計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)WireShark捕獲和分析數(shù)據(jù)包_第1頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)WireShark捕獲和分析數(shù)據(jù)包_第2頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)WireShark捕獲和分析數(shù)據(jù)包_第3頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)WireShark捕獲和分析數(shù)據(jù)包_第4頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)WireShark捕獲和分析數(shù)據(jù)包_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)之使用WireShark捕獲和分析數(shù)據(jù)包    Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣,Wireshark也使用pcap network library來(lái)進(jìn)行封包捕捉。視窗數(shù)據(jù)包捕獲(WinPcap的) :WinPcap的是Windows版本的libpcap庫(kù),它包括一個(gè)驅(qū)動(dòng)程序以支持捕獲數(shù)據(jù)包。Wireshark的使用這個(gè)庫(kù)來(lái)捕獲Windows Live網(wǎng)絡(luò)上的數(shù)據(jù).Wireshark的優(yōu)勢(shì):- 安裝方便。- 簡(jiǎn)單易用的界面。- 提供豐富的

2、功能。   一:安裝并運(yùn)行wireshark開(kāi)始捕獲數(shù)據(jù)包,如圖所示點(diǎn)擊第二行的start開(kāi)始捕獲數(shù)據(jù)包。二:幾分鐘后就捕獲到許多的數(shù)據(jù)包了,主界面如圖所示:如上圖所示,可看到很多捕獲的數(shù)據(jù)。第一列是捕獲數(shù)據(jù)的編號(hào);第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間,從開(kāi)始捕獲算為0.000秒;第三列是源地址,第四列是目的地址;第五列是數(shù)據(jù)包的信息。選中第一個(gè)數(shù)據(jù)幀,然后從整體上看看Wireshark的窗口,主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表;中間部分是數(shù)據(jù)幀的描述信息;下面部分是幀里面的數(shù)據(jù)。簡(jiǎn)單的使用打開(kāi)軟件,選擇:capture->options,在 interfa

3、ce 中選擇一個(gè)網(wǎng)卡,并且在 capture ->capturefilters 中增加一個(gè)過(guò)濾器,常用的過(guò)濾器如 ip.addr = 然后點(diǎn)capture-> start ,就開(kāi)始抓包了。要停止的話capture->stop,當(dāng)然也可以用上面的圖標(biāo)。抓到了包之后,是二進(jìn)制的,在包上面點(diǎn)擊右鍵選擇 Follow TCP Stream ,就可以看到 http 包了。幀號(hào) 時(shí)間    源地址          目的地址  

4、;    高層協(xié)議  包內(nèi)信息概況No.  Time    Source         Destination      Protocol    Info1  0.000000  25   2  TCP     276

5、4 > http SYN Seq=0 Len=0 MSS=1460              源端口>目的端口請(qǐng)求建立TCP鏈接以下為物理層的數(shù)據(jù)幀概況Frame 1 (62 bytes on wire, 62 bytes captured) 1號(hào)幀,線路62字節(jié),實(shí)際捕獲62字節(jié)Arrival Time: Jan 21, 2008 15:17:33.910261000      捕獲日期和時(shí)間Time

6、delta from previous packet:0.00000 seconds此包與前一包的時(shí)間間隔Time since reference or first frame: 0.00 seconds此包與第1幀的間隔時(shí)間Frame Number: 1                            

7、0;       幀序號(hào)Packet Length: 62 bytes                            幀長(zhǎng)度Capture Length: 62 bytes       

8、60;                   捕獲長(zhǎng)度Frame is marked: False                           此幀是否做

9、了標(biāo)記:否Protocols in frame: eth:ip:tcp                   幀內(nèi)封裝的協(xié)議層次結(jié)構(gòu)Coloring Rule Name: HTTP            用不同顏色染色標(biāo)記的協(xié)議名稱(chēng):HTTPColoring Rule String: http | tcp.po

10、rt = 80     染色顯示規(guī)則的字符串:以下為數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太網(wǎng)協(xié)議版本II,源地址:廠名_序號(hào)(網(wǎng)卡地址),目的:廠名_序號(hào)(網(wǎng)卡地址) Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的:廠名_序號(hào)(網(wǎng)卡地址)    Source: A

11、cerTech_5b:d4:61 (00:00:e2:5b:d4:61)  源:廠名_序號(hào)(網(wǎng)卡地址)  Type: IP (0x0800) 幀內(nèi)封裝的上層協(xié)議類(lèi)型為IP(十六進(jìn)制碼0800)以下為互聯(lián)網(wǎng)層IP包頭部信息Internet Protocol, Src: 25 (25), Dst: 2 (2)             互聯(lián)網(wǎng)協(xié)

12、議,源IP地址,目的IP地址Version: 4 互聯(lián)網(wǎng)協(xié)議IPv4(此部分參看教材頁(yè)圖 122 的IPv4數(shù)據(jù)報(bào)字段結(jié)構(gòu))Header length: 20 bytes                             IP包頭部長(zhǎng)度Differentiated Services Field:0x00

13、(DSCP 0x00:Default;ECN:0x00)差分服務(wù)字段Total Length: 48                                         IP包的

14、總長(zhǎng)度Identification:0x8360 (33632)                            標(biāo)志字段Flags:       標(biāo)記字段(在路由傳輸時(shí),是否允許將此IP包分段,教材頁(yè))Fragment offset: 0  

15、 分段偏移量(將一個(gè)IP包分段后傳輸時(shí),本段的標(biāo)識(shí))Time to live: 128                                          生存期TT

16、LProtocol: TCP (0x06)                         此包內(nèi)封裝的上層協(xié)議為T(mén)CPHeader checksum: 0xe4ce correct               

17、;    頭部數(shù)據(jù)的校驗(yàn)和Source: 25 (25)                   源IP地址Destination: 2 (2)             &#

18、160; 目的IP地址以下為傳輸層TCP數(shù)據(jù)段頭部信息Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80), Seq: 0, Len: 0                              

19、;                 傳輸控制協(xié)議TCP的內(nèi)容Source port: 2764 (2764)源端口名稱(chēng)(端口號(hào))(此部分參看教材149頁(yè)圖5.7)Destination port: http (80)                   目的端口名http(端口號(hào)

20、80)Sequence number: 0    (relative sequence number)    序列號(hào)(相對(duì)序列號(hào))Header length: 28 bytes                              &#

21、160;         頭部長(zhǎng)度Flags: 0x02 (SYN)        TCP標(biāo)記字段(本字段是SYN,是請(qǐng)求建立TCP連接)Window size: 65535                       

22、          流量控制的窗口大小Checksum: 0xf73b correct                          TCP數(shù)據(jù)段的校驗(yàn)和Options: (8 bytes)       &

23、#160;                                    可選項(xiàng)三:開(kāi)始分析數(shù)據(jù)在下圖中Filter后面的編輯框中輸入:arp(注意是小寫(xiě)),然后回車(chē)或者點(diǎn)擊“Apply”按鈕現(xiàn)在只有ARP協(xié)議了,其他的協(xié)議數(shù)據(jù)包都被過(guò)濾掉了

24、。注意到中間部分的三行前面都有一個(gè)“+”,點(diǎn)擊它,這一行就會(huì)被展開(kāi)。如下圖所示:現(xiàn)在展開(kāi)第一行。看到的結(jié)果如下:在上圖中我們看到這個(gè)幀的一些基本信息:幀的編號(hào):15(捕獲時(shí)的編號(hào))幀的大?。?0字節(jié)。再加上四個(gè)字節(jié)的CRC計(jì)算在里面,就剛好滿足最小64字節(jié)的要求。幀被捕獲的日期和時(shí)間:Dec 2,2008幀距離前一個(gè)幀的捕獲時(shí)間差:0.136438000幀距離第一個(gè)幀的捕獲時(shí)間差:4.704371000幀裝載的協(xié)議:ARP 現(xiàn)在展開(kāi)第二行:我們可以看到:目的地址(Destination):ff:ff:ff:ff:ff:ff (這是個(gè)MAC地址,這個(gè)MAC地址是一個(gè)廣播地址,就是局域網(wǎng)

25、中的所有計(jì)算機(jī)都會(huì)接收這個(gè)數(shù)據(jù)幀)源地址(Source):Elitegro_2d:e7:db (00:0d:87:2d:e7:db)幀中封裝的協(xié)議類(lèi)型:0x0806,這個(gè)是ARP協(xié)議的類(lèi)型編號(hào)。Trailer:是協(xié)議中填充的數(shù)據(jù),為了保證幀最少有64字節(jié)。 展開(kāi)第三行:地址解析協(xié)議硬件類(lèi)型:以太網(wǎng)協(xié)議類(lèi)型:IP硬件大小:6協(xié)議大?。?發(fā)送方MAC地址發(fā)送方IP地址目的MAC地址目的IP地址巧用Wireshark有效管理內(nèi)網(wǎng)身為企業(yè)網(wǎng)絡(luò)管理員必須能夠在第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)問(wèn)題和安全隱患,普通的網(wǎng)絡(luò)診斷方法已經(jīng)不能夠滿足高級(jí)需求,通過(guò)ping法也只能夠解決簡(jiǎn)單網(wǎng)絡(luò)故障,特別是網(wǎng)絡(luò)不穩(wěn)定一會(huì)斷

26、一會(huì)通的情況是簡(jiǎn)單方法無(wú)法排查的。這時(shí)就需要專(zhuān)業(yè)的網(wǎng)絡(luò)管理員使用專(zhuān)業(yè)的工具去解決,相信各位都聽(tīng)說(shuō)過(guò)sniffer這個(gè)網(wǎng)絡(luò)數(shù)據(jù)探測(cè)軟件,通過(guò)他可以對(duì)網(wǎng)絡(luò)的所有數(shù)據(jù)包進(jìn)行分析,發(fā)現(xiàn)故障根源。下面介紹另外一款網(wǎng)絡(luò)嗅探器Wireshark,他在各個(gè)方面的表現(xiàn)是其他sniffer類(lèi)網(wǎng)絡(luò)嗅探器無(wú)法比擬的。圖4圖5由于沒(méi)有設(shè)置任何過(guò)濾信息和規(guī)則,所以Wireshark會(huì)對(duì)網(wǎng)絡(luò)中所有數(shù)據(jù)進(jìn)行檢測(cè),從捕獲窗口可以看到各個(gè)不同協(xié)議數(shù)據(jù)的數(shù)量和占據(jù)總數(shù)的百分比(如圖6)。圖6點(diǎn)“Stop”按鈕停止檢測(cè)后我們就可以針對(duì)每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析了,Wireshark會(huì)把剛剛捕獲的所有數(shù)據(jù)包羅列出來(lái),如果數(shù)據(jù)內(nèi)容沒(méi)有加密的

27、話也可以明文顯示出來(lái)。三、Wireshark應(yīng)用實(shí)例簡(jiǎn)介Wireshark的初級(jí)使用還是非常簡(jiǎn)單的,但是高級(jí)應(yīng)用和技巧就需要我們?cè)谌粘9ぷ髦腥シe累和運(yùn)用了。下面簡(jiǎn)單介紹三個(gè)小應(yīng)用,希望可以達(dá)到拋磚引玉的目的。(1)檢測(cè)網(wǎng)中是否有MSN或QQ在使用有的時(shí)候我們企業(yè)不希望員工在上班時(shí)通過(guò)MSN或QQ聊天,并針對(duì)這些IM交流軟件進(jìn)行了封鎖,但是封鎖和突破總是對(duì)立的,很多員工會(huì)找到代理工具或者其他方法來(lái)突破限制。不過(guò)不管他采用何種方法都無(wú)法逃避Wireshark的火眼金睛。我們打開(kāi)Wireshark并設(shè)置好監(jiān)控網(wǎng)卡,之后掃描網(wǎng)絡(luò)中的數(shù)據(jù),收集一段時(shí)間后停止捕獲來(lái)查看數(shù)據(jù)包,如果網(wǎng)絡(luò)中有MSN或者QQ在使用,Wireshark會(huì)記錄這些數(shù)據(jù)通話,在protocol協(xié)議處顯示為ICQ的通訊就是OICQ,而顯示為MSNMS的話則說(shuō)明此數(shù)據(jù)包是MS

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論