网络协议分析软件Wireshark学习心得

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络协议分析软件Wireshark学习心得

——作者:XP

一、什么是抓包?

抓包是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作。

二、为什么要抓包?

检查网络安全。在与网络相关的问题中,对故障进行定位分析,最好的办法就是用抓包软件流来抓包和分析包。

三、网络协议分析软件Wireshark安装及使用过程:

1、下载网络嗅探工具Wireshark1.7.0Development Release(32-bit)并解压。

图1解压Wireshark安装文件

2、执行Wireshark1.7.0Development Release(32-bit).exe安装Wireshark。

图2安装Wireshark

Wireshark可透过WinPcap来劫取网络上的数据包。Install WinPcap,在安

装Wireshark的过程中也会一并安装WinPcap。

3、捕获数据包

欲劫获网络上的数据包,要指定网卡(Network Interface Cad),接着按Capture。

下图为Wireshark截取数据包的页面。由上而下分別是功能表栏、工具栏截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。

图3Wireshark截取数据包的页面

4、协议分析

Wireshark的显示窗口分为上、中、下三个子窗口。

顶层窗口显示了序号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议类型(Protocol)、长度(Length)、该数据包的含义(Info)。

图4Wireshark顶层窗口显示

中间窗口是所选数据包的详细信息。

图5Wireshark中间窗口显示

由图5可看到TCP建立连接时所经历的协议栈:先从Ethernet到网络互联层IP协议,然后到传播层TCP协议,再到应用层HTTP协议。

下层窗口中可看到所选定报文分组中的数据(十六进制)如下。

图6Wireshark下层窗口显示

另外可将截获到的数据包列表资料储存起来,可以执行[File]→[Save]或[Save As]将资料储存起来。这些储存的数据包资料可以在以后执行[Open]来加以开启。

四、网络协议分析软件Wireshark学习心得

安装并运行Wireshark,几分钟后就捕获了许多包了。下面对捕获数据进行简单分析。选中一个数据帧如下图所示:

(1)纵向第一窗口分析:

第一列是捕获数据的编号为:157

第二列是捕获数据的时间:38.98958000

第三列是源地址:192.168.137.194

第四列是目的地址:125.88.193.224

(2)展开中间第一行详细信息如下:

在上图可以看到这个帧的基本信息:

帧的编号:157(捕获时的编号)

帧的大小:54字节。

帧捕获时间:Sep18,201421:23:47

帧装载的协议:HTTP

(3)展开中间第二行详细信息如下:

从上图可以看到:

目的地址(Destination):38:59:f9:a6:2b:0a

源地址(Source):LiteonTe_b8:47:b4(74:de:2b:b8:47:b4)

帧中封装的协议类型:0x0800,这个是IP协议的类型编码。

(4)展开中间第三行详细信息如下:

上图的信息是:

IPv4协议

差分服务领域:0x00(DSCP0x00:默认;ECN:0x00:Not-ECT(不是ECN-Capable传输))头校验和:0x911b(正确)

(此处只是利用翻译工具翻译出了部分信息,但是不太理解)

(5)展开中间第四行详细信息如下:

上图的信息是:

传输控制协议,Src端口:50095(50095),Dst端口:http(80),Seq:1,Ack:18744,Len:0校验和:0x55be(禁用验证)

SEQ/ACK分析

相关文档
最新文档