抓包神器 Wireshark,帮你快速定位线上网络故障(3)
1
复习:TCP 三次握手&四次挥手
正式分享之前,先简单复习一下 TCP 的三次握手、四次挥手。
TCP 通过三次握手建立连接(一图解千愁):
TCP 协议通过四次挥手断开连接(一图知所有):
2
Wireshark:窥探 HTTP 的协议包
HTTP 的工作方式其实很简单,首先由客户端向服务端发起一个请求,然后再由服务端回复一个响应。依据不同的场景,客户端发送的请求会用到不同方法,有 GET、POST、PUT 和 HEAD 等。
接下来将结合 Wireshark 抓到的包,来窥探一下 HTTP 是如何工作的。
如上图所示,抓取了从 10.1.1.101 访问 http://10.1.1.1:80/ 时的协议包。
由于 HTTP 协议基于 TCP 实现,一次完整的 HTTP 请求响应主要分三次握手、数据传输(请求&响应)、四次挥手三个阶段,我们一层一层拨开了去看。
阶段一:三次握手(建立连接)
由于 HTTP 协议基于 TCP,所以上来要进行三次握手,并且能够看出客户端地址为 10.1.1.101,端口为 3177,服务端地址为 10.1.1.1,端口为 80,通过三次握手建立连接后,便可以向服务端发送请求传输内容了。
阶段二:请求&响应(数据传输)
上面截图中的 4 号包是客户端向服务端发送“GET / HTTP/1.1”请求,即通过 1.1 版的 HTTP 协议发送请求,协议包内容如下。
通过上面抓包,能够清晰看出请求方式为 GET,以及客户端的一些环境信息,请求相关的信息,清晰可见。这里多关注一下 Response in frame:6,告诉请求对应的响应包是 6 号包,接下来打开 6 号包看一下响应内容。
6 号包是服务端对客户端请求的响应,即把响应页面内容发给客户端,通过上图能够看出响应的是一个 HTML 页面,内容清晰可见。
阶段三:四次挥手(断开连接)
如上图示意,可以看到四次断开的挥手包,编号分别为 7、8、9 和11。从 Info 列可以看到这四个包的标志位分别为 FIN,ACK、ACK、FIN,ACK 和 ACK。下面依次分析 TCP 的四次断开连接数据包。
第一次挥手:
源端口 80 向目标端口 3177,发送 FIN 数据报,序列号为 436,确认序列号为 477。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中,ACK 和 FIN 标志位值为 1,其它标志位都为 0。
第二次挥手:
如上图所示,从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到,当前报文的标志位为 ACK。其中 ACK 标志位值为 1,其他标志位都为 0。
第三次挥手:
如上图所示,从 IP 协议层可以看到,源地址为 10.1.1.101,目标 IP 地址为 10.1.1.1。从 TCP 协议层可以看到,源端口为 3177,目标端口为 80,序列号为 477,确认号为 437。从 Flags 分支中可以看到该报文的标志位为 FIN,ACK。其中 ACK 和 FIN 标志位值为 1,其它标志位都为 0。
第四次挥手:
如上图所示,可以看到源端口为 80,目标端口为 3177,序列号为437,确认号为 478。从 Flags 分支中可以看到该报文的标志位为ACK。其中 ACK 标志位值为 1,其它标志位都为 0。
到这,虽然只分析了一个简单 HTTP 请求,但是结合 Wirkeshark 细细去想,整个通信过程确实还挺复杂,不过整个过程确实是一览无遗,那么试想一下平时的聊天记录,是否会被(BOSS)发现?很不幸,答案是肯定的。
3
Wireshark:HTTP 响应分析
借助 Wireshark 的“显示分组字节”功能,很容易就能看到 HTTP 的响应内容。
例如1:从服务端下载文件
上面截图是通过 Wireshark 分析下载图片的数据包,借助 Wireshark 的“显示分组字节”功能,便可轻松看到图片内容。
例如2:服务端响应 HTML
借助 Wireshark 的“显示分组字节”功能,很轻松看到服务端响应给客户端的 HTML 内容。
感兴趣的老铁,纸上得来终觉浅,希望能亲自通过 Wireshark 好好去体验体验。
4
写在最后
本次 Wireshark 分享就写到这里,为了能够让分享不出现纰漏,查阅了很多文档、书籍以及官方资料,归纳汇总一下给老铁,希望对老铁能有所帮助。
资料分享:
经典例子:https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures
官方文档:https://www.wireshark.org/docs/wsug_html_chunked/
文章分享的数据包可以从这里 get 到:
https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/http_with_jpegs.cap.gz https://gitlab.com/wireshark/wireshark/-/wikis/uploads/__moin_import__/attachments/SampleCaptures/200722_tcp_anon.pcapng
参考书籍:
《从实践中学习Wireshark数据分析》
《Wireshark网络分析就是这么简单》
一起聊技术、谈业务、喷架构,少走弯路,不踩大坑。会持续输出精彩分享,敬请期待!
历史推文(欢迎转发&点赞&在看):
抓包神器 Wireshark,帮你快速定位线上网络故障(1)
抓包神器 Wireshark,帮你快速定位线上网络故障(2)
真实|技术人员该如何接手一个复杂的系统?吐血推荐这几招
抓包神器 Wireshark,帮你快速定位线上网络故障(3)相关推荐
- 前端录屏+定位源码,帮你快速定位线上bug
前言 如何快速定位线上bug,是多数开发者都会遇到的难题 web-see 前端监控方案,提供了 前端录屏+定位源码 方式,让bug无处藏身 这是前端监控的第二篇,该篇讲解如何实现错误还原功能,第一篇 ...
- 关于fi dd ler 手机抓包 网卡地址地址_分布式场景下,网络故障排查抓包指南!...
点击上方☝SpringForAll社区 轻松关注! 及时获取有趣有料的技术文章 本文来源:http://r6a.cn/gLgP 本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 ...
- 抓包神器Wireshark
百度云盘:链接:https://pan.baidu.com/s/11b634VvKMIsGdahyBLpZ3Q 提取码:6666 百度云:链接:https://pan.baidu.com/s/1x3N ...
- 阿里问题定位神器 Arthas 操作实践,定位线上BUG,超给力
作者:kongwu- https://blog.csdn.net/qq826654664jx/a 背景 公司有个渠道系统,专门对接三方渠道使用,没有什么业务逻辑,主要是转换报文和参数校验之类的工作,起 ...
- 快速定位线上CPU100%原因
引言 最近项目部门反应有个系统特别卡顿,很多页面都打不开了,开发人员告诉我说最近没有进行代码升级,我登录到对应的服务器上执行了top命令,发现cpu飙升到100%,对于这种问题我们应该快速的定位到问题 ...
- 这么简单的抓包神器?15块钱?两块钱就搞定!
0x01 前 今天带各位来了解一下淘宝上卖15+的一个抓包神器,我们剖析一下这个工具. 这个工具的名称叫LAN Tap,是hack5的一个非常简单的开源硬件.别看他叫做神器,其实比之前我们做的BadU ...
- 视频教程-2019版抓包分析-Wireshark从入门到精通【进阶篇】-其他
2019版抓包分析-Wireshark从入门到精通[进阶篇] G-LAB IT实验室创始人.知名讲师.同时拿到路由交换.网络安全.数据中心3个方向的CCIE专家级别认证.教学风趣幽默,广受学员好评 郭 ...
- Charle抓包与wireshark使用
今天就来看一下Mac上如何进行抓包,之前有一篇文章介绍了使用Fidder进行抓包 http://blog.csdn.net/jiangwei0910410003/article/details/198 ...
- 四大网络抓包神器,总有一款适合你......
一.概述 无论是开发还是测试,在工作中经常会遇到需要抓包的时候.本篇博客主要介绍如何在各个平台下,高效的抓包.目前的抓包软件总体可以分为两类,一种是设置代理抓取http包,比如Charles.mitm ...
最新文章
- BZOJ1042 [HAOI2008]硬币购物
- numpy矩阵运算和常用函数
- 第3章 Python 数字图像处理(DIP) - 灰度变换与空间滤波15 - 锐化高通滤波器 -拉普拉斯核(二阶导数)
- 操作12864(ST7920控制器)
- jdeps_JDeps入门–分析项目的依赖关系
- java urlencode php_PHP如何使用urlencode()函数进行url编码?(代码示例)
- 制造行业质量追溯难,看看这些一流制造企业,都怎么做质量管理?
- sitescope 监控mysql_LoadRunner通过SiteScope监控MySQL的性能
- 基于spring-boot的社区社交微信小程序,适合做脚手架、二次开发
- python写日志到文件_python 通过logging写入日志到文件和控制台的实例
- 在ehlib的DBGridEh控件中使用过滤功能(可以不用 MemTableEh 控件 适用ehlib 5.2 ehlib 5.3)...
- php地图找房代码,vue-baidu-map简单实现地图找房
- 2022年高压电工考试题模拟考试平台操作
- php银联支付接口 demo,php版银联支付接口开发简明教程
- asp.net 获取网页源文件的方法
- java verbose gc_java –verbose:gc
- Hadoop Web 控制台安全认证
- Codeforces 106C Buns - 多重背包 - 二进制拆分
- paddle 基础函数 cosine_decay
- 测试管理办公室TMO职责