搜索
Wireshark抓包分析目录1.初步认识Wireshark3.Wireshark的使用2.Wireshark的安装4.结束语1.初步认识WiresharkWireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。wireshark2.Wireshark的安装注意事项:安装过程中注意选择安装winpcap第一步第二步第三步第四步1.启动wireshark后,选择工具栏中的快捷键(红色标记的按钮)即可Startanewlivecapture。2.主界面上也有一个interfacelist(如右图红色标记1),列出了系统中安装的网卡,选择其中一个可以接收数据的的网卡也可以开始抓包。3.抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框。3.Wireshark的使用3.抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框。Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。Limiteachpacket:限制每个包的大小,缺省情况不限制。Capturepacketsinpromiscuousmode:是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包。File:可输入文件名称将抓到的包写到指定的文件中。Useringbuffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。Updatelistofpacketsinrealtime:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。3.Wireshark的使用单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中,如下图所示:3.Wireshark的使用例如,在抓包之前,开启了QQ的视频聊天,因为QQ视频所使用的是UDP协议,所以抓取的包大部分是采用UDP协议的包。数据包列表协议树十六进制形式表示的数据包内容3.Wireshark的使用编号截取时间源地址目的地址使用的协议源端口目的端口3.Wireshark的使用网络上的数据流是字节流,对于一个多字节数值(比如十进制1014=0x03f6),在进行网络传输的时候,先传递哪个字节,即先传递高位“03”还是先传递低位“f6”。也就是说,当接收端收到第一个字节的时候,它是将这个字节作为高位还是低位来处理。协议树如上图所示,最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送002354c3…0003f6…接收时也按此顺序接收字节。选中totallength:1014,它的十六进制表示是0x03f6,从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),所以可知,网络字节序采用的是大端模式。3.Wireshark的使用打开WireShark,选择CaptureInterfaces,选择自己的网卡(物理网卡,如果装了,VM或是VPN软件,会产生很多虚拟网卡,但软件不使用时,流量是零)。选择Start开始监控流量。④HTTP协议分析。迅速打开一个网页,因为是在局域网环境下,ARP广播较多。然后选择StopTherunninglivecapture停止抓包。如下图:3.Wireshark的使用打开WireShark,选择CaptureInterfaces,选择自己的网卡(物理网卡,如果装了,VM或是VPN软件,会产生很多虚拟网卡,但软件不使用时,流量是零)。选择Start开始监控流量。1.HTTP协议分析。迅速打开一个网页,因为是在局域网环境下,ARP广播较多。然后选择StopTherunninglivecapture停止抓包。如下图:3.Wireshark的使用A.组播分析EthernetII帧Src:RealtekS_46:f2:4f(00:e0:4c:46:f2:4f),Dst:IPv4mcast_66:74:6e(01:00:5e:66:74:6e)。源地址RealtekS,目的地址IPv4mcast_66:74:6e。InternetProtocol(IP数据包),Src:10.1.10.154(10.1.10.154),Dst:225.102.116.110(225.102.116.110)这个不用说吧。UserDatagramProtocol(UDP数据包),SrcPort:irisa(11000),DstPort:irisa(11000)。组播分析3.Wireshark的使用B.ARP广播EthernetII帧Src:FujianSt_f8:ec:eb(00:d0:f8:f8:ec:eb)[锐捷网络的交换机,这里显示福建实达网络],Dst:Broadcast(ff:ff:ff:ff:ff:ff)AddressResolutionProtocol(request)(ARP数据包)SenderMACaddress:FujianSt_f8:ec:eb(00:d0:f8:f8:ec:eb)SenderIPaddress:10.1.10.254(10.1.10.254)TargetMACaddress:00:00:00_00:00:00(00:00:00:00:00:00)TargetIPaddress:10.1.10.135(10.1.10.135)ARP是一个三层的协议,直接跑在Frame之上ARP广播分析3.Wireshark的使用再次启动WireShark,打开cmd,ping[url][/url],抓包。D.PING[url][/url]【DNS和ICMP】DNS服务走的53端口UDPInternetProtocol,Src:192.168.175.5(192.168.175.5)【这是我们内部的DNS】,Dst:10.1.10.157(10.1.10.157)UserDatagramProtocol,SrcPort:domain(53),DstPort:59161(59161)[url][/url]查询的返回值[url][/url]:typeCNAME,classIN,cnameg.cng.cn:typeA,classIN,addr203.208.33.100g.cn:typeA,classIN,addr203.208.33.101而ICMP走的是IP协议。ping命令数据包分析4.结束语网络封包[1]分析软件的功能[1]可想像成电工技师使用电表来量测电流、电压、电阻的工作-只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一谢谢!