计算机网络练习WireShark捕获和分析数据包.doc

计算机网络练习之使用WireShark捕获和分析数据包 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。视窗数据包捕获（WinPcap的） :WinPcap的是Windows版本的libpcap库，它包括一个驱动程序以支持捕获数据包。Wireshark的使用这个库来捕获Windows Live网络上的数据.Wireshark的优势：- 安装方便。- 简单易用的界面。- 提供丰富的功能。一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。简单的使用打开软件，选择：capture-options，在 interface 中选择一个网卡，并且在 capture -capturefilters 中增加一个过滤器，常用的过滤器如 ip.addr = 然后点capture- start ，就开始抓包了。要停止的话capture-stop,当然也可以用上面的图标。抓到了包之后，是二进制的，在包上面点击右键选择 Follow TCP Stream ，就可以看到 http 包了。帧号 时间 源地址 目的地址 高层协议 包内信息概况No. Time Source Destination Protocol Info1 0.000000 25 2 TCP 2764 http SYN Seq=0 Len=0 MSS=1460 源端口目的端口请求建立TCP链接以下为物理层的数据帧概况Frame 1 (62 bytes on wire, 62 bytes captured)1号帧，线路62字节，实际捕获62字节Arrival Time: Jan 21, 2008 15:17:33.910261000 捕获日期和时间Time delta from previous packet:0.00000 seconds此包与前一包的时间间隔Time since reference or first frame: 0.00 seconds此包与第1帧的间隔时间Frame Number: 1 帧序号Packet Length: 62 bytes 帧长度Capture Length: 62 bytes 捕获长度Frame is marked: False 此帧是否做了标记：否Protocols in frame: eth:ip:tcp 帧内封装的协议层次结构Coloring Rule Name: HTTP 用不同颜色染色标记的协议名称：HTTPColoring Rule String: http | tcp.port = 80染色显示规则的字符串：以下为数据链路层以太网帧头部信息Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的：厂名_序号（网卡地址） Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61) 源：厂名_序号（网卡地址）Type: IP (0x0800)帧内封装的上层协议类型为IP（十六进制码0800）以下为互联网层IP包头部信息Internet Protocol, Src: 25 (25), Dst: 2 (2) 互联网协议，源IP地址，目的IP地址Version: 4互联网协议IPv4（此部分参看教材页图 122 的IPv4数据报字段结构）Header length: 20 bytes IP包头部长度Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)差分服务字段Total Length: 48IP包的总长度Identification:0x8360 (33632) 标志字段Flags: 标记字段（在路由传输时，是否允许将此IP包分段，教材页）Fragment offset: 0分段偏移量（将一个IP包分段后传输时，本段的标识）Time to live: 128 生存期TTLProtocol: TCP (0x06) 此包内封装的上层协议为TCPHeader checksum: 0xe4ce correct 头部数据的校验和Source: 25 (25) 源IP地址Destination: 2 (2)目的IP地址以下为传输层TCP数据段头部信息Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80), Seq: 0, Len: 0 传输控制协议TCP的内容Source port: 2764 (2764)源端口名称（端口号）（此部分参看教材149页图5.7）Destination port: http (80) 目的端口名http（端口号80）Sequence number: 0 (relative sequence number) 序列号（相对序列号）Header length: 28 bytes 头部长度Flags: 0x02 (SYN) TCP标记字段（本字段是SYN，是请求建立TCP连接）Window size: 65535 流量控制的窗口大小Checksum: 0xf73b correct TCP数据段的校验和Options: (8 bytes) 可选项三：开始分析数据在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮现在只有ARP协议了，其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+”，点击它，这一行就会被展开。如下图所示：现在展开第一行。看到的结果如下：在上图中我们看到这个帧的一些基本信息：帧的编号：15（捕获时的编号）帧的大小：60字节。再加上四个字节的CRC计算在里面，就刚好满足最小64字节的要求。帧被捕获的日期和时间：Dec 2，2008帧距离前一个帧的捕获时间差：0.136438000帧距离第一个帧的捕获时间差：4.704371000帧装载的协议：ARP现在展开第二行：我们可以看到：目的地址（Destination）：ff:ff:ff:ff:ff:ff （这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）源地址（Source）：Elitegro_2d:e7:db （00:0d:87:2d:e7:db）帧中封装的协议类型：0x0806，这个是ARP协议的类型编号。Trailer：是协议中填充的数据，为了保证帧最少有64字节。展开第三行：地址解析协议硬件类型：以太网协议类型：IP硬件大小：6协议大小：4发送方MAC地址发送方IP地址目的MAC地址目的IP地址巧用Wireshark有效管理内网身为企业网络管理员必须能够在第一时间发现网络问题和安全隐患，普通的网络诊断方法已经不能够满足高级需求，通过ping法也只能够解决简单网络故障，特别是网络不稳定一会断一会通的情况是简单方法无法排查的。这时就需要专业的网络管理员使用专业的工具去解决，相信各位都听说过sniffer这个网络数据探测软件，通过他可以对网络的所有数据包进行分析，发现故障根源。下面介绍另外一款网络嗅探器Wireshark，他在各个方面的表现是其他sniffer类网络嗅探器无法比拟的。图4图5由于没有设置任何过滤信息和规则，所以Wireshark会对网络中所有数据进行检测，从捕获窗口可以看到各个不同协议数据的数量和占据总数的百分比（如图6）。图6点“Stop”按钮停止检测后我们就可以针对每个网络数据包进行分析了，Wireshark会把刚刚捕获的所有数据包罗列出来，如果数据内容没有加密的话也可以明文显示出来。三、Wireshark应用实例简介Wireshark的初级使用还是非常简单的，但是高级应用和技巧就需要我们在日常工作中去积累和运用了。下面简单介绍三个小应用，希望可以达到抛砖引玉的目的。（1）检测网中是否有MSN或QQ在使用有的时候我们企业不希望员工在上班时通过MSN或QQ聊天，并针对这些IM交流软件进行了封锁，但是封锁和突破总是对立的，很多员工会找到代理工具或者其他方法来突破限制。不过不管他采用何种方法都无法逃避Wireshark的火眼金睛。我们打开Wireshark并设置好监控网卡，之后扫描网络中的数据，收集一段时间后停止捕获来查看数据包，如果网络中有MSN或者QQ在使用，Wireshark会记录这些数据通话，在protocol协议处显示为ICQ的通讯就是OICQ，而显示为MSNMS的话则说明此数据包是MSN发送接收的，并且通过具体内容我们还可以看到MSN的通话对象的邮件地址（如图7）。图7（2）按需捕获制订扫描规则可能会遇到捕获后发现的数据包过多，无法分析的问题。实际上Wireshark容许我们制订过滤规则，也就是说让Wireshark只捕获我们感兴趣的数据包。具体方法是在主界面选择“Capture（捕获）-Capture filter（捕获规则）”，然后根据系统自带的过滤规则或者自己研究他的规则语句来指定适合自己的捕获规则（如图8）。图8这里假设我们只希望针对ARP数据包来检测，来查看网络中是否有ARP病毒的存在，首先需要我们设置ARP过滤规则，然后在捕获窗口中的Capture filter处选择制订的过滤规则ARP，最后点“Start”开始扫描。这样Wireshark将只针对ARP数据包进行捕获，其他数据包将不进行任何记录。具体捕获详细情况我们在捕获窗口中可以一目了然（如图9）。图9（3）检测明文数据包正如前面所说Wireshark可以针对网络中的明文数据包内容进行分析，例如我们在使用telnet来管理路由交换设备时所有的传输数据都是基于明文的，这样通过Wireshark可以将telnet输入的指令分析出来。首先检测网络数据包，如果在检测过程中有人进行telnet操作，那么在数据包显示窗口中会看到对应的telnet协议，以及通讯双方的IP地址信息（如图10）。图10直接查看捕获的每个telnet数据包中的DATA字段就可以看到明文字符了，这就是用户telnet时输入的信息（如图11）。图11Wireshark是功能强大的网络数据捕获工具，他可以帮助我们分析网络数据流量，在第一时间发现蠕虫病毒，木马程序以及A