一些协议学习&wireshark使用复习与技巧总结

重新系统的学习一下wireshark的使用 和一些tip

tcp协议

简介

TCP/IP协议包含了一系列的协议,也叫TCP/IP协议族(TCP/IP Protocol Suite,或TCP/IP
Protocols),简称TCP/IP。TCP/IP协议族提供了点对点的连结机制,并且将传输数据帧的封装、寻址、传输、路由以及接收方式,都予以标准化。

TCP/IP协议的分层模型
在展开介绍TCP/IP协议之前,首先介绍一下七层ISO模型。国际标准化组织ISO为了使网络应用更为普及,推出了OSI参考模型,即开放式系统互联(Open System Interconnect)模型,一般都叫OSI参考模型。OSI参考模型是ISO组织在1985年发布的网络互连模型,其含义就是为所有公司使用一个统一的规范来控制网络,这样所有公司遵循相同的通信规范,网络就能互联互通了。

OSI模型的七层框架
OSI模型定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层),每一层实现各自的功能和协议,并完成与相邻层的接口通信。OSI模型各层的通信协议,大致举例如下表所示:

表:OSI模型各层的通信协议举例

应用层 HTTP、SMTP、SNMP、FTP、Telnet、SIP、SSH、NFS、RTSP、XMPP、Whois、ENRP、等等
表示层 XDR、ASN.1、SMB、AFP、NCP、等等
会话层 ASAP、SSH、RPC、NetBIOS、ASP、Winsock、BSD Sockets、等等
传输层 TCP、UDP、TLS、RTP、SCTP、SPX、ATP、IL、等等
网络层 IP、ICMP、IGMP、IPX、BGP、OSPF、RIP、IGRP、EIGRP、ARP、RARP、X.25、等等
数据链路层 以太网、令牌环、HDLC、帧中继、ISDN、ATM、IEEE 802.11、FDDI、PPP、等等
物理层 例如铜缆、网线、光缆、无线电等等

TCP/IP协议是Internet互联网最基本的协议,其在一定程度上参考了七层ISO模型。OSI模型共有七层,从下到上分别是物理层、数据链路层、网络层、运输层、会话层、表示层和应用层。但是这显然是有些复杂的,所以在TCP/IP协议中,七层被简化为了四个层次。TCP/IP模型中的各种协议,依其功能不同,被分别归属到这四层之中,常被视为是简化过后的七层OSI模型。

image-20220816154145886

根据抓包解释tcp协议

img

源端口号和目的端口号与udp中类似,用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接,在网络编程中,一般一个IP地址和一个端口号组合称为一个套接字(socket)。

序号:用来标识从TCP发端向TCP收端发送的数据字节流,它表示在这个报文段中的的第一个数据字节。在tcp中tcp用序号对每个字节进行计数(这个值与发送的帧数没有关系,而是与发送的数据字节数有关系,后面会有说明)。

确认序号:包含发送确认的一端所期望收到的下一个序号。因此,确认序号应当是上次已成功收到数据字节序号加 1(不是单纯的序号加1,还包括数据字节数)。
首部长度:用于记录tcp数据报首部的长度,一般为20字节,实际值为首部长度除以4。
URG: 紧急指针( urgent pointer)有效。
ACK: 确认序号有效。
PSH: 接收方应该尽快将这个报文段交给应用层。
RST: 重建连接。
SYN: 同步序号用来发起一个连接。
FIN: 发端完成发送任务。
窗口大小:用于流量控制。
检验和:检验和覆盖了整个的 TCP报文段: TCP首部和TCP数据,与udp相似需要计算伪首部。

image-20220816151441233

来解释一下这个包

name explanation
Source port 端口
Destination Port 目标端口
Sequence Number 序号
Ackonwledgment Number 确认序号
Header Length 头部长度
Flags 标志位
Windows 窗口大小
Checksum 校验和
Urgent Pointer 紧急指针
SEQ/ACK nanlysis 数据

TCP连接的建立

img

image-20220816155024805

如图所示 为tcp三次握手

TCP连接的释放

  当通信双方完成数据传输,需要进行TCP连接的释放,由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。因为正常关闭过程需要发送4个TCP帧,因此这个过程也叫作4次挥手。具体过程如下图:
img

图从百度搜的 有点糊

image-20220816161129684

但做的这题中包的顺序似乎不太一致

SMTP协议分析

SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了,整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器,用来发送或中转发出的电子邮件。SMTP
是一种TCP协议支持的提供可靠且有效电子邮件传输的应用层协议。

没什么太多要分析的 主要是状态码搞明白就很容易看懂了

https://blog.csdn.net/qq_35644234/article/details/68961603

Analysed Information

Expert Information

Clicking on Analyze –> Expert Information you will have an overview of what is happening in the packets analised:

image-20220816174653410

可以很直观的审视所有数据包

Resolved Addresses

Under Statistics –> Resolved Addresses you can find several information that was “resolved“ by wireshark like port/transport to protocol, mac to manufacturer… This is interesting to know what is implicated in the communication.

image-20220816175036341

Protocol Hierarchy

Under Statistics –> Protocol Hierarchy you can find the protocols involved in the communication and data about them.

image-20220816175150238

Conversations

Under Statistics –> Conversations you can find a summary of the conversations in the communication and data about them.

image-20220816184406176

Endpoints

Under Statistics –> Endpointsyou can find a summary of the endpoints in the communication and data about each of them.

image-20220816184507719

DNS info

Under Statistics –> DNS you can find statistics about the DNS request captured.

image-20220816184604945

I/O Graph

UnderStatistics –> I/O Graph you can find a graph of the communication.

Filters

Here you can find wireshark filter depending on the protocol: https://www.wireshark.org/docs/dfref/ Other interesting filters:

If you want to search for content inside the packets of the sessions CTRL+f __You can add new layers to the main information bar (No., Time, Source…) pressing right bottom and Edit Column

reference

https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/wireshark-tricks