Wireshark网络分析笔记
Wireshark简介
Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。
它使用WinPCAP作为接口,直接与网卡进行数据报文交换。
[https://www.wireshark.org]
分析网络协议
Windows平台:ping 8.8.8.8 -t
指定包长度:ping -l 1472 8.8.8.8 -t
ping www.baidu.com -t
启动Wireshark网络抓包
ICMP协议
[https://zhuanlan.zhihu.com/p/360850424]
网络上的报文并不总是能顺利地传送并被接收,有时可能由于网关MTU太小而报文不允许分片造成报文不能被网关转发,有时可能由于TTL值减小到0而不能继续发送或接收,也有可能由于报文头参数有问题而不能被接收者接收,这些问题,并不能简单地丢弃处理。如果你丢弃了又不告诉源主机,源主机会认为它发送成功了,这样会造成通信双方信息不同步,进而造成更大的故障。所以,在丢弃报文的同时,还必须告知源主机丢弃的原因,就是通过ICMP报文携带相关信息.
ICMP:Internet Control Message Protocol,它位于网络层,是IP层的一个组成部分,主要用来传递差错报文以及其他需要注意的信息.
ipv4网络主要是ICMPv4,其他还有ICMPv6.
ICMP报文结构:
| macHeader | ipHeader | icmp |
|---|---|---|
| mac头 | ip头 | icmp内容 |
ICMP报文类型:
| ICMP Echo Request/Response | ICMP目的不可达消息 | ICMP重定向消息 | ICMP超时消息 | ICMP参数问题消息 | ICMP源端被关闭消息 |
|---|---|---|---|---|---|
| 用于检测IP网络连通性的Ping/Tracert,就是我们在cmd窗口中ping的操作 | 由于路由设备的MTU太小而需要分片,然而IP报文DF标志位不允许,造成无法转发,此时路由会丢弃报文并同时向源主机发送一条ICMP目的不可达消息 | 在特定的情况下,当路由器检测到一台主机或网络设备使用非优化路由的时候,它会向该主机或网络设备发送一个ICMP重定向报文,请求主机或网络设备改变路由。路由器也会把初始数据报向它的目的地转发 | 当收到TTL为0的报文时,网络设备/主机会丢弃该报文,并返回一个ICMP超时报文 | 如果发现接收的数据包存在报文头参数有问题,无法完成数据包解析时,网络/主机会将数据包丢弃,并可能会返回一个ICMP参数问题消息给源端 | 用于表示对方或中途的服务器繁忙无法回应 |
DNS协议
DNS(Domain Names System),域名系统,是互联网一项服务,是进行域名和与之相对应的 IP 地址进行转换的服务器
DNS有两种查询方式:递归查询和迭代查询
DNS报文结构:
| Header | Question | Answer | Authority | Additional |
|---|---|---|---|---|
| 报文头 | 查询的问题 | 应答 | 授权应答 | 附加信息 |
MTU最大传输单元
MTU(Maximum Transmission Unit)即最大传输单元,用来通知对方所能接受数据服务单元的最大尺寸,说明发送方能够接受的有效载荷大小。
MTU是包或帧的最大长度,一般以字节记,如果过大,在碰到路由器时会被拒绝转发,如果太小,因为协议一定要在包(或帧)上加上包头,那实际传送的数据量就会过小。
数据包大小计算
[https://www.cnblogs.com/sudochen/p/15931027.html]
在应用程序中我们用到的Data的长度最大是多少,直接取决于底层的限制。
我们从下到上分析一下:
1.在链路层,由以太网的物理特性决定了数据帧的长度为(46+18)-(1500+18),其中的18是数据帧的头和尾,也就是说数据帧的内容最大为1500(不包括帧头和帧尾),即MTU(Maximum Transmission Unit)为1500;
2.在网络层,因为IP包的首部要占用20字节,所以这的MTU为1500-20=1480;
3.在传输层,对于UDP包的首部要占用8字节,所以这的MTU为1480-8=1472;
所以,在应用层,你的Data最大长度为1472。 (当我们的UDP包中的数据多于MTU(1472)时,发送方的IP层需要分片fragmentation进行传输,而在接收方IP层则需要进行数据报重组,由于UDP是不可靠的传输协议,如果分片丢失导致重组失败,将导致UDP数据包被丢弃)。
从上面的分析来看,在普通的局域网环境下,UDP的数据最大为1472字节最好(避免分片重组)。
但在网络编程中,Internet中的路由器可能有设置成不同的值(小于默认值),Internet上的标准MTU值为576,所以Internet的UDP编程时数据长度最好在576-20-8=548字节以内。
抓包分析
- 8.8.8.8(DNS服务器)
[https://blog.csdn.net/weixin_47627078/article/details/122418744]
直接ping 8.8.8.8是使用ICMP协议,即使8.8.8.8是一台DNS服务器。
我们简单理解DNS功能是把域名转成IP地址,我们先发送一个DNS请求数据包到本地域名服务器去找,找不到我们就去根域名服务器去找,根域名找不到我们再把顶级域名服务器地址回复给本地域名服务器,然后本地域名服务器到顶级域名服务器去查询,如果依然找不到,同理,再到权限域名服务器去找.
我们没有访问一个域名,所以没有使用到DNS协议。
正常使用32字节的包:
使用1472字节数据包:
ping不通,访问拒绝。原因:Wireshark显示数据包实际为1514字节,大于MTU=1500,产生IP分片,被谷歌安全防护阻断相关报文。
包长度:1472+14+20+8=1514,其中1472字节为原始数据,14字节为以太头,20字节为IP包首部,8字节为UDP包首部。
0000 50 eb f6 09 c2 20 54 e1 ad e4 79 0b 08 00 45 00 P.... T...y...E.
0010 05 dc 83 e0 00 00 40 01 00 00 c0 a8 32 3a 08 08 ......@.....2:..
0020 08 08 08 00 3f f3 00 01 00 54 61 62 63 64 65 66 ....?....Tabcdef
0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmnopqrstuv
0040 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f wabcdefghijklmno
0050 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 pqrstuvwabcdefgh
0060 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 ijklmnopqrstuvwa
0070 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 bcdefghijklmnopq
0080 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a rstuvwabcdefghij
0090 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 klmnopqrstuvwabc
00a0 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 defghijklmnopqrs
00b0 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c tuvwabcdefghijkl
00c0 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 mnopqrstuvwabcde
00d0 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00e0 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e vwabcdefghijklmn
00f0 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 opqrstuvwabcdefg
0100 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 hijklmnopqrstuvw
0110 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 abcdefghijklmnop
0120 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
0130 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 jklmnopqrstuvwab
0140 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 cdefghijklmnopqr
0150 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b stuvwabcdefghijk
0160 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 lmnopqrstuvwabcd
0170 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 efghijklmnopqrst
0180 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d uvwabcdefghijklm
0190 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 nopqrstuvwabcdef
01a0 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmnopqrstuv
01b0 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f wabcdefghijklmno
01c0 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 pqrstuvwabcdefgh
01d0 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 ijklmnopqrstuvwa
01e0 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 bcdefghijklmnopq
01f0 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a rstuvwabcdefghij
0200 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 klmnopqrstuvwabc
0210 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 defghijklmnopqrs
0220 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c tuvwabcdefghijkl
0230 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 mnopqrstuvwabcde
0240 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
0250 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e vwabcdefghijklmn
0260 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 opqrstuvwabcdefg
0270 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 hijklmnopqrstuvw
0280 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 abcdefghijklmnop
0290 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
02a0 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 jklmnopqrstuvwab
02b0 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 cdefghijklmnopqr
02c0 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b stuvwabcdefghijk
02d0 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 lmnopqrstuvwabcd
02e0 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 efghijklmnopqrst
02f0 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d uvwabcdefghijklm
0300 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 nopqrstuvwabcdef
0310 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmnopqrstuv
0320 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f wabcdefghijklmno
0330 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 pqrstuvwabcdefgh
0340 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 ijklmnopqrstuvwa
0350 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 bcdefghijklmnopq
0360 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a rstuvwabcdefghij
0370 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 klmnopqrstuvwabc
0380 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 defghijklmnopqrs
0390 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c tuvwabcdefghijkl
03a0 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 mnopqrstuvwabcde
03b0 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
03c0 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e vwabcdefghijklmn
03d0 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 opqrstuvwabcdefg
03e0 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 hijklmnopqrstuvw
03f0 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 abcdefghijklmnop
0400 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
0410 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 jklmnopqrstuvwab
0420 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 cdefghijklmnopqr
0430 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b stuvwabcdefghijk
0440 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 lmnopqrstuvwabcd
0450 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 efghijklmnopqrst
0460 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d uvwabcdefghijklm
0470 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 nopqrstuvwabcdef
0480 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmnopqrstuv
0490 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f wabcdefghijklmno
04a0 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 pqrstuvwabcdefgh
04b0 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 ijklmnopqrstuvwa
04c0 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 bcdefghijklmnopq
04d0 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a rstuvwabcdefghij
04e0 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 klmnopqrstuvwabc
04f0 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 defghijklmnopqrs
0500 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c tuvwabcdefghijkl
0510 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 mnopqrstuvwabcde
0520 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
0530 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e vwabcdefghijklmn
0540 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 opqrstuvwabcdefg
0550 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 hijklmnopqrstuvw
0560 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 abcdefghijklmnop
0570 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
0580 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 jklmnopqrstuvwab
0590 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 cdefghijklmnopqr
05a0 73 74 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b stuvwabcdefghijk
05b0 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 lmnopqrstuvwabcd
05c0 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 efghijklmnopqrst
05d0 75 76 77 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d uvwabcdefghijklm
05e0 6e 6f 70 71 72 73 74 75 76 77 nopqrstuvw
- www.baidu.com
DNS协议询问了114.114.114.114
可以看到应答中给了www.baidu.com的www.a.shifen.com服务器地址。
[https://www.zhihu.com/question/20100901/answer/13975433]
其实http://www.a.shifen.com只是一个CNAME别名记录,用于多线智能解析的,百度为了每条线路(电信、联通/网通、移动等)上的用户都能最快访问站点,所以用了别名记录。 ping http://baidu.com之所以不出现http😕/www.a.shifen.com,这是因为根域名http://baidu.com(就是前面什么都不加就是http://baidu.com)这种域名一般情况下是不能做cname解析的(除了DNSPOD收费会员还有其他DNS商可以),只能用A记录,况且只要做个跳转,效果上没什么差别
但是www.a.shifen.com是不能直接访问的,
[https://blog.csdn.net/Wu_Roc/article/details/77168426]
我们会发现浏览器无法直接访问www.a.shifen.com,但是我们却可以访问www.baidu.com,可他们俩解析出来的地址应该是一样的啊。这是因为http请求的时候,会把请求的url写入请求头,服务器会拒绝带www.a.shifen.com域名的请求
