Wireshark 抓包并分析
本节内容概括∶
- Wireshark简介
- Wireshark基本使用方法
- Wireshark筛选器
- Wireshark常见协议包分析
1.Wireshark简介
Wireshark(前称Ethereal )是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。·
官网:www.wireshark.org
2.Wireshark基本使用方法
2.1 打开wireshark
2.2 查看eth0
2.3 混杂模式
混杂模式 :任何经过这台主机的数据报都会被捕获。
停止捕获 -> 捕获 -> 选项 -> 取消勾选在所有接口上使用混杂模式。
2.5保存和分析捕获文件
注意∶保存文件格式选pcap,这个格式基本所有的抓包软件都能打开,兼容性最好的。
假如,你用保存为其他格式,然后发个你的同事,你同事刚好用的另一款抓包分析软件,就很有可能打不开你抓取的数据。
3. Wireshark筛选器
混杂模式打开
直接在上方过滤搜索想要的协议包。
筛选源地址:.
ip.src_host == 192.168.1.102 or ip.src host == 192.168.1.1.
# ip.src_host == 192.168.1.102表示源IP地址
# ip.dst_host == 192.168.1.1表示目的地址
注︰两个条件用or进行了连接,是或的意思;当然我们也可以使用and
or的意思是两个条件满足一个就行;。
and的意思是两个条件必须同时满足;
4、Wireshark常见协议包分析
4.1 arp协议
地址解析协议(英语:Address Resolution Protocol,缩写∶ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议它在IPv4中极其重要。ARP最初在1982年的RFC826中提出并纳入互联网标准STD 37。ARP也可能指是在多数操作系统中管理其相关地址的一个进程。
ARP是通过网络地址来定位MAC地址。ARP已经在很多网路层和数据链接层之间得以实现,所谓地址解析( address resolution )就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程
Address Resolution Protocol (request) #ARP地址解析协议request请求包
Hardware type: Ethernet (1) #硬件类型
Protocol type: IPv4 ( Ox0800) #协议类型
Hardware size: 6 #硬件长度
Protocol size: 4 #协议长度
opcode:_ request (1) #操作码,值为1即表示ARP请求包
Sender MAC address: #源MAC地址
Sender lP address: 192.168.1.102 #源IP地址
Target MAC address: #目标 MAC地址
Target lP address: 192.168.1.1 #目标IP地址.
4.2 ICMP协议
ICMP ( Internet Control Message Protocol ) Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
这是个4层的包。
4.3 tcp协议
传输控制协议(英语:Transmission Control Protocol )是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。用户数据报协议(UDP)是同一层内另一个重要的传输协议。
Source Port ( 16 bits ):源端口号,用于标记主机进程,端口号也称为进程地址
Destination Port ( 16 bits):目标端口号,通过16位字节标识0-65535共65536个端口-
Sequence Number ( 32 bits ):数据包序列号,TCP数据分段
Acknowledgement Number ( 32 bits )︰确认序列号,回应序列号,一次发一批报文时候使用序列号和确认号,TCP三次握手的第一次无确认号
Header Length ( 4 bits )︰首部长度。
Reserved ( 4 bits )︰保留位.
Code : control Flag ( 6 bits )︰标志控制码,该字段有6个bits组成,每个bits标识一种含义,用以说明这个连接的状态,让接收端连接这个数据包的主要动作.
URG(Urgent):紧急位,1标识为紧急数据包,接收端要紧急处理,且Urgent Pointer字段也会被启用ACK(Acknowledge)∶确认位,1表示为响应数据包,0表示确认无效,和Acknowledeg Number有关
PSH(Push Function):推送位,1表示不传送缓冲区,而立即把数据包发送,无需在缓冲区等待再传送.
RST(Reset) :连接重置,当已建立的连接遇到意外断开时,在原有的基础上重新建立,不需要再三次握手,1表示强制结束连接,且发送端已经断线
SYN(Synchronous): 1表示发送端希望双方建立同步处理(要求建立连接),主动要连接到对方
FIN(Finish): 1表示传输结束
Window Size:窗口大小,接收方的缓冲当中的可剩余容纳的报文个数,以及链路中的整体容纳报文的个数,0表示缓冲器已经额满,所以应该暂停数据传输,发送一次能每多少个,取决于接收方窗口大小.
TCp Checksum:确认校验码
Urgent Pointer:紧急指针,URG为1时,指针有效,否则无效
Data:数据
4.4 udp 协议
Internet协议集支持一个无连接的传输协议,该协议称为用户数据报协议( UDP ,UserDatagram Protocol )。UDP为应用程序提供了一种无需建立连接就可以发送封装的IP数据报的方法。RFC 768描述了UDP。Internet的传输层有两个主要协议,互为补充。
4.5 dns协议
域名系统( Domain Name System,缩写:DNS )是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP的端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。DNS协议是用来将域名转换为IP地址(也可以将IP地址转换为相应的域名地址);一句话就是用来解析域名。
4.6 http协议
http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web 开发,都是构建在HTTP协议之上的Web应用。
统计 流量图
