Wireshark如何捕获网络流量数据包

导语：在本文中，您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到，Wireshark如何捕获不同的网络流量数据包，用于打开和关闭端口。

在本文中，您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到，Wireshark如何捕获不同的网络流量数据包，用于打开和关闭端口。

TCP扫描

Tcp扫描将像端口22.21.23.44等扫描TCP端口，并通过源端口和目的端口之间的三次握手连接确保监听端口（打开）。如果端口打开，则使用SYN数据包发送请求，响应目的地发送SYN，ACK数据包然后发送ACK数据包，最后源再次发送RST，ACK数据包。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -T -p 445 192.168.1.102

从给定的图像可以观察结果端口445是开放的。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序。

您会注意到它已经捕获了与上述相同的标志序列：

源发送SYN包到目的地

目的地发送SYN，ACK到源

源发送ACK包到目的地

源再次发送RST，ACK到目的地

我们来看一下关闭端口的网络流量。根据给定的图像，显示扫描端口是否关闭，则源和目的地之间将无法进行3路握手连接。

源发送SYN包，如果端口关闭，接收方将通过RST，ACK发送响应。

键入以下NMAP命令进行TCP扫描，然后启动Wireshark捕获发送的数据包。

nmap -T -p 3389 192.168.1.102

从给定的图像可以观察结果端口3389被关闭。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序。您会注意到它已经捕获了与上述相同的标志序列：

源发送SYN包到目的地

目的地发送RST，ACK包到源

隐形扫描

SYN扫描是默认和最受欢迎的扫描选项，有很好的理由。它可以快速执行，在不受限制性防火墙阻碍的快速网络上每秒扫描数千个端口。它也是相对典型和隐秘的，因为它从未完成TCP连接。如果接收到SYN数据包（没有ACK标志），端口也被视为打开。

这种技术通常被称为半开放扫描，因为您没有打开完整的TCP连接。您发送一个SYN数据包，就好像要打开一个真实的连接，然后等待响应。SYN，ACK表示端口正在侦听（打开）

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -sS -p 22 192.168.1.102

从给定的图像可以观察结果端口22是开放的。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送SYN数据包到目的地

目的地发送SYN，ACK数据包到源

源发送RST报文到目的地

现在，利用隐形扫描计算出关闭端口的流量。当源在特定端口发送SYN数据包时，如果端口关闭，则目的地将通过发送RST数据包进行回复。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -sS -p 3389 192.168.1.102

从给定的图像可以观察结果端口3389被关闭。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送SYN数据包到目的地

目的地发送RST，ACK包到目的地

碎片扫描

通常在数据传输完成后，FIN数据包终止源端和目标端口之间的TCP连接。代替SYN数据包，Nmap通过使用FIN数据包开始FIN扫描。如果端口打开，则通过源端口发送FIN数据包时，目的端口不会响应。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -F -p 22 192.168.1.102

从给定的图像可以观察结果端口22是开放的。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送FIN包到目的地

目的地不发送回复来源

类似地，如果针对任何关闭执行Fin扫描，则源端口将向特定端口发送FIN数据包，并且目的地将通过发送RST，ACK数据包进行回复。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -F -p 3389 192.168.1.102

从给定的图像可以观察结果端口3389是接近。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送SYN数据包到目的地

目的地发送RST报文到目的地

空扫

空扫描是一系列TCP数据包，保存序列号为“0”（0000000），并且由于没有设置任何标志，目的地将不知道如何回复请求。它将丢弃数据包，并且不会发送回复，这表示端口是打开的。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -sN -p 22 192.168.1.102

从给定的图像可以观察结果端口22是开放的。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送Null数据包到目的地

目的地不发送回复来源

如果端口关闭，则当源在特定端口发送空数据包时，目的地将发送RST，ACK数据包

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -F -p 3389 192.168.1.102

从给定的图像可以观察结果端口3389是接近。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送Null（无）数据包到目的地

目的地发送RST，ACK到源

UDP扫描

UDP扫描通过向每个目的端口发送UDP数据包来工作; 它是一个连接少协议。对于一些常见的端口如53和161，发送协议特定的有效载荷以增加响应速率，服务将使用UDP数据包进行响应，证明它是开放的。如果在重传后没有收到响应，则端口被分类为打开|过滤。这意味着端口可能是打开的，或者可能包过滤器阻塞通信。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -sU -p 161 192.168.1.119

从给定的图像可以观察结果端口161是开放的。

查看通过Wireshark捕获的源和目标之间的数据包传输顺序

源UDP发送到目的地址

目的地向源发送一些数据的UDP数据包

类似地，如果源端口发送UDP报文到目的端，则目的地发送回应ICMP报文端口不可达到适当的错误。

键入以下NMAP命令进行TCP扫描，然后启动Wireshark捕获发送的数据包。

nmap -sU -p 53 192.168.1.119

从给定的图像可以观察结果端口53是接近。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源UDP发送到目的地址

目的地发送ICMP报文端口不可达源

圣诞扫描

这些扫描被设计为操纵TCP标头的PSH，URG和FIN标志，设置FIN，PSH和URG标志，照亮数据包像圣诞树。当源将FIN，PUSH和URG数据包发送到特定端口时，如果端口打开，则目的地将丢弃数据包，不会对源发送任何回复。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

nmap -sX -p 22 192.168.1.102

从给定的图像可以观察结果端口22是开放的。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

来源将FIN，PUSH和URG数据包发送到目的地

目的地不发送回复来源

类似地，如果源将FIN，PUSH和URG数据包发送到特定端口，并且如果端口被关闭，则目的地将向源发送RST，ACK数据包。

键入以下NMAP命令进行TCP扫描，然后启动Wireshark捕获发送的数据包。

nmap -sX -p 3389 192.168.1.102

从给定的图像可以观察结果端口3389是接近。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

来源将FIN，PUSH和URG数据包发送到目的地

目的RST，ACK包到源