握手的三個數(shù)據(jù)包。第四個包才是HTTP的， 這說明HTTP的確是使用TCP建立連接的。

第一次握手數(shù)據(jù)包

客戶端發(fā)送一個TCP，標志位為SYN，序列號為0， 代表客戶端請求建立連接。 如下圖

第二次握手的數(shù)據(jù)包

服務(wù)器發(fā)回確認包, 標志位為 SYN,ACK. 將確認序號(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1, 如下圖

第三次握手的數(shù)據(jù)包

客戶端再次發(fā)送確認包(ACK) SYN標志位為0,ACK標志位為1.并且把服務(wù)器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN的+1, 如下圖:

就這樣通過了TCP三次握手，建立了連接