以前在學校的作業,紀錄一下...
----------TCP 3 way handshake-------------------------
以sniffer為例
1.Monitor->Define Filter
選第二個Address
Address Type: IP
Mode: Include
Station 1: 自己的ip ex:163.18.22.147
Dir.: <->
Station 2: 對方的ip ex:163.18.22.3
<確定>
2.Monitor->Select Filter
選擇你剛剛設定的Filter
<確定>
3.Capture->Start
打開瀏覽器去連往 http://163.18.22.3
or telnet 163.18.22.3
4.Capture->Stop and Display
跳出一表單,底層有個Decode
按一下就能看到封包內容!!
沒意外的話前三個就是tcp 3-way handshake!!
判別方法:
前兩個封包內有SYN的字元
然後,後一個封包的ACK的值是前一個封包的SEQ的值+1
----------------ICMP-------------------------------------
將步驟3改成:
3.Capture->Start
執行ping 對方的電腦ip ex:163.18.22.3
觀察結果:
封包上有顯示
ICMP : Echo
ICMP : Echo reply
----------------ARP---------------------------------------
首先先取得自己電腦的MAC Address
在dos模式下,打ipconfig /all
查詢自己的 physical address
之後ping broadcast ex:ping 163.18.22.255
之後打arp -a
選一個你喜歡的主機,記下MAC address
以163.18.22.3為例 00-a0-cc-66-26-03
開始之前的步驟:
修改步驟1.
Address Type : 改成Hardware
自己主機和對方主機的位置改成MAC Address
ex: 自己的MAC Address <-> 00a0cc662603 (要把"-"拿掉)
修改步驟3.
先清掉ARP Table 打 arp -d
然後ping那台主機或是ping broadcast ex:163.18.22.255
之後都一樣!!
封包上會有兩個封包有包含 ARP:C 和ARP:R
就表示有抓到...
沒有留言:
張貼留言