Wireshark如何捕獲網絡流量資料包

本文講的是<b>Wireshark如何捕獲網絡流量資料包</b>，在本文中，您将學習使用Wireshark捕獲攻擊者使用NMAP掃描時的網絡資料包。這裡您會注意到，Wireshark如何捕獲不同的網絡流量資料包，用于打開和關閉端口。

TCP掃描

Tcp掃描将像端口22.21.23.44等掃描TCP端口，并通過源端口和目的端口之間的三次握手連接配接確定監聽端口（打開）。如果端口打開，則使用SYN資料包發送請求，響應目的地發送SYN，ACK資料包然後發送ACK資料包，最後源再次發送RST，ACK資料包。

鍵入以下NMAP指令進行TCP掃描，然後啟動wireshark捕獲發送的資料包。

從給定的圖像可以觀察結果端口445是開放的。

檢視通過wireshark捕獲的源和目的地之間的資料包傳輸順序。

您會注意到它已經捕獲了與上述相同的标志序列：

· 源發送SYN包到目的地

· 目的地發送SYN，ACK到源

· 源發送ACK包到目的地

· 源再次發送RST，ACK到目的地

我們來看一下關閉端口的網絡流量。根據給定的圖像，顯示掃描端口是否關閉，則源和目的地之間将無法進行3路握手連接配接。

源發送SYN包，如果端口關閉，接收方将通過RST，ACK發送響應。

鍵入以下NMAP指令進行TCP掃描，然後啟動Wireshark捕獲發送的資料包。

從給定的圖像可以觀察結果端口3389被關閉。

檢視通過wireshark捕獲的源和目的地之間的資料包傳輸順序。您會注意到它已經捕獲了與上述相同的标志序列：

源發送SYN包到目的地

目的地發送RST，ACK包到源

隐形掃描

SYN掃描是預設和最受歡迎的掃描選項，有很好的理由。它可以快速執行，在不受限制性防火牆阻礙的快速網絡上每秒掃描數千個端口。它也是相對典型和隐秘的，因為它從未完成TCP連接配接。如果接收到SYN資料包（沒有ACK标志），端口也被視為打開。

這種技術通常被稱為半開放掃描，因為您沒有打開完整的TCP連接配接。您發送一個SYN資料包，就好像要打開一個真實的連接配接，然後等待響應。SYN，ACK表示端口正在偵聽（打開）

從給定的圖像可以觀察結果端口22是開放的。

檢視通過wireshark捕獲的源和目的地之間的資料包傳輸順序

源發送SYN資料包到目的地

目的地發送SYN，ACK資料包到源

源發送RST封包到目的地

現在，利用隐形掃描計算出關閉端口的流量。當源在特定端口發送SYN資料包時，如果端口關閉，則目的地将通過發送RST資料包進行回複。

目的地發送RST，ACK包到目的地

碎片掃描

通常在資料傳輸完成後，FIN資料包終止源端和目标端口之間的TCP連接配接。代替SYN資料包，Nmap通過使用FIN資料包開始FIN掃描。如果端口打開，則通過源端口發送FIN資料包時，目的端口不會響應。

· 源發送FIN包到目的地

· 目的地不發送回複來源

類似地，如果針對任何關閉執行Fin掃描，則源端口将向特定端口發送FIN資料包，并且目的地将通過發送RST，ACK資料包進行回複。

從給定的圖像可以觀察結果端口3389是接近。

· 源發送SYN資料包到目的地

· 目的地發送RST封包到目的地

空掃

空掃描是一系列TCP資料包，儲存序列号為“0”（0000000），并且由于沒有設定任何标志，目的地将不知道如何回複請求。它将丢棄資料包，并且不會發送回複，這表示端口是打開的。

· 源發送Null資料包到目的地

如果端口關閉，則當源在特定端口發送空資料包時，目的地将發送RST，ACK資料包

· 源發送Null（無）資料包到目的地

· 目的地發送RST，ACK到源

UDP掃描

UDP掃描通過向每個目的端口發送UDP資料包來工作; 它是一個連接配接少協定。對于一些常見的端口如53和161，發送協定特定的有效載荷以增加響應速率，服務将使用UDP資料包進行響應，證明它是開放的。如果在重傳後沒有收到響應，則端口被分類為打開|過濾。這意味着端口可能是打開的，或者可能包過濾器阻塞通信。

從給定的圖像可以觀察結果端口161是開放的。

檢視通過Wireshark捕獲的源和目标之間的資料包傳輸順序

· 源UDP發送到目的位址

· 目的地向源發送一些資料的UDP資料包

類似地，如果源端口發送UDP封包到目的端，則目的地發送回應ICMP封包端口不可達到适當的錯誤。

從給定的圖像可以觀察結果端口53是接近。

· 目的地發送ICMP封包端口不可達源

聖誕掃描

這些掃描被設計為操縱TCP标頭的PSH，URG和FIN标志，設定FIN，PSH和URG标志，照亮資料包像聖誕樹。當源将FIN，PUSH和URG資料包發送到特定端口時，如果端口打開，則目的地将丢棄資料包，不會對源發送任何回複。

· 來源将FIN，PUSH和URG資料包發送到目的地

類似地，如果源将FIN，PUSH和URG資料包發送到特定端口，并且如果端口被關閉，則目的地将向源發送RST，ACK資料包。

· 目的RST，ACK包到源

原文釋出時間為：2017年8月30日

本文作者：愣娃

本文來自雲栖社群合作夥伴嘶吼，了解相關資訊可以關注嘶吼網站。

<a href="http://www.4hou.com/web/7465.html" target="_blank">原文連結</a>