“黑客”必用兵器之“网络抓包工具”

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手，建立了连接。

ARP & ICMP：

开启Wireshark抓包。打开Windows控制台窗口，使用ping命令行工具查看与相邻机器的连接状况。

停止抓包之后，Wireshark如下图所示。ARP和ICMP报文相对较难辨认，创建只显示ARP或ICMP的过滤条件。

ARP报文：

地址解析协议，即ARP（Address Resolution Protocol），是根据获取的一个。其功能是：将ARP请求到网络上的所有主机，并接收返回消息，确定目标的物理地址，同时将IP地址和硬件地址存入本机ARP缓存中，下次请求时直接查询ARP缓存。

最初从PC发出的ARP请求确定IP地址192.168.1.1的MAC地址，并从相邻系统收到ARP回复。ARP请求之后，会看到ICMP报文。

ICMP报文：

网络控制消息协定（Internet Control Message Protocol，ICMP）用于网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，令管理者可以对所发生的问题作出诊断，然后采取适当的措施解决。

PC发送echo请求，收到echo回复如上图所示。ping报文被mark成Type 8，回复报文mark成Type 0。

如果多次ping同一系统，在PC上删除ARP cache，使用如下ARP命令之后，会产生一个新的ARP请求。

HTTP：

HTTP协议是目前使用最广泛的一种基础协议，这得益于目前很多应用都基于WEB方式，实现容易，软件开发部署也简单，无需额外的客户端，使用浏览器即可使用。这一过程开始于请求服务器传送网络文件。

从上图可见报文中包括一个GET命令，当HTTP发送初始GET命令之后，TCP继续数据传输过程，接下来的链接过程中HTTP会从服务器请求数据并使用TCP将数据传回客户端。传送数据之前，服务器通过发送HTTP OK消息告知客户端请求有效。如果服务器没有将目标发送给客户端的许可，将会返回403 Forbidden。如果服务器找不到客户端所请求的目标，会返回404。

如果没有更多数据，连接可被终止，类似于TCP三次握手信号的SYN和ACK报文，这里发送的是FIN和ACK报文。当服务器结束传送数据，就发送FIN/ACK给客户端，此报文表示结束连接。接下来客户端返回ACK报文并且对FIN/ACK中的序列号加1。这就从服务器端终止了通信。要结束这一过程客户端必须重新对服务器端发起这一过程。必须在客户端和服务器端都发起并确认FIN/ACK过程。

今天的文章目的主要是让大家了解网络抓包的工作过程，如何去使用它，帮助我们分析判断网络故障，查询网络漏洞，维护网络安全，更好的学习网络原理。近期我会通过头条平台发布个人关于信息安全知识讲解的课程，小伙伴们可以时刻关注哦！！！

【编辑推荐】

1. 新手的七大实用网络安全工具【网络安全攻防新手必备】
2. 保护Docker和Kubernetes的7个容器安全工具
3. 2019年顶级应用安全工具
4. 安全 | 2019年九大网络安全发展趋势预测
5. 网络钓鱼泛滥，这次轮到谷歌文档

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!