wireshark 抓包分析
Wireshark抓包实例分析
(一).WireShark的使用: (1)启动WireShark。(2)启动PC上的IE浏览器。
(3)开始分组捕获:选择“抓包”下拉菜单中的“抓包参数选择”命令,在“WireShark:抓包选项”窗口中可以设置分组捕获的选项。 (4)在这次实验中,使用窗口中显示的默认值。选择“抓包”下拉菜单中的“网络接口”命令,显示计算机中所安装的网络接口(即网卡)。我们需要选择电脑真实的网卡,点击后显示本机的IP地址。 (5)随后,点击“开始”则进行分组捕获,所有由选定网卡发送和接收的分组都将被捕获。 (6)待捕获一段时间,关闭浏览器,选择主窗口中有的“stop”按钮,可以停止分组的捕获。 (7)选择“文件”下拉菜单中的“另存为”,保存到我的文档中。
(二).结果分析:
图1,Wireshark抓包窗口布局
Wireshark的抓包结果整个窗口被分成三部分,最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下面是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
图2,Wireshark数据包列表
上图的数据包列表中,第一列是编号(如第20个包),第二列是截取时间(3.21713400),第三列Source是源地址(10.245.85.63),第四列Destination 是目的地址(211.138.180.3),第五列Protocol是这个包使用的协议DNS,第六列是数据包帧的长度,第七列Info是一些其他的信息,包括源端口号和目的端口号。
Wireshark中某些协议字段会以特殊方式显示:
1, Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如 Wireshark 在对TCP流应答序列进行分析时。将会在TCP协议中添加[SEQ/ACK analysis]字段 2,Links/链接如果Wireshark检测到当前包与其它包的关系 将会产生一个到其它包的链接。链接字段显示为蓝色字体 并加有下划线。双击它会跳转到对应的包
图3,应用层信息
到达时间:2013年5月28日09:16:35.867083000
新纪元时间:1369703795.867083000秒
捕获该帧与前一帧的时间间隔是0.066550000秒
显示陈列出该帧与前一帧的时间间隔是0.066550000秒
从捕获第一帧到捕获该帧所用时间为232.446445000秒
帧号(相对):538
该帧的长度是56字节(448比特)
捕获的的帧长度56字节(448比特)
帧包含的协议:TCP/IP
图4,物力层信息
该部分是物理层的相关信息,包含了源端物理地址c4:ca:d9:32:0a:fb和目的端的物理地址00:26:82:bb:1f:73。
图5,IP协议
这是IP协议,属于网络层可得如下信息:
源地址:111.161.49.159
目的地址:10.6.88.171
版本号:IPv4
头部长度:20字节
区分服务域:0x00
分段策略:不分段
TTL(生存时间):47
头部校验和:0xbfe1(接受正确)
TCP协议的抓包分析
图6,TCP协议中请求建立连接
首先,注意到该报文的同步位S Y N字段为1,因此该报文为建立连接的报文。选择的seq为0,SYN为1的报文段不能携带数据,但要消耗掉一个序号。窗口个数为8192。Option字段中指明了最长字段长度为1460字节。此后,TCP 客户进程进入SYN-SENT(同步已发送状态。图6即为TCP协议建立连接过程中的三次握手中的第一次握手。
图7,服务器返回请求建立连接的确认
图7表示出了服务器向用户返回请求建立连接报文的确认字段,其中SYN 为1,ACK为0+1。传送的数据序列号为0。窗口大小仍然为8192。此报文段也不能携带数据,但同样消耗掉一个序号。这是TCP服务器进程进入SYN-RCVD(同步受到)状态。图7即为TCP协议建立连接过程中的三次握手中的第二次握手。
图8,建立连接的“第三次握手”
从图8中可以看出窗口长度是一个变量。并且首部长度字段为20,没有option字段。确认报文段的ACK置1,确认号ACK=0+1,自己的序列号seq=0+1,TCP 的标准规定,ACK报文段可以携带数据。但如果不携带数据则不消耗序号。这时,TCP连接已经建立,发送方进入ESTABLISHED(已建立连接)状态。
上图中,图6、图7、图8代表了TCP协议建立连接时的三次握手。
UDP协议的抓包分析
用户数据报UDP有两个字段:数据字段和首部字段。是一种固定包头格式的协议,其头部共64bit,包含4个等长的部分,分别表示原端口号、目的端口号、UDP报文段长度以及校验和。根据UDP首部固定长度的特点,其长度字段最大能表示65536字节,那么一个UDP协议最多能够包含的数据长度即为65528字节。源端口号:关于端口号有一些规定,服务器端通常用熟知端口号,通常在0-1023之间。而客户端用随机的端口号,其范围在49152到65535之间。目的端口号。长度:包括报头和数据的长度之和。在[8,65535]区间。检验和:提供差错检测功能。
UDP检验和的计算:
UDP的检验和所需信息:①UDP伪首部:源IP + 目的IP + Byte 0 + Byte 17+ UDP长度,其目的是让UDP两次检查数据是否已经正确到达目的地,只是单纯为了做校验用的。②UDP首部:该长度不是报文的总长度,而只是UDP(包括UDP 头和据部分)的总长度③UDP的数据部分。
校验和的计算步骤:①把伪首部添加到UDP上;②计算初始时将检验和字段添零的;③把所有位划分为16位(2字节)的字④把所有16位的字相加,如果遇到进位,则将高于16字节的进位部分的值加到最低位上。⑤将所有字相加得到的结果应该为一个16位的数,将该数按位取反则可以得到检验和。
图9,UDP协议
这是UDP协议,可得以下信息:
源端口号:30536
目的端口号:8000
总长度:80
校验和:0x9081
经校验:有残缺
整个协议长度为:80字节,从数据部分的长度为72字节也可以看出头部为8字节,刚好是16*4bits。
Data是UDP协议的具体内容
HTTP协议的抓包分析
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议。它是一个应用层协议,由请求和响应构成,是一个标准的客户端服务器模型。所有的www文件都必须遵守这个标准。它是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。在Internet上的Web 服务器上存放的都是超文本信息,客户机需要通过HTTP协议传输所要访问的超文本信息。HTTP包含命令和传输信息,不仅可用于Web访问,也可以用于其他因特网/内联网应用系统之间的通信,从而实现各类应用资源超媒体访问的集成。
它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。HTTP协议通常承载于TCP协议之上,有时也承载于TLS或SSL 协议层之上,这个时候,就成了我们常说的HTTPS。
图10,http客户端请求报文
应用层直接向用户提供服务,是计算机网络与用户界面的接口,HTTP就是适用于应用层的一种超文本传输协议,由上图可得:显然可见,HTTP使用传输层协议是TCP,方法字段大多数为GET(少数会使用POST,经过筛选如图11所示仅有第81帧使用POST)。HTTP的请求行为GET/HTTP/1.1\r\n,由GET可知此次为客户端向服务器发送请求,后继的行为首部行,HTTP版本为HTTP1.1;Accept_language为zh-ch,表示它指定的自然语言是简体中文;Accept_Encoding:gizp,deflate,表示指定的编码为gizp,deflate;User-Agent=Mozilla/4.0(compatible;MISE 9.0;windows NT 6.1;…….) 告诉了服务器我所使用的网页浏览器;Host= https://www.360docs.net/doc/da14322036.html,表示主机名为https://www.360docs.net/doc/da14322036.html,;Connection=keep-Alive表示保持持续连接。
图11,用POST为方法字段的81
图12,HTTP服务器响应报文
服务器的响应报文如图七所示:蓝色的那一行为初始状态行,接下来的六行为首部行。可以从
[ Request in frame :53]
看出,此响应报文是响应图11的编码为53的请求报文
DNS协议的抓包分析
图13,协议树
其中,第一行为该包的信息,第二行为以太网,属于链路层,第三行为IP 协议,属于网络层(源IP与目的IP显示在该行),第四行为UDP协议,属于传输层,第五行为DNS的有关数据。下面将通过图三详细分析DNS报文的内容。
图14,DNS请求查询报文
这是一个请求查询的报文(0),该报文没有被删节,采用的是递归调用的查询,答复在NO15中。随机产生一个校验数0xdc29,问题数为1,回答RR数,权威RR数以及附加RR数均为0。在问题区域显示了名字字段与被查询的问题类型A(即主机地址)。
注:Transaction ID 是随机产生的,DNS服务器返回dns应答信息时,使用的Transaction ID 必须和你询问时使用的一致,才会被机器接受。
Queries表明询问的域名为https://www.360docs.net/doc/da14322036.html,,询问类型为A,即希望希望能够回答所对应的机器名IP地址,类域值为0x0001,表示Internet数据。
图15,DNS回答报文
第二个包即为回答报文,格式与查询报文类似(如图14所示),特别说明一点type类型为CNAME,说明规范主机名为https://www.360docs.net/doc/da14322036.html,,IP地址:111.13.13.135。是对NO9的答复。可见此处随机产生的校验数为0xdc29,与询问时的检验数一致,故能够被接受。
问题区内的问题是要得到域名https://www.360docs.net/doc/da14322036.html,的IP地址,答案区内有两条回复,第一条是域名的别名CNAME, https://www.360docs.net/doc/da14322036.html,,第二条是请求类型为A的记录得域名对应的IP地址为111.13.13.135。
图16
由表15中的域名服务器报文参数域各位意义可知,该报文是条标准响应报文,不是权威性的回答,且报文未被截断,报文希望递归,并可以递归,报文保留,报文回复无错。问题区内,问题信息数为1,在答案区内,答案的数目为3,管理机构数与附加信息数都为0。
十六进制数据包内容:
图。17
这是以十六进制显示的数据包的具体内容,是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,方便对各种协议的数据包进行分析。
图18
如图,当选中Total Length:100,它的十六进制表示0x0064,从下面蓝色选中区域可以看到00在前面,64在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),由此可知,网络字节序采用的是大端模式。
wireshark抓包分析报告TCP和UDP
计 算 机 网 络Wireshark抓包分析报告
目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)
1. 使用wireshark获取完整的UDP报文 打开wireshark,设置监听网卡后,使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon,抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容,UDP作为一种面向无连接服务的运输协议,其报文格式相当简单。第一行中,Source port:64318是源端口号。第二行中,Destination port:53是目的端口号。第三行中,Length:34表示UDP报文段的长度为34字节。第四行中,Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符,其后的4f0e表示16进制表示的检验和,把它们换成二进制表示为:0100 1111 0000 1110. 从wireshark的抓包数据看出,我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时,它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程,主机端的UDP为此报文添加首部字段,并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手,以保证数据的可靠传输,同样访问我的腾讯微博主页,使用wireshark抓取的TCP报文,可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手
Wireshark抓包实验报告.
第一次实验:利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一,实验目的: 通过本次实验,学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能,熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二,实验环境: 操作系统为Windows 7,抓包工具为Wireshark. 三,实验原理: ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 四,验步骤: 1.确定目标地址:选择https://www.360docs.net/doc/da14322036.html,作为目标地址。 2.配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp,如图 1- 1
图 1-1 3.启动抓包:点击【start】开始抓包,在命令提示符下键入ping https://www.360docs.net/doc/da14322036.html,, 如图 1-2
图 1-2 停止抓包后,截取的数据如图 1-3 图 1-3 4,分析数据包:选取一个数据包进行分析,如图1- 4
图1-4 每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下: (1)诊断报文(类型:8,代码0;类型:0代码:0); (2)目的不可达报文(类型:3,代码0-15); (3)重定向报文(类型:5,代码:0--4); (4)超时报文(类型:11,代码:0--1); (5)信息报文(类型:12--18)。
wireshark抓包教程
Wireshark图解教程(简介、抓包、过滤器)配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的 数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、 邮箱、msn、账号等的密码!! Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.360docs.net/doc/da14322036.html,”网站时的截图。 1.MENUS(菜单) 2.SHORTCUTS(快捷方式) 3.DISPLAY FILTER(显示过滤器) 4.PACKET LIST PANE(封包列表) 5.PACKET DETAILS PANE(封包详细信息) 6.DISSECTOR PANE(16进制数据) 7.MISCELLANOUS(杂项)
1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: -"File"(文件)-"Edit"(编辑)-"View"(查看)-"Go"(转到)-"Capture"(捕获)-"Analyze"(分析)-"Statistics"(统计) -"Help"(帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKET LIST PANE(封包列表)
wireshark抓包分析实验报告
Wireshark抓包分析实验 若惜年 一、实验目的: 1.学习安装使用wireshark软件,能在电脑上抓包。 2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。 二、实验内容: 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文: IP报文分析: 从图中可以看出: IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符:0xd74b 标志:0x02 比特偏移:0 寿命:48 上层协议:TCP 首部校验和:0x5c12 源IP地址为:119.75.222.18 目的IP为:192.168.1.108
从图中可以看出: 源端口号:1891 目的端口号:8000 udp报文长度为:28 检验和:0x58d7 数据长度:20 bytes UDP协议是一种无需建立连接的协议,它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。
第一次握手: 从图中看出: 源端口号:56770 目的端口号:80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。
第二次握手: 从图中看出: 源端口号是:80 目的端口号为:56770 序列号为:0 ack为:1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。
第三次握手: 从图中看出: 源端口:56770 目的端口:80 序列号为:1 ACK为:1 首部长为:20bytes Acknowledgement为1表示包含确认的报文 所以,看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。
Wireshark的抓包及过滤规则实验
Wireshark的抓包及过滤规则实验 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。 Wireshark的优势: - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。 Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 实验一抓ARP包 一:安装并运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。 二:几分钟后就捕获到许多的数据包了,主界面如图所示:
如上图所示,可看到很多捕获的数据。 第一列是捕获数据的编号; 第二列是捕获数据的相对时间,从开始捕获算为0.000秒; 第三列是源地址,第四列是目的地址; 第五列是数据包的信息。 选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据 三:开始分析数据 在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮
截图(替换掉该图) 现在只有ARP协议了,其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。如下图所示: 截图(替换掉该图) 现在展开第一行。看到的结果如下: 截图(替换掉该图)
wireshark抓包分析了解相关协议工作原理
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.360docs.net/doc/da14322036.html,抓到的包与访问https://www.360docs.net/doc/da14322036.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping https://www.360docs.net/doc/da14322036.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing https://www.360docs.net/doc/da14322036.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问https://www.360docs.net/doc/da14322036.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问https://www.360docs.net/doc/da14322036.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问https://www.360docs.net/doc/da14322036.html, 的IP地址,DNS服务器210.45.176.18给出https://www.360docs.net/doc/da14322036.html,的IP地址为210.45.176.3
wireshark捕获器使用教程
Wireshark的捕捉过滤器和显示过滤器 Wireshark两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍: 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是: - 选择capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便 在今后的捕捉中继续使用这个过滤器。 - 点击开始(Start)进行捕捉。
语法: 例子:tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用"src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。Host(s): 可能的值:net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。
实验一 wireshark抓包工具使用
实验一wireshark抓包工具使用[实验目的] 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能 通过学习,进一步理解协议及网络体系结构思想 [实验原理] Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 主要应用: 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 [实验内容] 下载WIRESHARK,学习工具的使用和功能。
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的 形式可以很方便的展现数据分布情况。
【小技巧】wireshark定位抓包与定位查看
【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。 目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图:
wireshark抓包应用指导说明书
杭州迪普科技有限公司wireshark抓包应用指导说明书
修订记录
目录 1 WIRESHARK介绍 (5) 2 功能介绍 (5) 3 图形界面抓报文 (5) 3.1 选择网卡抓报文 (5) 3.2 显示报文抓取时间 (7) 3.3 WIRESHARK界面布局 (8) 3.4 报文过滤条件 (9) 3.4.1 常用过滤条件 (10) 3.4.2 WIRESHARK EXPRESSION (11) 3.4.3 高级过滤条件 (11) 3.4.4 WIRESHARK CAPTURE FILTER (14) 4 命令行抓报文 (15) 4.1 选择网卡 (15) 4.2 命令行过滤条件 (17) 4.3 常用过滤条件 (17) 5 批量转换报文格式 (18)
1Wireshark介绍 Wireshark 是开源网络包分析工具,支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark (https://www.360docs.net/doc/da14322036.html,/download.html 。Wireshark通常在4-8周内发布一次新版本 2功能介绍 Wireshark支持图形和命令行两种抓报文方式 3图形界面抓报文 3.1选择网卡抓报文 第一步打开wireshark抓包软件,点击“Capture-->Interfaces”,如图3-1
图3-1选择网卡 第二步选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3 图3-2启动抓包
wireshark怎么抓包、wireshark抓包详细图文教程
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTT PS,但是不能解密HTTPS,所以wireshark 看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark. Wireshark(网络嗅探抓包工具) v1.4.9 中文版(包含中文手册+主界面的操作菜单) 评分: 2.5 类别:远程监控大小:22M 语言:中文 查看详细信息>> wireshark 开始抓包 开始界面
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),用于过滤 2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项) 使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 过滤器有两种, 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。比如"Filter 102", Filter栏上就多了个"Filter 102" 的按钮。 过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP,只显示TCP协议。 2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。 5. 逻辑运算符为 AND/ OR
wireshark抓包分析
用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧: 1、帧的解释 链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释: Frame 18:所抓帧的序号是11,大小是409字节 Ethernet :以太网,有线局域网技术,属链路层 Inernet Protocol:即IP协议,也称网际协议,属网络层 Transmisson Control Protocol:即TCP协议,也称传输控 制协议。属传输层 Hypertext transfer protocol:即http协议,也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。
2、分析上图中的http请求报文 报文分析: 请求行: GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现,报文里有对请求行字段的相关解释。该报文请求的是一个对象,该对象是图像。 首部行: Accept: */* Referer: https://www.360docs.net/doc/da14322036.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码,文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理,浏览器的类型是Netscape浏览器;括号内 是相关解释 Host: https://www.360docs.net/doc/da14322036.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
Wireshark抓包实例分析
Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一.实验目的 1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际,知行合一的学术精神。 二.实验原理 1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。 2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。 3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。 三.实验环境 1.系统环境:Windows 7 Build 7100 2.浏览器:IE8 3.Wireshark:V 1.1.2 4.Winpcap:V 4.0.2 四.实验步骤 1.Wireshark简介 Wireshark(原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的
相关知识……当然,有的人也会用它来寻找一些敏感信息。 值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1:计算机是如何连接到网络的? 一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。如图所示: 图一:网络连接时的部分数据包 如图,首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本,包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。 让我们来看一下数据包的传送过程:
Wireshark抓包实验报告
西安郵電學院 计算机网络技术及应用实验 报告书 系部名称:管理工程学院学生姓名:xxx 专业名称:信息管理 班级:10xx 学号:xxxxxxx 时间:2012 年x 月x 日
实验题目Wireshark抓包分析实验 一、实验目的 1、了解并会初步使用Wireshark,能在所用电脑上进行抓包 2、了解IP数据包格式,能应用该软件分析数据包格式 3、查看一个抓到的包的内容,并分析对应的IP数据包格式 二、实验内容 1、安装Wireshark,简单描述安装步骤。 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option” 选项。 3、设置完成后,点击“start”开始抓包,显示结果。 4、选择某一行抓包结果,双击查看此数据包具体结构。 5、捕捉IP数据报。 ①写出IP数据报的格式。 ②捕捉IP数据报的格式图例。 ③针对每一个域所代表的含义进行解释。 三、实验内容(续,可选) 1、捕捉特定内容 捕捉内容:http 步骤:①在wireshark软件上点开始捕捉。 ②上网浏览网页。 ③找到包含http格式的数据包,可用Filter进行设置,点击 中的下拉式按钮,选择http。 ④在该数据帧中找到Get 的内容。 实验体会
Wireshark抓包分析实验报告 一.实验目的 1.了解并初步使用Wireshark,能在所用电脑上进行抓包。 2.了解IP数据包格式,能应用该软件分析数据包格式。 3.查看一个抓到的包的内容,并分析对应的IP数据包格式。 二.主要仪器设备 协议分析软件Wireshark,联网的PC机。 三.实验原理和实验内容 1 安装WireShark。这个不用说了,中间会提示安装WinPcap,一切都是默认的了
wireshark 实验 Getting Started
Wireshark Lab: Getting Started Version: 2.0 ? 2007 J.F. Kurose, K.W. Ross. All Rights Reserved Computer Networking: A Top-down Approach, 4th edition. “Tell me and I forget. Show me and I remember. Involve me and I understand.” Chinese proverb One’s understanding of network protocols can often be greatly deepened by “seeing protocols in action” and by “playing around with protocols” – observing the sequence of messages exchanged between two protocol entities, delving down into the details of protocol operation, and causing protocols to perform certain actions and then observing these actions and their consequences. This can be done in simulated scenarios or in a “real” network environment such as the Internet. The Java applets that accompany this text take the first approach. In these Wireshark labs1, we’ll take the latter approach. You’ll be running various network applications in different scenarios using a computer on your desk, at home, or in a lab. You’ll observe the network protocols in your computer “in action,” interacting and exchanging messages with protocol entities executing elsewhere in the Internet. Thus, you and your computer will be an integral part of these “live” labs. You’ll observe, and you’ll learn, by doing. The basic tool for observing the messages exchanged between executing protocol entities is called a packet sniffer. As the name suggests, a packet sniffer captures (“sniffs”) messages being sent/received from/by your computer; it will also typically store and/or display the contents of the various protocol fields in these captured messages. A packet sniffer itself is passive. It observes messages being sent and received by applications and protocols running on your computer, but never sends packets itself. Similarly, received packets are never explicitly addressed to the packet sniffer. Instead, a packet sniffer receives a copy of packets that are sent/received from/by application and protocols executing on your machine. 1 Earlier versions of these labs used the Ethereal packet analyzer. In May 2006, the developer of Ethereal joined a new company, and had to leave the Ethereal? trademarks behind. He then created the Wireshark network protocol analyzer, a successor to Ethereal?. Since Ethereal? is no longer being actively maintained or developed, we have thus switched these labs over to Wireshark with the 4th edition of our text.
01-Wireshark教程和3个实例
Wireshark教程 一、界面 二、认识数据包 网络的7层次结构:物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况: 数据链路层以太网帧头部信息 MAC地址:是网卡的物理地址 前3组是表示生产厂家、后3组是厂家对网卡的编号 IP地址是我们定义的,可以随便更改 ARP协议就是用来对二者进行转换的
互联网层IP包头部信息 其它内容 三、过滤器设置 过滤器的区别 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢? 两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。 显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。 显示过滤器 snmp || dns || icmp//显示SNMP或DNS或ICMP封包。 ip.addr == 10.1.1.1//显示来源或目的IP地址为10.1.1.1的封包。 ip.src==172.16.1.102 //显示来源是172.16.1.102的数据包 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。 ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。 tcp.port == 25//显示来源或目的TCP端口号为25的封包。 tcp.dstport == 25//显示目的TCP端口号为25的封包。 tcp.flags//显示包含TCP标志的封包。 tcp.flags.syn == 0x02//显示包含TCP SYN标志的封包。 可以从上面看过滤器设置的规则 通过这里的背景可以判断使用的语法是否正确:红色背景表示语法错误,绿色背景表示正确并且可以运行,黄色背景表示语法正确,但是可能没有结果。 1、使用字段名来过滤 在过滤器中输入:http.request.method==”GET” ,将显示使用GET方法获取数据的所有包
wireshark抓取TCP连接及其断开实验补充
计算机网络实验报告 年级:信科102 姓名:钱丽美学号: 10111219 实验日期:2012.10.23 实验名称:利用wireshark抓取TCP连接及断开实验 一、实验目的: 1)掌握TCP连接建立的三次握手过程 2)理解TCP连接释放的四次握手过程 二、实验原理: TCP协议工作原理参考TCP协议 Tcp显示过滤规则: tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 1显示包含TCP SYN标志的封包。 tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志 的封包。 tcp.flags.fin == 1and tcp.flags.ack == 1 显示包含TCP FIN和ACK标志的封包。tcp.window_size == 0 && tcp.flags.reset != 1 三、主要设备、器材 1)已联网且运行Windows操作系统的计算机 2)协议分析软件Wireshark 四、要求 1、结果分析与保存的数据一致,否则没有实验成绩 2、数据保存名称: tcp数据: w09101-tcp.pcap(网络091班01号arp协议) 实验结果分析报告名称:实验六利用Wireshark分析tcp协议_w09101.doc 五、实验步骤: 1)启动WireShark抓包 2)访问学校主页服务器,通过Wireshark捕获通信内容
3)分析TCP连接建立的三次握手和连接释放的四次握手过程 浏览网页,抓取三次握手的包,根据TCP包头格式将各字段取值填下来。 源IP:10.30.28.57 目的IP:220.181.127.63 源端口:sdt-lmd(3319) 目的端口:http(80) 第一次握手: 找出第一次握手的数据包并截取对该数据包的展开图,根据截图填写横线内容。 替换上图
Wireshark抓包工具计算机网络实验
实验一 Wireshark使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用; 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。三、预备知识 要深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器,是一个开源免费软件,可以从https://www.360docs.net/doc/da14322036.html,下载。 运行Wireshark程序时,其图形用户界面如图2所示。最初,各窗口中并无数据显示。Wireshark的界面主要有五个组成部分: 命令和菜单 协议筛选框 捕获分组 列表 选定分组 首部明细 分组内容 左:十六进制 右:ASCII码 图1
●命令菜单(command menus):命令菜单位于窗口的最顶部,是标准的下拉式菜单。 ●协议筛选框(display filter specification):在该处填写某种协议的名称,Wireshark 据此对分组列表窗口中的分组进行过滤,只显示你需要的分组。 ●捕获分组列表(listing of captured packets):按行显示已被捕获的分组内容,其中包括:分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名,可以使分组列表按指定列排序。其中,协议类型是发送或接收分组的最高层协议的类型。 ●分组首部明细(details of selected packet header):显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息,需要查看哪层信息,双击对应层次或单击该层最前面的“+”即可。 ●分组内容窗口(packet content):分别以十六进制(左)和ASCII码(右)两种格式显示被捕获帧的完整内容。 四、实验步骤 1.启动Web浏览器(如IE); 2.启动Wireshark; 3.开始分组捕获:单击工具栏的按钮,出现如图3所示对话框,[options]按钮可以进行系统参数设置,在绝大部分实验中,使用系统的默认设置即可。当计算机具有多个网卡时,选择其中发送或接收分组的网络接口(本例中,第一块网卡为虚拟网卡,第二块为以太网卡)。单击“Start”开始进行分组捕获;