Wireshark实践总结

Wireshark

收集 -> 转换 -> 分析

Wireshark通过网卡上收集二进制数据信息，将捕获到的二进制信息转换为可读报文形式，对捕获转换后的数据进行分析。
数据传输是参考OSI网络七层模型，如果是协议开发则不需要完全遵循OSI模型，在网络七层模型中，数据传输时每一层都有自己的头部信息，
通过一层层的传输，头部信息也会被层层打包，而接收时接收端会(一般是指服务器)把打包好的信息进行解包操作，剥离出最原始的信息进行分析。

捕获功能让Wireshark具有了将网络适配器的包保存在硬盘中，为了将依赖这些底层运行的细节隐藏起来所以就有了Winpacp通用接口库工具，当Wireshark捕获到的数据包在数据加载进Wireshark后就在内存中解析了，当点击包数据列表中的某条信息，这条信息将会被再次解析，将细节彻底呈现出来。

DHCP

DHCP:（过滤命令bootp）
服务器分配IP地址的过程，DHCP会采用广播或单播的形式来给主机动态分配IP地址，比如使用CMD设定一个简便环境就可以抓取到DHCP的数据包，实现步骤IPconfig/Releags断开IP，IPconfig/Renew重新获取!

连接成功出现request请求，请求方式同样使用广播形式发送报文，服务器会返回一个提供给客户端的IP，等于服务器和网关进行连接，也可以公用一个IP,查看DHCP具体请求信息ACK表示本次访问结束。

DNS

DNS:（过滤操作dns）
将域名解析成地址，Wireshark会根据DNS的发送和报文的返回来解析特定的域名，把这个域名解析成对应的IP地址，查询DNS并返回DNS报文这一套流程为一个域名解析结束，实现步骤直接ping一个域名信息会返回报文信息。

DNS数据包分析
DNS处在应用层，DNS请求端发送第一个DNS请求是并不会携带DNS服务器地址,DNS Domian Name System 第一条是为了辨别DNS应答报文是哪个请求的报文（二进制），用唯一标识符进行判断。

第二个Flags是标志字段，包含数据查找标准，资源数量统计，发送的问题字节，以及该域名访问的域名长度，所分配的Ip地址的类型。
而DNS发送端在基于请求端的解析外，会多出现一个Answers，这个字段上集合了请求段发送的所有数据并结合了域名信息。

FTP

FTP传输使用的是TCP数据包，但是传输过程相对麻烦，比TCP传输多加了两条传输通道，命令通道和数据通道，这两条通道都需要经过三次握手的基础上进行传输，传输端口要大于1024的非特权端口（20/21），ftp连接采用主动和被动两种连接模式，客户端访问服务器使用的是port PASV进行连接，服务器连接客户端会根据主动模式请求针对不同的客户端进行匹配传输。
需要注意的是FTP不能抓到本地回环IP的包，使用FTP登录也无法获取，因为FTP的数据量并不从本地网卡流入，所以需要访问网卡以外的FTP地址。

前三个包是三次握手的过程，在网络层有明显的标注本地IP（dst）和目标IP（Src），在传输层描述的数据FTP具体的传输过程，从21端口进行数据传输，唯一标识为做好数据标记，其中Flags的二进制代表队是tcp协议的报文信息，FTP属于明文传输。

查看FTP传输类型，FTP访问分为主动和被动，客户端访问FTP服务器传输类型就会为PASV类型，如果是服务器主动访问客户端，客户端会随机打开一个端口，等待服务器连接。
使用过滤指令ftp-data在信息栏FTP DATA中查看。

NTP

时间同步协议，主要目的就是为了将计算机里面的时间同步成UTC国际标准时间，确保时间精准度，GPS信号就是通过NTP协议的处理，将传送数据的时间源转换成UTC同步传输到各个国家。NTP协议脱离了ICMP达到了一个更加精准的时间协议。

NTP的时间获取来源是根据外部的UTC,NTP的连接可以采用广播形式，服务器不管客户端在任何情况下，只要发送连接时间就会校准，采用广播形式的话，会大大的降低时间精准度，也可以采用主/被模式。主动/被动模式唯一的区别就是服务器能够同步客户端的时间信息，但是客户端不能同步服务器是时间信息。

Wget

Wget是一个网络自动下载文件的工具，下载类型支持 http/https/ftp最常见的基于TCP/IP的协议下载，自动下载的好处就是可以断点续传，在下载过程中用户退出系统后wget会在后台继续执行，直到下载任务结束。

下载会形成一个index.html文件，如wget -P File www.baidu.com wget会访问百度的web页面，并将百度的页面（页面架构）下载到File文件夹中。下载模式除了自动下载外还可以设置成递归下载。

Wget在Wireshark并没有明显的标识，可以通过查看传输层协议的数据流，数据开头显示了Wget的具体信息（版本），访问过程（时间、长度、类型、Cokie数据保存时间等），最下方显示的是Web前端页面架构的架构信息，Class Css Js 等。