网络协议分析软件Wireshark学习心得
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络协议分析软件Wireshark学习心得
——作者:XP
一、什么是抓包?
抓包是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作。
二、为什么要抓包?
检查网络安全。在与网络相关的问题中,对故障进行定位分析,最好的办法就是用抓包软件流来抓包和分析包。
三、网络协议分析软件Wireshark安装及使用过程:
1、下载网络嗅探工具Wireshark1.7.0Development Release(32-bit)并解压。
图1解压Wireshark安装文件
2、执行Wireshark1.7.0Development Release(32-bit).exe安装Wireshark。
图2安装Wireshark
Wireshark可透过WinPcap来劫取网络上的数据包。Install WinPcap,在安
装Wireshark的过程中也会一并安装WinPcap。
3、捕获数据包
欲劫获网络上的数据包,要指定网卡(Network Interface Cad),接着按Capture。
下图为Wireshark截取数据包的页面。由上而下分別是功能表栏、工具栏截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。
图3Wireshark截取数据包的页面
4、协议分析
Wireshark的显示窗口分为上、中、下三个子窗口。
顶层窗口显示了序号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议类型(Protocol)、长度(Length)、该数据包的含义(Info)。
图4Wireshark顶层窗口显示
中间窗口是所选数据包的详细信息。
图5Wireshark中间窗口显示
由图5可看到TCP建立连接时所经历的协议栈:先从Ethernet到网络互联层IP协议,然后到传播层TCP协议,再到应用层HTTP协议。
下层窗口中可看到所选定报文分组中的数据(十六进制)如下。
图6Wireshark下层窗口显示
另外可将截获到的数据包列表资料储存起来,可以执行[File]→[Save]或[Save As]将资料储存起来。这些储存的数据包资料可以在以后执行[Open]来加以开启。
四、网络协议分析软件Wireshark学习心得
安装并运行Wireshark,几分钟后就捕获了许多包了。下面对捕获数据进行简单分析。选中一个数据帧如下图所示:
(1)纵向第一窗口分析:
第一列是捕获数据的编号为:157
第二列是捕获数据的时间:38.98958000
第三列是源地址:192.168.137.194
第四列是目的地址:125.88.193.224
(2)展开中间第一行详细信息如下:
在上图可以看到这个帧的基本信息:
帧的编号:157(捕获时的编号)
帧的大小:54字节。
帧捕获时间:Sep18,201421:23:47
帧装载的协议:HTTP
(3)展开中间第二行详细信息如下:
从上图可以看到:
目的地址(Destination):38:59:f9:a6:2b:0a
源地址(Source):LiteonTe_b8:47:b4(74:de:2b:b8:47:b4)
帧中封装的协议类型:0x0800,这个是IP协议的类型编码。
(4)展开中间第三行详细信息如下:
上图的信息是:
IPv4协议
差分服务领域:0x00(DSCP0x00:默认;ECN:0x00:Not-ECT(不是ECN-Capable传输))头校验和:0x911b(正确)
(此处只是利用翻译工具翻译出了部分信息,但是不太理解)
(5)展开中间第四行详细信息如下:
上图的信息是:
传输控制协议,Src端口:50095(50095),Dst端口:http(80),Seq:1,Ack:18744,Len:0校验和:0x55be(禁用验证)
SEQ/ACK分析