抓包软件的使用

1、 抓包软件的使用 课程内容课程内容 概述概述 使用须知使用须知 软件使用软件使用 实用案例实用案例 本章小结本章小结 概述概述 为什么要使用抓包软件？为什么要使用抓包软件？ 在网络出现故障时，通常会检查网络设备的状态如： 配置是否正确、协议运行是否正常、数据帧/包的发 送和接收是否有异常等等。使用show/debug即可 但对于网络中正在传输的数据的具体状况，show 和debug则无能为力 在实际网络中，互联的设备通常属于不同的厂家或 者部门，对方设备通常不会开放权限 此外，使用抓包软件可以使我们更好的学习和理解 各种协议、功能 概述概述 常见的抓包软件有哪些？常见的抓包软件有哪些？ sni

2、ffer etherpeek tcpdump ethereal/wiresharkwireshark 概述概述 wiresharkwireshark的主要特点的主要特点 软件开源，没有版权问题 捕获信息实施查看 储存捕获信息灵活，不受存储容量限制等 支持协议丰富，可兼容其他常见的抓包软件格式 课程内容课程内容 概述概述 使用须知使用须知 软件使用软件使用 实用案例实用案例 本章小结本章小结 使用须知使用须知 软件的获取软件的获取 wireshark软件请自行去官方网站下载并安装 （ ），目前最新的版本是 v0.99.7。 由于安装过程非常简单，此处就不在赘述

3、。 使用须知使用须知 需要硬件支持需要硬件支持 wireshark本身可以支持的协议种类非常丰富，但 由于常见的pc工作平台只有以太网接口，导致我们 只能捕获并分析以太网环境中的相关信息 wireshark等抓包软件捕获的内容，只是经过指定 以太网接口的数据信息 常见的以太网组网设备有hub和switch等两种，使 用时有所不同。 使用须知使用须知 需要硬件支持（续）需要硬件支持（续） hubhub 由于其工作原理为“广播”。所以，wireshark主 机只要连接到同一个hub（冲突域）中，就能获 取到所有的网络信息。 在hub组网时，wireshark不仅能够捕获到自己网 卡上的数据收发情况

4、，而且同时能捕获到其他主 机之间的通信状况 使用须知使用须知 需要硬件支持（续）需要硬件支持（续） switchswitch 由于switch是一种带宽独享的设备，图中pc1与 pc2的数据交互，除“广播信息”外，不会发送 到wireshark主机。此时，wireshark主机只能捕 获到自己网卡上的数据收发 使用须知使用须知 需要硬件支持（续）需要硬件支持（续） 按需使用按需使用 目前以太网组网几乎已经清一色的变成交换机， 如果此时如果要使用wireshark来捕获其他主机之 间的通信，必须对交换机进行配置，使得正常通 信的端口之间数据也能“复制”到捕获端口 如果局域网是由hub组成的，那使

5、用起来就比较 简单。但需要注意的是：由于传统的hub端口带 宽多为10m，如果以太网数据流量较大，请慎用， 以免对网络造成影响 使用须知使用须知 端口镜像端口镜像 mirrormirror 这是一个交换机监控、管理中常用的一个功能。 需要指定源端口和目的端口，源端口所有的收/发 信息都会被复制到目的端口。 mirror sessionmirror session 1 1 source interfacesource interface both | tx | rx mirror session 1 destination interface mirror session 1 destinati

6、on interface * * *被镜像端口可以同时指定多个 使用须知使用须知 端口镜像（续）端口镜像（续） show mirror sessionshow mirror session 课程内容课程内容 概述概述 使用须知使用须知 软件使用软件使用 实用案例实用案例 本章小结本章小结 软件使用软件使用 软件使用软件使用 wireshark的软件功能是非常强大的，所有的功 能细节有成百上千，但我们常用的功能无外乎如 下几种： 捕获捕获 查看查看 过滤过滤 编辑编辑 软件使用软件使用 软件使用捕获软件使用捕获 wireshark开始捕获前需要进行必要的设置： 1、captureinterfac

7、e中指定相应的网卡 2、同时也可以进入options选项中自定义参数 软件使用软件使用 软件使用捕获（续）软件使用捕获（续） 确认相关的网卡之后，wireshark会自动开始抓包 使用工具栏前5个按钮可以控制其“开始”“结束” 软件使用软件使用 软件使用查看软件使用查看 wireshark的查看与捕获是同一窗口。输出内容中 分为三个区域： 数据包列表、当前包的协议信息、十六进制详情数据包列表、当前包的协议信息、十六进制详情 软件使用软件使用 软件使用查看（续）软件使用查看（续） 数据包列表数据包列表 数据捕获时，是以帧/包为单位的，每个单位在 list中就是一个条目，按照时间先后排列显示 每个

8、list条目中包含地址、协议类型等简要信息 当前窗口中默认显示最近更新的帧/包的信息 不同的帧/包可以自定义不同的颜色，方便阅读 软件使用软件使用 软件使用查看（续）软件使用查看（续） 当前帧当前帧/ /包的详细协议信息包的详细协议信息 对于当前选中的帧/包，会按照osi七层模型的顺 序，以目录的形式详细显示该帧/包的详细情况 wireshark会对每个展开项做出解释，包括协议、 参数等等；要读懂这些信息，必须要求对相关原 理有详尽理解和掌握 软件使用软件使用 软件使用查看（续）软件使用查看（续） 十六进制详情十六进制详情 这部分内容相当于是，当前选中的帧/包的物理 层信息，可读性较差 软件使

9、用软件使用 软件使用查看（续）软件使用查看（续） 阅读列表信息，可以从各个帧/包的先后顺序中， 看出协议的工作原理，甚至进行故障的初步定位 当前帧/包的详细协议信息，是对列表信息的细化， 可用于疑似故障的进一步定位。实际上使用 wireshark等抓包软件的大部分工作都是在这里 十六进制代码制度性比较差，但可以用来比较两 个帧/包是否完全相同 软件使用软件使用 软件使用过滤软件使用过滤 过滤过滤filterfilter 捕获执行的时候，信息量通常非常大；其中真正 有用的信息确很少，此时就有必要加入filter功能 来减少干扰信息 在使用filter功能时，可以先设定filter再进行抓包； 也

10、可以先抓包，再进行filter过滤 软件使用软件使用 软件使用过滤（续）软件使用过滤（续） 先过滤再捕获先过滤再捕获 可以有效减少捕获信息的数量，有利于实时观察； 同时，也有利于减少wireshark主机的存储空间占 用 但这种方式可能会遗漏一些潜在的重要信息 先捕获再过滤先捕获再过滤 好处是可以确保捕获到所有的数据信息 缺点是wireshark的存储空间可能会很快被耗尽； 同时由于大量干扰信息的存在，对于阅读很不利 根据实际需要来选择过滤的方式 软件使用软件使用 软件使用过滤（续）软件使用过滤（续） 要打开过滤功能，无论是哪种方式，可直接在 wireshark主界面的filter栏中直接填写

11、 不同于其他的抓包软件，wireshark的filter是使 用表达式表达式来编写的，虽然入手较困难，但应用起 来非常灵活，功能很强大，推荐使用 这些表达式的主要分为两部分： 常见函数常见函数 逻辑关系逻辑关系 软件使用软件使用 软件使用过滤规则软件使用过滤规则 常见函数常见函数 etheth 只显示以太网帧 eth.addreth.addr = aa:bb:cc:dd:ee:ff 只显示源或目的mac地址为的以太网帧 eth.src / eth.dsteth.src / eth.dst =aa:bb:cc:dd:ee:ff 与eth.addr类似，可以具体指定源、目的地址 软件使用软件使用

12、软件使用过滤规则（续）软件使用过滤规则（续） 常见函数常见函数 ipip 只显示ip包 ip.addr ip.addr = a.b.c.d 只显示源或目的地址为的ip包 ip.src / ip.dstip.src / ip.dst = a.b.c.d 与ip.addr类似，可以具体指定源、目的地址 ip.host = ip.host = 相比于ip.addr，可以支持域名 软件使用软件使用 软件使用过滤规则（续）软件使用过滤规则（续） 常见函数常见函数 tcptcp 只显示tcp报文 tcp.port tcp.port = number 只显示源或目的端口为的tcp报文 tcp.srcport

13、 / tcp.dstporttcp.srcport / tcp.dstport = number 与tcp.port类似，可以具体指定源、目的端口 udpudp的函数与的函数与tcptcp的类同的类同 软件使用软件使用 软件使用过滤规则（续）软件使用过滤规则（续） 常见函数常见函数 httphttp 只显示http的报文，tcp.dstport = 80 telnettelnet 只显示telnet的报文，tcp.dstport = 23 dhcpdhcp 只显示dhcp的报文 arparp 只显示arp的报文 软件使用软件使用 软件使用过滤规则（续）软件使用过滤规则（续） 逻辑关系逻辑关系

14、某些函数需要指定参数的，可以按照下面的符号 来确立关系，分别为等于、不等于、大于/小于、 不小于/不大于 = !=!= / = = / = = 软件使用软件使用 软件使用过滤规则（续）软件使用过滤规则（续） 逻辑关系逻辑关系 有些时候，过滤需要多个函数来联合定义，不同 的函数之间可以使用如下的关系来定义，分别是 与、否、或，当然“括号”是用于辅助的 andand notnot | () () 软件使用软件使用 软件使用过滤规则（续）软件使用过滤规则（续） 举例举例 eth.addr = 11:22:33:44:55:66 ip.src = and ip.dst = 4.3.2.

15、1 not arp and !(udp.port = 53) tcp.port = 69 | udp.port = 69 看看这些filtre分别是什么含义？ 软件使用软件使用 软件使用过滤规则软件使用过滤规则 要打开过滤功能，无论是哪种方式，可直接在 wireshark主界面的filter栏中直接填写 不同于其他的抓包软件，wireshark的filter是使 用表达式表达式来编写的，虽然入手较困难，但应用起 来非常灵活，功能很强大，推荐使用 这些表达式的主要分为两部分： 常见函数常见函数 逻辑关系逻辑关系 软件使用软件使用 软件使用编辑软件使用编辑 前面介绍的内容都是如何捕获网络上现成的数

16、据， 而“编辑”是指按照特定的要求来制造一个/组报 文。并通过以太网接口发送到网络上 编辑功能通常用于测试网络设备对某种特殊数据 报文的反应 大多数的数据报文结构非常复杂，其中包含了大 量的参数域，对于初学者而言，要凭空编辑一个 指定的报文，难度非常高 通常我们先捕获一个类似的数据帧/包，然后再根 据需要对其进行修改 软件使用软件使用 软件使用编辑（续）软件使用编辑（续） wireshark暂时还不支持数据帧/包的编辑功能， 需要时可以使用其他的收费软件，如：sniffer、 etherpek等 大多数的抓包分析应用中，捕获、查看、过滤功 能足矣 课程内容课程内容 概述概述 使用须知使用须知

17、软件使用软件使用 实用案例实用案例 本章小结本章小结 实用案例实用案例 数据包比较数据包比较 某企业进行宽带接入组网，使用的核心技术是 nat，但在进行静态端口映射的时候发现，外网 的用户根本无法访问内网服务器，同时，路由器 配置和其他状态来说都是正常的 可以使用wireshark分别在路由器内网和外网进行 抓包，观察路由器是否正常接收到数据，并且通 过比对，判断路由器是否正常处理 实用案例实用案例 协议流程跟踪协议流程跟踪 某用户使用路由器充当dhcp服务器，但链接并 设置完成之后发现，用户根本就无法“自动获取 ip地址”，可以将wireshark接入网络中，跟踪 dhcp报文的交互流程，与

18、协议原理比对之后可 以判断问题在哪里 实用案例实用案例 过滤设置过滤设置 在前面的两个实验中，分别使用合适的filtre，减 少捕获信息的量，提高信息的可读性 实用案例实用案例 长时间长时间/ /大量抓包大量抓包 某网络在运行时总是出现奇怪现象，每隔两天左 右就会出现网速很慢的情况。 由于时间没有明显规律，所以只能持续抓包；且 需要捕获的数据也没有规律，无法应用filter；且 抓取的所有信息都要保存下来，只用内存空间显 然是不够的。 实用案例实用案例 长时间长时间/ /大量抓包（续）大量抓包（续） 在captureoptions中，可以设定存储成多个 文件，可以根据文件大小，也可以根据时间来设 定 不影响结果的前提下，应尽可能的使用filter功能 来减小数据量 实用案例实用案例 思考思考 有一台设置好可以访问internet网络的pc主机， 正常开机后。用户使用foxmail接收了邮件，请分 析一下该过程