




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、計(jì)算機(jī)網(wǎng)絡(luò)練習(xí)之使用WireShark捕獲和分析數(shù)據(jù)包 Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣,Wireshark也使用pcap network library來(lái)進(jìn)行封包捕捉。視窗數(shù)據(jù)包捕獲(WinPcap的) :WinPcap的是Windows版本的libpcap庫(kù),它包括一個(gè)驅(qū)動(dòng)程序以支持捕獲數(shù)據(jù)包。Wireshark的使用這個(gè)庫(kù)來(lái)捕獲Windows Live網(wǎng)絡(luò)上的數(shù)據(jù).Wireshark的優(yōu)勢(shì):- 安裝方便。- 簡(jiǎn)單易用的界面。- 提供豐富的
2、功能。 一:安裝并運(yùn)行wireshark開(kāi)始捕獲數(shù)據(jù)包,如圖所示點(diǎn)擊第二行的start開(kāi)始捕獲數(shù)據(jù)包。二:幾分鐘后就捕獲到許多的數(shù)據(jù)包了,主界面如圖所示:如上圖所示,可看到很多捕獲的數(shù)據(jù)。第一列是捕獲數(shù)據(jù)的編號(hào);第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間,從開(kāi)始捕獲算為0.000秒;第三列是源地址,第四列是目的地址;第五列是數(shù)據(jù)包的信息。選中第一個(gè)數(shù)據(jù)幀,然后從整體上看看Wireshark的窗口,主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表;中間部分是數(shù)據(jù)幀的描述信息;下面部分是幀里面的數(shù)據(jù)。簡(jiǎn)單的使用打開(kāi)軟件,選擇:capture->options,在 interfa
3、ce 中選擇一個(gè)網(wǎng)卡,并且在 capture ->capturefilters 中增加一個(gè)過(guò)濾器,常用的過(guò)濾器如 ip.addr = 然后點(diǎn)capture-> start ,就開(kāi)始抓包了。要停止的話capture->stop,當(dāng)然也可以用上面的圖標(biāo)。抓到了包之后,是二進(jìn)制的,在包上面點(diǎn)擊右鍵選擇 Follow TCP Stream ,就可以看到 http 包了。幀號(hào) 時(shí)間 源地址 目的地址
4、; 高層協(xié)議 包內(nèi)信息概況No. Time Source Destination Protocol Info1 0.000000 25 2 TCP 276
5、4 > http SYN Seq=0 Len=0 MSS=1460 源端口>目的端口請(qǐng)求建立TCP鏈接以下為物理層的數(shù)據(jù)幀概況Frame 1 (62 bytes on wire, 62 bytes captured) 1號(hào)幀,線路62字節(jié),實(shí)際捕獲62字節(jié)Arrival Time: Jan 21, 2008 15:17:33.910261000 捕獲日期和時(shí)間Time
6、delta from previous packet:0.00000 seconds此包與前一包的時(shí)間間隔Time since reference or first frame: 0.00 seconds此包與第1幀的間隔時(shí)間Frame Number: 1
7、0; 幀序號(hào)Packet Length: 62 bytes 幀長(zhǎng)度Capture Length: 62 bytes
8、60; 捕獲長(zhǎng)度Frame is marked: False 此幀是否做
9、了標(biāo)記:否Protocols in frame: eth:ip:tcp 幀內(nèi)封裝的協(xié)議層次結(jié)構(gòu)Coloring Rule Name: HTTP 用不同顏色染色標(biāo)記的協(xié)議名稱(chēng):HTTPColoring Rule String: http | tcp.po
10、rt = 80 染色顯示規(guī)則的字符串:以下為數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太網(wǎng)協(xié)議版本II,源地址:廠名_序號(hào)(網(wǎng)卡地址),目的:廠名_序號(hào)(網(wǎng)卡地址) Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的:廠名_序號(hào)(網(wǎng)卡地址) Source: A
11、cerTech_5b:d4:61 (00:00:e2:5b:d4:61) 源:廠名_序號(hào)(網(wǎng)卡地址) Type: IP (0x0800) 幀內(nèi)封裝的上層協(xié)議類(lèi)型為IP(十六進(jìn)制碼0800)以下為互聯(lián)網(wǎng)層IP包頭部信息Internet Protocol, Src: 25 (25), Dst: 2 (2) 互聯(lián)網(wǎng)協(xié)
12、議,源IP地址,目的IP地址Version: 4 互聯(lián)網(wǎng)協(xié)議IPv4(此部分參看教材頁(yè)圖 122 的IPv4數(shù)據(jù)報(bào)字段結(jié)構(gòu))Header length: 20 bytes IP包頭部長(zhǎng)度Differentiated Services Field:0x00
13、(DSCP 0x00:Default;ECN:0x00)差分服務(wù)字段Total Length: 48 IP包的
14、總長(zhǎng)度Identification:0x8360 (33632) 標(biāo)志字段Flags: 標(biāo)記字段(在路由傳輸時(shí),是否允許將此IP包分段,教材頁(yè))Fragment offset: 0
15、 分段偏移量(將一個(gè)IP包分段后傳輸時(shí),本段的標(biāo)識(shí))Time to live: 128 生存期TT
16、LProtocol: TCP (0x06) 此包內(nèi)封裝的上層協(xié)議為T(mén)CPHeader checksum: 0xe4ce correct
17、; 頭部數(shù)據(jù)的校驗(yàn)和Source: 25 (25) 源IP地址Destination: 2 (2)
18、160; 目的IP地址以下為傳輸層TCP數(shù)據(jù)段頭部信息Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80), Seq: 0, Len: 0
19、; 傳輸控制協(xié)議TCP的內(nèi)容Source port: 2764 (2764)源端口名稱(chēng)(端口號(hào))(此部分參看教材149頁(yè)圖5.7)Destination port: http (80) 目的端口名http(端口號(hào)
20、80)Sequence number: 0 (relative sequence number) 序列號(hào)(相對(duì)序列號(hào))Header length: 28 bytes
21、160; 頭部長(zhǎng)度Flags: 0x02 (SYN) TCP標(biāo)記字段(本字段是SYN,是請(qǐng)求建立TCP連接)Window size: 65535
22、 流量控制的窗口大小Checksum: 0xf73b correct TCP數(shù)據(jù)段的校驗(yàn)和Options: (8 bytes) &
23、#160; 可選項(xiàng)三:開(kāi)始分析數(shù)據(jù)在下圖中Filter后面的編輯框中輸入:arp(注意是小寫(xiě)),然后回車(chē)或者點(diǎn)擊“Apply”按鈕現(xiàn)在只有ARP協(xié)議了,其他的協(xié)議數(shù)據(jù)包都被過(guò)濾掉了
24、。注意到中間部分的三行前面都有一個(gè)“+”,點(diǎn)擊它,這一行就會(huì)被展開(kāi)。如下圖所示:現(xiàn)在展開(kāi)第一行。看到的結(jié)果如下:在上圖中我們看到這個(gè)幀的一些基本信息:幀的編號(hào):15(捕獲時(shí)的編號(hào))幀的大?。?0字節(jié)。再加上四個(gè)字節(jié)的CRC計(jì)算在里面,就剛好滿足最小64字節(jié)的要求。幀被捕獲的日期和時(shí)間:Dec 2,2008幀距離前一個(gè)幀的捕獲時(shí)間差:0.136438000幀距離第一個(gè)幀的捕獲時(shí)間差:4.704371000幀裝載的協(xié)議:ARP 現(xiàn)在展開(kāi)第二行:我們可以看到:目的地址(Destination):ff:ff:ff:ff:ff:ff (這是個(gè)MAC地址,這個(gè)MAC地址是一個(gè)廣播地址,就是局域網(wǎng)
25、中的所有計(jì)算機(jī)都會(huì)接收這個(gè)數(shù)據(jù)幀)源地址(Source):Elitegro_2d:e7:db (00:0d:87:2d:e7:db)幀中封裝的協(xié)議類(lèi)型:0x0806,這個(gè)是ARP協(xié)議的類(lèi)型編號(hào)。Trailer:是協(xié)議中填充的數(shù)據(jù),為了保證幀最少有64字節(jié)。 展開(kāi)第三行:地址解析協(xié)議硬件類(lèi)型:以太網(wǎng)協(xié)議類(lèi)型:IP硬件大小:6協(xié)議大?。?發(fā)送方MAC地址發(fā)送方IP地址目的MAC地址目的IP地址巧用Wireshark有效管理內(nèi)網(wǎng)身為企業(yè)網(wǎng)絡(luò)管理員必須能夠在第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)問(wèn)題和安全隱患,普通的網(wǎng)絡(luò)診斷方法已經(jīng)不能夠滿足高級(jí)需求,通過(guò)ping法也只能夠解決簡(jiǎn)單網(wǎng)絡(luò)故障,特別是網(wǎng)絡(luò)不穩(wěn)定一會(huì)斷
26、一會(huì)通的情況是簡(jiǎn)單方法無(wú)法排查的。這時(shí)就需要專(zhuān)業(yè)的網(wǎng)絡(luò)管理員使用專(zhuān)業(yè)的工具去解決,相信各位都聽(tīng)說(shuō)過(guò)sniffer這個(gè)網(wǎng)絡(luò)數(shù)據(jù)探測(cè)軟件,通過(guò)他可以對(duì)網(wǎng)絡(luò)的所有數(shù)據(jù)包進(jìn)行分析,發(fā)現(xiàn)故障根源。下面介紹另外一款網(wǎng)絡(luò)嗅探器Wireshark,他在各個(gè)方面的表現(xiàn)是其他sniffer類(lèi)網(wǎng)絡(luò)嗅探器無(wú)法比擬的。圖4圖5由于沒(méi)有設(shè)置任何過(guò)濾信息和規(guī)則,所以Wireshark會(huì)對(duì)網(wǎng)絡(luò)中所有數(shù)據(jù)進(jìn)行檢測(cè),從捕獲窗口可以看到各個(gè)不同協(xié)議數(shù)據(jù)的數(shù)量和占據(jù)總數(shù)的百分比(如圖6)。圖6點(diǎn)“Stop”按鈕停止檢測(cè)后我們就可以針對(duì)每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析了,Wireshark會(huì)把剛剛捕獲的所有數(shù)據(jù)包羅列出來(lái),如果數(shù)據(jù)內(nèi)容沒(méi)有加密的
27、話也可以明文顯示出來(lái)。三、Wireshark應(yīng)用實(shí)例簡(jiǎn)介Wireshark的初級(jí)使用還是非常簡(jiǎn)單的,但是高級(jí)應(yīng)用和技巧就需要我們?cè)谌粘9ぷ髦腥シe累和運(yùn)用了。下面簡(jiǎn)單介紹三個(gè)小應(yīng)用,希望可以達(dá)到拋磚引玉的目的。(1)檢測(cè)網(wǎng)中是否有MSN或QQ在使用有的時(shí)候我們企業(yè)不希望員工在上班時(shí)通過(guò)MSN或QQ聊天,并針對(duì)這些IM交流軟件進(jìn)行了封鎖,但是封鎖和突破總是對(duì)立的,很多員工會(huì)找到代理工具或者其他方法來(lái)突破限制。不過(guò)不管他采用何種方法都無(wú)法逃避Wireshark的火眼金睛。我們打開(kāi)Wireshark并設(shè)置好監(jiān)控網(wǎng)卡,之后掃描網(wǎng)絡(luò)中的數(shù)據(jù),收集一段時(shí)間后停止捕獲來(lái)查看數(shù)據(jù)包,如果網(wǎng)絡(luò)中有MSN或者QQ在使用,Wireshark會(huì)記錄這些數(shù)據(jù)通話,在protocol協(xié)議處顯示為ICQ的通訊就是OICQ,而顯示為MSNMS的話則說(shuō)明此數(shù)據(jù)包是MS
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 廣東高一 上數(shù)學(xué)試卷
- 廣西第一次高考數(shù)學(xué)試卷
- 江門(mén)七年級(jí)下冊(cè)數(shù)學(xué)試卷
- 2025年中國(guó)輕質(zhì)磚行業(yè)市場(chǎng)運(yùn)行現(xiàn)狀及投資戰(zhàn)略研究報(bào)告
- 中國(guó)復(fù)方龍膽碳酸氫鈉行業(yè)調(diào)查報(bào)告
- 中國(guó)液體硅酸鈉行業(yè)調(diào)查報(bào)告
- 農(nóng)業(yè)產(chǎn)業(yè)發(fā)展園基礎(chǔ)設(shè)施建設(shè)工程可行性研究報(bào)告
- 低空空域數(shù)字化管理前沿技術(shù)與實(shí)踐
- 健康活動(dòng)賽龍舟課件視頻
- 藥品生產(chǎn)線編制管理辦法
- 血管導(dǎo)管相關(guān)血流感染預(yù)防控制
- T-NMSP 3-2022 高寒地區(qū)汽車(chē)試驗(yàn)場(chǎng)地建設(shè)技術(shù)指南
- T-SDEPI 046-2024 微生物菌劑修復(fù)河道水體技術(shù)規(guī)程
- 醫(yī)院消毒劑知識(shí)培訓(xùn)課件
- 2025年山東省高考物理復(fù)習(xí)方法及備考策略指導(dǎo)(深度課件)
- OQC當(dāng)前管控流程
- 村務(wù)公開(kāi)申請(qǐng)書(shū)
- DB1303-T352-2023食品快速檢測(cè)產(chǎn)品驗(yàn)收技術(shù)規(guī)范
- 2025年中考物理熱點(diǎn)題型專(zhuān)項(xiàng)訓(xùn)練:實(shí)驗(yàn)之探究平面鏡成像的特點(diǎn) (解析版)
- 《蚯蚓》課件-生物學(xué)-自然科學(xué)-專(zhuān)業(yè)資料
- 2025年秋部編版二年級(jí)語(yǔ)文上冊(cè)教學(xué)計(jì)劃
評(píng)論
0/150
提交評(píng)論