抓包軟件的使用

1、 抓包軟件的使用 課程內(nèi)容課程內(nèi)容 概述概述 使用須知使用須知 軟件使用軟件使用 實(shí)用案例實(shí)用案例 本章小結(jié)本章小結(jié) 概述概述 為什么要使用抓包軟件？為什么要使用抓包軟件？ 在網(wǎng)絡(luò)出現(xiàn)故障時(shí)，通常會(huì)檢查網(wǎng)絡(luò)設(shè)備的狀態(tài)如： 配置是否正確、協(xié)議運(yùn)行是否正常、數(shù)據(jù)幀/包的發(fā) 送和接收是否有異常等等。使用show/debug即可 但對(duì)于網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)的具體狀況，show 和debug則無(wú)能為力 在實(shí)際網(wǎng)絡(luò)中，互聯(lián)的設(shè)備通常屬于不同的廠家或 者部門(mén)，對(duì)方設(shè)備通常不會(huì)開(kāi)放權(quán)限 此外，使用抓包軟件可以使我們更好的學(xué)習(xí)和理解 各種協(xié)議、功能 概述概述 常見(jiàn)的抓包軟件有哪些？常見(jiàn)的抓包軟件有哪些？ sni

2、ffer etherpeek tcpdump ethereal/wiresharkwireshark 概述概述 wiresharkwireshark的主要特點(diǎn)的主要特點(diǎn) 軟件開(kāi)源，沒(méi)有版權(quán)問(wèn)題 捕獲信息實(shí)施查看 儲(chǔ)存捕獲信息靈活，不受存儲(chǔ)容量限制等 支持協(xié)議豐富，可兼容其他常見(jiàn)的抓包軟件格式 課程內(nèi)容課程內(nèi)容 概述概述 使用須知使用須知 軟件使用軟件使用 實(shí)用案例實(shí)用案例 本章小結(jié)本章小結(jié) 使用須知使用須知 軟件的獲取軟件的獲取 wireshark軟件請(qǐng)自行去官方網(wǎng)站下載并安裝 （ ），目前最新的版本是 v0.99.7。 由于安裝過(guò)程非常簡(jiǎn)單，此處就不在贅述

3、。 使用須知使用須知 需要硬件支持需要硬件支持 wireshark本身可以支持的協(xié)議種類(lèi)非常豐富，但 由于常見(jiàn)的pc工作平臺(tái)只有以太網(wǎng)接口，導(dǎo)致我們 只能捕獲并分析以太網(wǎng)環(huán)境中的相關(guān)信息 wireshark等抓包軟件捕獲的內(nèi)容，只是經(jīng)過(guò)指定 以太網(wǎng)接口的數(shù)據(jù)信息 常見(jiàn)的以太網(wǎng)組網(wǎng)設(shè)備有hub和switch等兩種，使 用時(shí)有所不同。 使用須知使用須知 需要硬件支持（續(xù)）需要硬件支持（續(xù)） hubhub 由于其工作原理為“廣播”。所以，wireshark主 機(jī)只要連接到同一個(gè)hub（沖突域）中，就能獲 取到所有的網(wǎng)絡(luò)信息。 在hub組網(wǎng)時(shí)，wireshark不僅能夠捕獲到自己網(wǎng) 卡上的數(shù)據(jù)收發(fā)情況

4、，而且同時(shí)能捕獲到其他主 機(jī)之間的通信狀況 使用須知使用須知 需要硬件支持（續(xù)）需要硬件支持（續(xù)） switchswitch 由于switch是一種帶寬獨(dú)享的設(shè)備，圖中pc1與 pc2的數(shù)據(jù)交互，除“廣播信息”外，不會(huì)發(fā)送 到wireshark主機(jī)。此時(shí)，wireshark主機(jī)只能捕 獲到自己網(wǎng)卡上的數(shù)據(jù)收發(fā) 使用須知使用須知 需要硬件支持（續(xù)）需要硬件支持（續(xù)） 按需使用按需使用 目前以太網(wǎng)組網(wǎng)幾乎已經(jīng)清一色的變成交換機(jī)， 如果此時(shí)如果要使用wireshark來(lái)捕獲其他主機(jī)之 間的通信，必須對(duì)交換機(jī)進(jìn)行配置，使得正常通 信的端口之間數(shù)據(jù)也能“復(fù)制”到捕獲端口 如果局域網(wǎng)是由hub組成的，那使

5、用起來(lái)就比較 簡(jiǎn)單。但需要注意的是：由于傳統(tǒng)的hub端口帶 寬多為10m，如果以太網(wǎng)數(shù)據(jù)流量較大，請(qǐng)慎用， 以免對(duì)網(wǎng)絡(luò)造成影響 使用須知使用須知 端口鏡像端口鏡像 mirrormirror 這是一個(gè)交換機(jī)監(jiān)控、管理中常用的一個(gè)功能。 需要指定源端口和目的端口，源端口所有的收/發(fā) 信息都會(huì)被復(fù)制到目的端口。 mirror sessionmirror session 1 1 source interfacesource interface both | tx | rx mirror session 1 destination interface mirror session 1 destinati

6、on interface * * *被鏡像端口可以同時(shí)指定多個(gè) 使用須知使用須知 端口鏡像（續(xù)）端口鏡像（續(xù)） show mirror sessionshow mirror session 課程內(nèi)容課程內(nèi)容 概述概述 使用須知使用須知 軟件使用軟件使用 實(shí)用案例實(shí)用案例 本章小結(jié)本章小結(jié) 軟件使用軟件使用 軟件使用軟件使用 wireshark的軟件功能是非常強(qiáng)大的，所有的功 能細(xì)節(jié)有成百上千，但我們常用的功能無(wú)外乎如 下幾種： 捕獲捕獲 查看查看 過(guò)濾過(guò)濾 編輯編輯 軟件使用軟件使用 軟件使用捕獲軟件使用捕獲 wireshark開(kāi)始捕獲前需要進(jìn)行必要的設(shè)置： 1、captureinterfac

7、e中指定相應(yīng)的網(wǎng)卡 2、同時(shí)也可以進(jìn)入options選項(xiàng)中自定義參數(shù) 軟件使用軟件使用 軟件使用捕獲（續(xù)）軟件使用捕獲（續(xù)） 確認(rèn)相關(guān)的網(wǎng)卡之后，wireshark會(huì)自動(dòng)開(kāi)始抓包 使用工具欄前5個(gè)按鈕可以控制其“開(kāi)始”“結(jié)束” 軟件使用軟件使用 軟件使用查看軟件使用查看 wireshark的查看與捕獲是同一窗口。輸出內(nèi)容中 分為三個(gè)區(qū)域： 數(shù)據(jù)包列表、當(dāng)前包的協(xié)議信息、十六進(jìn)制詳情數(shù)據(jù)包列表、當(dāng)前包的協(xié)議信息、十六進(jìn)制詳情 軟件使用軟件使用 軟件使用查看（續(xù)）軟件使用查看（續(xù)） 數(shù)據(jù)包列表數(shù)據(jù)包列表 數(shù)據(jù)捕獲時(shí)，是以幀/包為單位的，每個(gè)單位在 list中就是一個(gè)條目，按照時(shí)間先后排列顯示 每個(gè)

8、list條目中包含地址、協(xié)議類(lèi)型等簡(jiǎn)要信息 當(dāng)前窗口中默認(rèn)顯示最近更新的幀/包的信息 不同的幀/包可以自定義不同的顏色，方便閱讀 軟件使用軟件使用 軟件使用查看（續(xù)）軟件使用查看（續(xù)） 當(dāng)前幀當(dāng)前幀/ /包的詳細(xì)協(xié)議信息包的詳細(xì)協(xié)議信息 對(duì)于當(dāng)前選中的幀/包，會(huì)按照osi七層模型的順 序，以目錄的形式詳細(xì)顯示該幀/包的詳細(xì)情況 wireshark會(huì)對(duì)每個(gè)展開(kāi)項(xiàng)做出解釋?zhuān)▍f(xié)議、 參數(shù)等等；要讀懂這些信息，必須要求對(duì)相關(guān)原 理有詳盡理解和掌握 軟件使用軟件使用 軟件使用查看（續(xù)）軟件使用查看（續(xù)） 十六進(jìn)制詳情十六進(jìn)制詳情 這部分內(nèi)容相當(dāng)于是，當(dāng)前選中的幀/包的物理 層信息，可讀性較差 軟件使

9、用軟件使用 軟件使用查看（續(xù)）軟件使用查看（續(xù)） 閱讀列表信息，可以從各個(gè)幀/包的先后順序中， 看出協(xié)議的工作原理，甚至進(jìn)行故障的初步定位 當(dāng)前幀/包的詳細(xì)協(xié)議信息，是對(duì)列表信息的細(xì)化， 可用于疑似故障的進(jìn)一步定位。實(shí)際上使用 wireshark等抓包軟件的大部分工作都是在這里 十六進(jìn)制代碼制度性比較差，但可以用來(lái)比較兩 個(gè)幀/包是否完全相同 軟件使用軟件使用 軟件使用過(guò)濾軟件使用過(guò)濾 過(guò)濾過(guò)濾filterfilter 捕獲執(zhí)行的時(shí)候，信息量通常非常大；其中真正 有用的信息確很少，此時(shí)就有必要加入filter功能 來(lái)減少干擾信息 在使用filter功能時(shí)，可以先設(shè)定filter再進(jìn)行抓包； 也

10、可以先抓包，再進(jìn)行filter過(guò)濾 軟件使用軟件使用 軟件使用過(guò)濾（續(xù)）軟件使用過(guò)濾（續(xù)） 先過(guò)濾再捕獲先過(guò)濾再捕獲 可以有效減少捕獲信息的數(shù)量，有利于實(shí)時(shí)觀察； 同時(shí)，也有利于減少wireshark主機(jī)的存儲(chǔ)空間占 用 但這種方式可能會(huì)遺漏一些潛在的重要信息 先捕獲再過(guò)濾先捕獲再過(guò)濾 好處是可以確保捕獲到所有的數(shù)據(jù)信息 缺點(diǎn)是wireshark的存儲(chǔ)空間可能會(huì)很快被耗盡； 同時(shí)由于大量干擾信息的存在，對(duì)于閱讀很不利 根據(jù)實(shí)際需要來(lái)選擇過(guò)濾的方式 軟件使用軟件使用 軟件使用過(guò)濾（續(xù)）軟件使用過(guò)濾（續(xù)） 要打開(kāi)過(guò)濾功能，無(wú)論是哪種方式，可直接在 wireshark主界面的filter欄中直接填寫(xiě)

11、 不同于其他的抓包軟件，wireshark的filter是使 用表達(dá)式表達(dá)式來(lái)編寫(xiě)的，雖然入手較困難，但應(yīng)用起 來(lái)非常靈活，功能很強(qiáng)大，推薦使用 這些表達(dá)式的主要分為兩部分： 常見(jiàn)函數(shù)常見(jiàn)函數(shù) 邏輯關(guān)系邏輯關(guān)系 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則軟件使用過(guò)濾規(guī)則 常見(jiàn)函數(shù)常見(jiàn)函數(shù) etheth 只顯示以太網(wǎng)幀 eth.addreth.addr = aa:bb:cc:dd:ee:ff 只顯示源或目的mac地址為的以太網(wǎng)幀 eth.src / eth.dsteth.src / eth.dst =aa:bb:cc:dd:ee:ff 與eth.addr類(lèi)似，可以具體指定源、目的地址 軟件使用軟件使用

12、軟件使用過(guò)濾規(guī)則（續(xù)）軟件使用過(guò)濾規(guī)則（續(xù)） 常見(jiàn)函數(shù)常見(jiàn)函數(shù) ipip 只顯示ip包 ip.addr ip.addr = a.b.c.d 只顯示源或目的地址為的ip包 ip.src / ip.dstip.src / ip.dst = a.b.c.d 與ip.addr類(lèi)似，可以具體指定源、目的地址 ip.host = ip.host = 相比于ip.addr，可以支持域名 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則（續(xù)）軟件使用過(guò)濾規(guī)則（續(xù)） 常見(jiàn)函數(shù)常見(jiàn)函數(shù) tcptcp 只顯示tcp報(bào)文 tcp.port tcp.port = number 只顯示源或目的端口為的tcp報(bào)文 tcp.srcport

13、 / tcp.dstporttcp.srcport / tcp.dstport = number 與tcp.port類(lèi)似，可以具體指定源、目的端口 udpudp的函數(shù)與的函數(shù)與tcptcp的類(lèi)同的類(lèi)同 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則（續(xù)）軟件使用過(guò)濾規(guī)則（續(xù)） 常見(jiàn)函數(shù)常見(jiàn)函數(shù) httphttp 只顯示http的報(bào)文，tcp.dstport = 80 telnettelnet 只顯示telnet的報(bào)文，tcp.dstport = 23 dhcpdhcp 只顯示dhcp的報(bào)文 arparp 只顯示arp的報(bào)文 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則（續(xù)）軟件使用過(guò)濾規(guī)則（續(xù)） 邏輯關(guān)系邏輯關(guān)系

14、某些函數(shù)需要指定參數(shù)的，可以按照下面的符號(hào) 來(lái)確立關(guān)系，分別為等于、不等于、大于/小于、 不小于/不大于 = !=!= / = = / = = 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則（續(xù)）軟件使用過(guò)濾規(guī)則（續(xù)） 邏輯關(guān)系邏輯關(guān)系 有些時(shí)候，過(guò)濾需要多個(gè)函數(shù)來(lái)聯(lián)合定義，不同 的函數(shù)之間可以使用如下的關(guān)系來(lái)定義，分別是 與、否、或，當(dāng)然“括號(hào)”是用于輔助的 andand notnot | () () 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則（續(xù)）軟件使用過(guò)濾規(guī)則（續(xù)） 舉例舉例 eth.addr = 11:22:33:44:55:66 ip.src = and ip.dst = 4.3.2.

15、1 not arp and !(udp.port = 53) tcp.port = 69 | udp.port = 69 看看這些filtre分別是什么含義？ 軟件使用軟件使用 軟件使用過(guò)濾規(guī)則軟件使用過(guò)濾規(guī)則 要打開(kāi)過(guò)濾功能，無(wú)論是哪種方式，可直接在 wireshark主界面的filter欄中直接填寫(xiě) 不同于其他的抓包軟件，wireshark的filter是使 用表達(dá)式表達(dá)式來(lái)編寫(xiě)的，雖然入手較困難，但應(yīng)用起 來(lái)非常靈活，功能很強(qiáng)大，推薦使用 這些表達(dá)式的主要分為兩部分： 常見(jiàn)函數(shù)常見(jiàn)函數(shù) 邏輯關(guān)系邏輯關(guān)系 軟件使用軟件使用 軟件使用編輯軟件使用編輯 前面介紹的內(nèi)容都是如何捕獲網(wǎng)絡(luò)上現(xiàn)成的數(shù)

16、據(jù)， 而“編輯”是指按照特定的要求來(lái)制造一個(gè)/組報(bào) 文。并通過(guò)以太網(wǎng)接口發(fā)送到網(wǎng)絡(luò)上 編輯功能通常用于測(cè)試網(wǎng)絡(luò)設(shè)備對(duì)某種特殊數(shù)據(jù) 報(bào)文的反應(yīng) 大多數(shù)的數(shù)據(jù)報(bào)文結(jié)構(gòu)非常復(fù)雜，其中包含了大 量的參數(shù)域，對(duì)于初學(xué)者而言，要憑空編輯一個(gè) 指定的報(bào)文，難度非常高 通常我們先捕獲一個(gè)類(lèi)似的數(shù)據(jù)幀/包，然后再根 據(jù)需要對(duì)其進(jìn)行修改 軟件使用軟件使用 軟件使用編輯（續(xù)）軟件使用編輯（續(xù)） wireshark暫時(shí)還不支持?jǐn)?shù)據(jù)幀/包的編輯功能， 需要時(shí)可以使用其他的收費(fèi)軟件，如：sniffer、 etherpek等 大多數(shù)的抓包分析應(yīng)用中，捕獲、查看、過(guò)濾功 能足矣 課程內(nèi)容課程內(nèi)容 概述概述 使用須知使用須知

17、軟件使用軟件使用 實(shí)用案例實(shí)用案例 本章小結(jié)本章小結(jié) 實(shí)用案例實(shí)用案例 數(shù)據(jù)包比較數(shù)據(jù)包比較 某企業(yè)進(jìn)行寬帶接入組網(wǎng)，使用的核心技術(shù)是 nat，但在進(jìn)行靜態(tài)端口映射的時(shí)候發(fā)現(xiàn)，外網(wǎng) 的用戶(hù)根本無(wú)法訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)器，同時(shí)，路由器 配置和其他狀態(tài)來(lái)說(shuō)都是正常的 可以使用wireshark分別在路由器內(nèi)網(wǎng)和外網(wǎng)進(jìn)行 抓包，觀察路由器是否正常接收到數(shù)據(jù)，并且通 過(guò)比對(duì)，判斷路由器是否正常處理 實(shí)用案例實(shí)用案例 協(xié)議流程跟蹤協(xié)議流程跟蹤 某用戶(hù)使用路由器充當(dāng)dhcp服務(wù)器，但鏈接并 設(shè)置完成之后發(fā)現(xiàn)，用戶(hù)根本就無(wú)法“自動(dòng)獲取 ip地址”，可以將wireshark接入網(wǎng)絡(luò)中，跟蹤 dhcp報(bào)文的交互流程，與

18、協(xié)議原理比對(duì)之后可 以判斷問(wèn)題在哪里 實(shí)用案例實(shí)用案例 過(guò)濾設(shè)置過(guò)濾設(shè)置 在前面的兩個(gè)實(shí)驗(yàn)中，分別使用合適的filtre，減 少捕獲信息的量，提高信息的可讀性 實(shí)用案例實(shí)用案例 長(zhǎng)時(shí)間長(zhǎng)時(shí)間/ /大量抓包大量抓包 某網(wǎng)絡(luò)在運(yùn)行時(shí)總是出現(xiàn)奇怪現(xiàn)象，每隔兩天左 右就會(huì)出現(xiàn)網(wǎng)速很慢的情況。 由于時(shí)間沒(méi)有明顯規(guī)律，所以只能持續(xù)抓包；且 需要捕獲的數(shù)據(jù)也沒(méi)有規(guī)律，無(wú)法應(yīng)用filter；且 抓取的所有信息都要保存下來(lái)，只用內(nèi)存空間顯 然是不夠的。 實(shí)用案例實(shí)用案例 長(zhǎng)時(shí)間長(zhǎng)時(shí)間/ /大量抓包（續(xù)）大量抓包（續(xù)） 在captureoptions中，可以設(shè)定存儲(chǔ)成多個(gè) 文件，可以根據(jù)文件大小，也可以根據(jù)時(shí)間來(lái)設(shè) 定 不影響結(jié)果的前提下，應(yīng)盡可能的使用filter功能 來(lái)減小數(shù)據(jù)量 實(shí)用案例實(shí)用案例 思考思考 有一臺(tái)設(shè)置好可以訪(fǎng)問(wèn)internet網(wǎng)絡(luò)的pc主機(jī)， 正常開(kāi)機(jī)后。用戶(hù)使用foxmail接收了郵件，請(qǐng)分 析一下該過(guò)程