wireshark学习记录

Posted 2021-05-24 玛卡巴卡巴巴亚卡

一、DHCP协议

1、简介

给局域网自动分配IP地址。

（1）Discover：发现网络中的DHCP服务器。客户端以广播形式发送DHCP请求数据包。收到广播的DHCP服务器会发送响应，客户端就知道DHCP服务器的位置了。

（2）offer：DHCP服务器收到discover数据包，会分配IP地址和租约期限以及其他信息，发送给客户端。

（3）request：客户端选择一个offer，广播告诉其他DHCP服务器自己以及做出了选择。使用租约期过去一半时，客户端会向DHCP服务器发送单波request数据包延续租期。如果没有收到请求，在租约过去3/4时，发送广播延续租期。

（4）ACK：DHCP服务器收到request，查找是否有客户端MAC地址租约记录。如果有，则回应用户可以使用。

2、捕获DHCP

捕获时需要设置协议是UDP，因为DHCP是基于UDP协议的。

cmd使用ipconfig /release 和ipconfig /renew 来断开网卡和重新连接，就可以捕获到DHCP了。

由于包含了其他数据包，我们在filter中设置过滤条件是bootp

我们可以看到有discover，request，offer，ack数据包

 

二、DNS协议

1、概念

域名与IP地址的解析，运行在UDP上，端口是53，用C/S方式运行。

 

2、DNS数据包

客户机上捕获的数据包，只有请求和接收到域名解析的数据包

DNS服务器上能捕获递归查询的过程

 

3、DNS区域

 

三、HTTP

超文本传输协议。使用的请求——应答机制。

建立连接（TCP三次握手）——发送请求——发送应答——关闭连接（TCP四次握手）

打开wireshark，浏览网页，捕获筛选条件是http.request.method==GET的数据包，选择与之相关的着色，导出，得到如下数据包集合。

在这里可以看到请求的相关信息

服务器受到请求后，会发送一个ACK用于确认

数据传输时，wireshark中只会显示数据包为TCP分片

 

四、HTTPS

基于HTTP和SSL的安全的http传输。

SSLV3是SSL的升级版本，在没有密钥的情况下，wireshark中显示信息是加密的，无法看到具体的报文内容

点击编辑——>首选项——>协议——>SSL（有的版本只有TLS），导入RSA key，导入服务器证书，就会对捕获报文进行解析。

密钥只能在服务器导出

 

五、FTP

1、概念

文件传输协议，20或21端口

 

2、FTP数据包

使用明文传输