摘要：網(wǎng)絡(luò)協(xié)議分析基于的協(xié)議分析關(guān)于是一款由開發(fā)的免費調(diào)試代理軟件，有和兩種版本?；诘膮f(xié)議深入分析關(guān)于前稱是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。

網(wǎng)絡(luò)協(xié)議分析

關(guān)于Fiddler：
???? Fiddler是一款由C#開發(fā)的免費http調(diào)試代理軟件，有.net 2和.net 4兩種版本。Fiddler能夠記錄所有的電腦和互聯(lián)網(wǎng)之間的http通訊，F(xiàn)iddler 可以也可以檢查所有的http通訊，設(shè)置斷點，以及Fiddle 所有的“進出”的數(shù)據(jù)。

優(yōu)點：

>a.Firebug雖然可以抓包，但是對于分析http請求的詳細信息，不夠強大。模擬http請求的功能也不夠，且firebug常常是需要“無刷新修改”，如果刷新了頁面，所有的修改都不會保存；
>b.Wireshark是通用的抓包工具，但是比較龐大，對于只需要抓取http請求的應(yīng)用來說，似乎有些大材小用。且Wireshark無法解密HTTPS故而選擇使用fiddler來對HTTP協(xié)議進行分析；
>c.Httpwatch也是比較常用的http抓包工具，但是只支持IE和firefox瀏覽器（其他瀏覽器可能會有相應(yīng)的插件），對于想要調(diào)試chrome瀏覽器的http請求，似乎稍顯無力，而Fiddler2 是一個使用本地 127.0.0.1:8888 的 HTTP 代理，任何能夠設(shè)置 HTTP 代理為 127.0.0.1:8888 的瀏覽器和應(yīng)用程序都可以使用 Fiddler。

這里為體現(xiàn)個人特色，選擇在本地服務(wù)器運行觀察抓包結(jié)果，如圖：

????實際上，Wireshark抓不到本地服務(wù)器發(fā)送報文，這也是Fiddler更利于開發(fā)調(diào)試的原因之一。
HTTP協(xié)議分析（1）：由于之前本地測試過，所以第一次抓到的包返回的狀態(tài)碼是304，清除緩存后變?yōu)檎５?00，圖中我們可以看到返回的數(shù)據(jù)：“譚繼臻FiddlerHTTP協(xié)議測試”，這里我們通過請求頭報文可以看到請求站點（localhost:81）,請求方式（XMLHttpReQuest）等信息。由于Fiddler只能抓到HTTP/HTTPS的包，關(guān)于HTTP協(xié)議的深入分析我們使用Wireshark進行。、

關(guān)于Wireshark：
????Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。
優(yōu)點：

>a.使用操作非常簡單，對于初級和中級網(wǎng)絡(luò)學(xué)習(xí)者來說是一款完美的抓包軟件。
>b.有很多小工具和小技巧可以幫助我們更快更好的了解網(wǎng)絡(luò)，例如filter，expression，statistics等等。
>c.界面設(shè)計很簡潔，給使用者一種非常清新的感覺。
>d.與Fiddler相比可抓取的包更廣，更多，并且軟件開源，用著放心。

實例分析TCP三次握手過程：

這里我們打開嗶哩嗶哩網(wǎng)站首頁觀察抓包情況（http://www.bilibili.com/）；

第一次握手?jǐn)?shù)據(jù)包?

????客戶端發(fā)送一個TCP，標(biāo)志位為SYN，序列號為0，?代表客戶端請求建立連接。如下圖：

第二次握手的數(shù)據(jù)包
?

????服務(wù)器發(fā)回確認(rèn)包,?標(biāo)志位為?SYN,ACK.?將確認(rèn)序號(Acknowledgement?Number)設(shè)置為客戶的I?S?N加1以.即0+1=1,?如下圖：

第三次握手的數(shù)據(jù)包

????客戶端再次發(fā)送確認(rèn)包(ACK)?SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN的+1,如下圖：

????就這樣通過了TCP三次握手，建立了連接,三次握手基本結(jié)束，開始真正的數(shù)據(jù)傳送階段：
建立了三次握手后，我們就開始利用這個鏈接來傳送信息了。下面我們看看經(jīng)過三次握手后的第四個TCP報文段。這是服務(wù)器返回來的報文段：

我們驚奇的發(fā)現(xiàn)服務(wù)器返回了ack=557，即請求第557Byte的數(shù)據(jù)，而這557Bytes是什么時候發(fā)出去的呢，我們想到了在第三次握手的時候，客戶端發(fā)送的TCP是能夠攜帶數(shù)據(jù)的。怎么驗證是否攜帶了557Bytes數(shù)據(jù)呢，我們想到了HTTP協(xié)議封裝的報文，我們來驗證一下是否是557Bytes，打開HTTP協(xié)議如下:

我們看到，HTTP協(xié)議封裝的報文，長度為Bytes?in?flight：556。表示已經(jīng)發(fā)送了557Bytes，所以，服務(wù)器理應(yīng)返回一個ack=554的確認(rèn)，以表示接收到了556Bytes以前的數(shù)據(jù)，希望接受557bytes以及以后的數(shù)據(jù)。而上面的第四個報文也正是這么做的。?
服務(wù)端返回了ack=557之后，服務(wù)端沒有繼續(xù)停下，而是繼續(xù)向客戶端發(fā)送了兩個報文段。我們來看下第五、六個報文段:

第五個報文段發(fā)送了seq=557，ack=1203告訴服務(wù)端，請求你的1203數(shù)據(jù)，我這是第557個數(shù)據(jù)。發(fā)完后服務(wù)端又發(fā)送了第六個報文，如下:

????服務(wù)端發(fā)送了seq=1113，ack=2400，這表示：我請求第2400Bytes，這是我的第1113Bytes,這個報文之后，服務(wù)端會繼續(xù)給客戶端傳送數(shù)據(jù)，這里就不一一列出了。

斷開連接：
斷開連接時，要發(fā)送FIN=1，并且對方要回復(fù)ACK=1。我們來看下截取的報文段。

我們看到FIN=1。

返回了ACK=1，結(jié)束連接。

????到這里HTTP協(xié)議就算分析結(jié)束了，我們可以看到HTTP傳輸數(shù)據(jù)確實是靠TCP協(xié)議來完成的，由于嗶哩嗶哩網(wǎng)站內(nèi)容很多，所以看起來很亂...這點沒有考慮周全。

在顯示篩選編輯框中輸入“arp”，回車，分組列表窗口將只顯示ARP消息。點擊第一行查看具體數(shù)據(jù)：

可以看出硬件類型（hardware?type）是以太網(wǎng)（1），協(xié)議類型（protocol??type）為0x0800，表示使用ARP的協(xié)議類型為IPV4。硬件地址長度（hardware?size）為6。協(xié)議地址長度（protocol?size）為4。
發(fā)送方硬件地址（sender??MAC??address）：bc:30:7d:97:c8:08?
發(fā)送方協(xié)議地址（Sender?IP?address）：192.168.1.5
目的硬件地址（target?MAC?address）為00:00:00:00:00:00，表示是廣播地址。?
目的協(xié)議地址（target?IP?address）為192.168.1.1，定義目的設(shè)備的協(xié)議地址。

????在cmder(也可以是一般的命令行窗口)中以www.damonare.cn(個人網(wǎng)站)為目標(biāo)主機，在命令行窗口執(zhí)行Ping命令，要求ping通10次；

停止截獲報文，抓包結(jié)果:（只顯示ping的數(shù)據(jù)包）
在顯示篩選編輯框中輸入“icmpv6”，回車，分組列表窗口將只顯示icmp消息。點擊第一行查看具體數(shù)據(jù)：

在顯示篩選編輯框中輸入“ip”，回車，分組列表窗口將只顯示IP消息。選取一個有IP協(xié)議的數(shù)據(jù)報：