计算机网络练习WireShark捕获和分析数据包

1、计算机网络练习之使用WireShark捕获和分析数据包Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网 络工具一样，Wireshark也使用pcap network library 来进行封包捕捉。视窗数据包捕获（WinPcap的）：WinPcap的是Windows版本的libpcap 库，它 包括一个驱动程序以支持捕获数据包。Wireshark的使用这个库来捕获 WindowsLive网络上的数据.Wireshark 的优势：- 安装方便。- 简单易用的界面。- 提供丰富的功能。一：安装并运行wires

2、hark开始捕获数据包，如图所示点击第 二行的start开始捕获数据包。：几分钟后就捕获到许多的数据包了，主界面如图所示:=jni 匈xl4 山 £jiw 曰 匚好吗=， 仙11?” 凯L，s”" 4"p工门E 1ap 哥. ClraiT* TVP4i $*”?.Aft 立好 j 0n片中一4II,C-UcubuU一可0口口口皿虫LLu面"包sd巴u .5m . JC . ET并京尸IRCRTP一imi22O.6«1QS0660C0030. 0OOtfS72A4OE9ZMJM比二下开干*秆押M*r改RIP31.4W37430的“配 flOOdS

3、7 2e42f白凶电gOk产开产十件竹什工乂RTPRes ponsedC<JDGOOOO- 口gd8729CW6aCDtJ-MOG, ff ffff ff*ip>.RIPRes pcnse5izzuas，一!Z23.L1H.216 1U4UDF5oyr« psrisvtsi串"9跑步142.168,1.1?55.；、，”；UCPscurce 口mt：1004J2.14 W0OQDOOOOO- DCOd872e4iecaoduc'L ”，用手一开叶尸产IPXDIPRe? ponse8 2.742029t-jDOOlfiS- UQO DOO u-DCOLk

4、询t cjo . -mtf 1LPKUr<non(0W6O3Jq2.7J2111gQSCiQa 03 照"正新&MCOMCO，产钎'行开仔.iPkurincrwn(0*?b03)1<NF箱gf府XQ，千千千产千f尸千千F F*IPXRI PR«7PQC，号11&.133 时ODO 00000. ODOd8 T 2E3fMwy«ua,产f产开ft开十tPKRIPResponse12J.793DOO00000156- DOODO&DDiXjDI口总。北加ff开* f什开尸IPXur*. nown（oxzt）a）13K7S52

5、-43ocooodoo. oaod87Jde«98a X0000Q .射仟r什r +LIPXUrt. ii Wi£ 0X2 MB)1J露辑舞Q< JDCODdC, OOOdn? :He：；也辎岫OCX F忏仔千""忏IPXR- p nME1!£l 4 t&gi口=2H： e *：dbHrcidcastMr.，卜口 h-is19216(1.1.16B.1.4.0720961i.日力*为 MCC_ bf S 6tJ!AH林who h45192.175.6172qWDHi 存,。8。口的口002rff-frrftfTI尸嘉Ur1 njv

6、r.mtw】耳 Fr1 (60 tiyt皿 on wlrn,百百 byt« 彳 IEEE 农口之士 Ethernet, Lcgl-zil-Llnk comrol3 trtT fir'fifitwork Piikfi C 包小七卜后哥42A工总式河叫»叫E«e“15第£油 产 开IT TTTF 升 面7d目才干。占 茄 次 T0 rtT , - 7 ；” 一。处di>3 fffroo?sgoigooooooffrfffffrfB. cDCT2D汗加5J00CK.I0000CIQOd3T±WCi茹M53M%八'0030tW O

7、Og01110001g02130000+, +一“ TlTy Q.，川U/招H4 1r l=MilMfe!i!1IMM ttrtwfH； hhkftlji? Mfflill如上图所示，可看到很多捕获的数据。第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为 0.000秒;第三列是源地址，第四列是目的地址；第五列是数据包的信息。选中第一个数据帧，然后从整体上看看 Wireshark的窗口，主要被分 成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。简单的使用打开软件，选择：capture->options， 在 interface 中

8、选择一个网卡，并且在 capture ->capturefilters 中增加一个过滤器，常用的过滤器如ip.addr= 然后点 capture-> start ，就开始抓包了。要停止的话capture->stop当然也可以用上面的图标。抓到了包之后，是二进制的，在包上面点击右键选择Follow TCP Stream ，就可以看到http 包了。帧号 时间 源地址目的地址高层协议包内信息概况No. Time Source Destination Protocol Info1 0.000000 252 T

9、CP 2764 > http SYNSeq=0 Len=0 MSS=1460源端口>目的端口请求建立TCP 链接 以下为物理层的数据帧概况Frame 1 (62 bytes on wire, 62 bytes captured) 1 号帧， 线路 62 字节， 实际捕获 62 字节Arrival Time: Jan 21, 2008 15:17:33.910261000 捕获日期和时间Time delta from previous packet:0.00000 seconds 此包与前一包的时间间 隔Time since reference or first frame: 0.0

10、0 seconds 此包与第1 帧的间隔时Frame Number: 1Packet Length: 62 bytesCapture Length: 62 bytes Frame is marked: False Protocols in frame: eth:ip:tcp Coloring Rule Name: HTTP间帧序号帧长度捕获长度此帧是否做了标记：否帧内封装的协议层次结构用不同颜色染色标记的协议名称：HTTPColoring Rule String: http | tcp.port = 80 染色显示规则的字符串：以下为数据链路层以太网帧头部信息Ethernet II, Src:

11、 AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1 d:0a (00:d0:2b:e5:1d:0a)以太网协议版本II,源地址：厂名_序号(网卡地址)，目的：厂名_序号(网卡 地址)Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的：厂名序号(网卡地 址)Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61) 源：厂名序号(网卡地 址)Type: IP (0x0800)帧内封装的上层协议类型为IP (十六进制码0800)以下为互联网层IP包头

12、部信息Internet Protocol, Src: 25 (25), Dst: 2 (2)互联网协议，源IP地址，目的IP地址Version: 4互联网协议IPv4 (此部分参看教材页图122的IPv4数据报字段结构)Header length: 20 bytesIP 包头部长度Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)差分服务 字段Total Length: 48IP 包的总长度Identification:0

13、x8360 (33632)标志字段Flags:标记字段(在路由传输时，是否允许将此IP包分段，教材页)Fragment offset: 0分段偏移量(将一个IP包分段后传输时，本段的标识)Time to live: 128生存期 TTLProtocol: TCP (0x06)此包内封装的上层协议为TCPHeader checksum: 0xe4ce correct头部数据的校验和Source: 25(25)源 IP 地址Destination: 2(2)目的 IP 地址以下为传输层TCP数据段头

14、部信息Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80),Seq: 0, Len: 0传输控制协议TCP的内容Source port: 2764 (2764)源端口名称(端口号)(此部分参看教材149页图5. 7)Destination port: http (80)目的端口名 http (端口号 80)Sequence number: 0 (relative sequence number)序歹！J号(相对序歹U号)Header length: 28 bytes头部长度Flags: 0x02 (S

15、YN)TCP标记字段(本字段是 SYN ,是请求建立TCP连接)Window size: 65535流量控制的窗口大小Checksum: 0xf73b correctTCP 数据段的校验和Options: (8 bytes)可选项三：开始分析数据 在下图中Filter后面的编辑框中输入：arp （注意是小写），然后回车或者点击“ Apply”按钮现在只有AR的议了，其他的协议数据包都被过滤掉了。 注意到中间部分的三行前面都有一个“ +”，点击它，这一行就会被展开。如下图所示：现在展开第一行。看到的结果如下:=-FraniE H b/tes od 击丁登下apXured.二iTrl HfHE：

16、. . 3.书 1；Tiffl# d«lt 4 f rm pr?f ous- n 中解0d 千am白：口二;M3典加 secondsTime - frofl pr«v1 qus -UH fr«it s 4i7M171Hra “end*71m» f irit做 cr Mr4i-t. 7G4371ODO ifir： ordsFramt Nwibtr; 1)*F。合 Liengihi? 80 Uyr虫5t司M，号L管n审h； S =(Fraffe Is marksd FalseprgtQCQ'i5 An *皿晡；<xh- ArpiColoring

17、 Rule 训包：她P(coloring mul# Sxr1 ngs Arp咽 ifthmn配 XI. §rt： til tnn_2cl: t7rdb«7：2d： »7； db). Mt ： Srcur:ff iff :ff :ff :f ff Address ResolurIcmh Prcxocol (r&qwe«)在上图中我们看到这个帧的一些基本信息：帧的编号：15 （捕获时的编号）帧的大小：60字节。再加上四个字节的CRCT算在里面，就刚好满 足最小64字节的要求。帧被捕获的日期和时间：Dec 2, 2008帧距离前一个帧的捕获时间差：0.

18、136438000帧距离第一个帧的捕获时间差：4.704371000帧装载的协议：ARP现在展开第二行:-4钻于由 口+ 3”；匚Ht啊口_JO；r；曲 f初；工出2；如）* Mt: xid口it;十；干曾/&dER t艮节千二千F币F :f手:肝2尸 j«. .» . .1 *M« «. . -&oup address 0«u11 ist/brd dtis IJ.1 . .l ucall j(rhtf If hot th® ficrwjf Snjrer1力二七手工：比匕(口0；3泮九士由：九由？国MpfMe目 林因兀

19、_?土也门幽£5-口由贯:割门曲). .,4 . . ,.u . * 1： IH/rc，(Mn>1cAit j.一q.0. p 1, . 一 . jg 酬辛i»1q：uaf-8A 4“ 5口rjpB ： >ftp (o-jf Daos)Frail er i国加加值mow/goo国国如oaM忖取窗不八和2工专口5nli/rl" proi' icri1(印旧父；WM HBUIjUaMB W M 犷“ eT <tTG帕电5 饰gLa M 3 枇 S 3 修 口： M 97 Md *F £1招肛L 四 ； -M?。词 g W M M 忡

20、S NG28 ®QQ g Q*1odJcoo fid ob tid de bo ds> Mm: 1d必心的| iMt Hm+w. HIfhf kCk h力 FaAtlji Uffl MfLyN- M4. 4la.*E； ir/filj我们可以看到:目的地址(Destination ):任任任任任仟(这是个 MACfe址,这个MACfe址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧)源地址(Source) : Elitegro_2d:e7:db (00:0d:87:2d:e7:db )帧中封装的协议类型：0x0806,这个是AR刖议的类型编号。Trailer :是协

21、议中填充的数据，为了保证帧最少有64字节。展开第三行:Idh pt attypfr； Et hrri« <0x00013rtnzocoi TypF二 ip (OYjaau)dirst*4re 51工空；v口pd: r equec；< (QnOOOl)Strider MAC address : e1 tt e-o2d； fr7 ;db(Q0：Od ； $7 ； W d ； 27*dbWider IP dddTEE7： 197.168.1, 131168,1-1313Tarqet MM asdres-T ; 00 jOO：OCi_OC：uti (aCrfOOlOOlCl>

22、;'OC .)Target ip address.： 132.168.1.b f I r 1 I 4 4一一一_37 2d 电了 g 工。iS-01qooq rr ff rr ff ff ff od az 2d 了 曲 qq q。0010的2。OS 00 06 04 QO 01 00 Cd00 08 00 0口岫 00 g ag,工mi 他 Fm Ibsl :ur.1 28 八曲曲匕：1 匹TBJ 6&V N-ir：k*d D地址解析协议 硬件类型：以太网协议类型：IP 硬件大小：6协议大小：4发送方MACfe址发送方 IP 地址目的MA电址目的IP 地址巧用Wireshark

23、 有效管理内网身为企业网络管理员必须能够在第一时间发现网络问题和安全隐患，普通的网络诊断方法已经不能够满足高级需求，通过ping 法也只能够解决简单网络故障，特别是网络不稳定一会断一会通的情况是简单方法无法排查的。这时就需要专业的网络管理员使用专业的工具去解决， 相信各位都听说过sniffer 这个网络数据探测软件，通过他可以对网络的所有数据包进行分析，发现故障根源。下面介绍另外一款网络嗅探器 Wireshark ，他在各个方面的表现是其他 sniffer 类网络嗅探器无法比拟的。由于没有设置任何过滤信息和规则，所以Wireshark会对网络中 所有数据进行检测，从捕获窗口可以看到各个不同协议

24、数据的数量和 占据总数的百分比（如图6）。点“Stop”按钮停止检测后我们就可以针对每个网络数据包进行 分析了，Wireshark会把刚刚捕获的所有数据包罗列出来，如果数据 内容没有加密的话也可以明文显示出来。三、 Wireshark 应用实例简介Wireshark 的初级使用还是非常简单的，但是高级应用和技巧就需要我们在日常工作中去积累和运用了。下面简单介绍三个小应用， 希望可以达到抛砖引玉的目的。(1)检测网中是否有MSNg QQ&使用有的时候我们企业不希望员工在上班时通过MSN QQM天，并针对这些IM 交流软件进行了封锁，但是封锁和突破总是对立的，很多员工会找到代理工具或者其他

25、方法来突破限制。不过不管他采用何种方法都无法逃避Wireshark 的火眼金睛。我们打开Wireshark 并设置好监控网卡，之后扫描网络中的数据，收集一段时间后停止捕获来查看数据包，如果网络中有MSNK者Q瘫使用，Wireshark会记录这些数据通话，在 protocol协议处显 示为ICQ的通讯就是OICQ而显示为MSNMS话则说明此数据包是 MSNt送接收的，并且通过具体内容我们还可以看到MSN勺通话对象的邮件地址(如图7)。(MrFtxH 询T - UvSMi2 D, 41K-B8 K*用1M3。；抖1«1 CftuHHtMF UM m 10191. SDu Jl-* T*V

26、 LD.«L.fM口工工融广 *if»jr-wJ.9:S9：r* >01吮*”+ h*5 K 血小】工 t t.i I 如4 dng也 SWOWMi&WWWQp Wfff fff EPM » UWW QWfryto. Jt. .40MJ.23S.>t 1#» HQ金九轴XJL仇" SC<11 L.49M44 rnnmomo /，/ n M*reiT 5i*ryE. 3WHM晒 ci5«i_53；rfb：Bi蝠rrrliia+tref-tfor stf c#<.三|/00：此；*1;口的二即 CffJ|J

27、 1 lnSi J- frtn W liT?岛PtEf bQl/OjC-,UCKhl '4 VI d g工"3皿”Ql n.)KH91： r4lMMIL融*X>.4©» 4，"丁"环，f，i-.-v- » ".帆：.1；（信弁：叫，+JT”GMt 51 -：） , HT 廿小13 *FwSm】(k yj.jc-x4u匚HxidMX4 % .二/仁KCWOW'fHfHetMflgA0qJ.01445耳尊叫/3 1G ： r 4”* m1l网一凡妙用10.：43uJr itil K.".九；八k二

28、3社*晤。JaJti内7dF以口UPHfMDUP：上 W4rp;t4 h*j who h4t中i匚i盆/号 官!工境何3，二曰4taftc hu IWrQa. LU. !4 r El】 LM/d. ,&T . u |-I：r 1 J| - ' '.：I. , - ( I J 'h ：" ：t； 1*3 f -.!内%+MGT MT.MJM 轴,乳二九钟T*M h=R ' kF-rCT Wlril".iLR- Jj-K i,J .'PfrfrJ'TSlI 1 .£«&i Fe Vt G口 V】

29、nn TH* M，1E 二坪*HI/ Eww i. src： mng*tuJ>:ft;找(的料上箝* 目" toapmui_4b:+鼾U帖m上;U),jmvmrL pmgl. irc> 而-*丁1-H OM.M.lMLp. Mt:口必效.g.*占 Tr«aUtlon CtHtral rmocsl, Arc Mrli U4I QM3% 4tt tart:双5Mqi g AAi t, l«m 14*, "!»，"E“。自0:i?牛L ft-4 11 5T 4*3，«* 四|*13 8$* 4<r1 bb唱 学,限处* - 3i 7 *¥bH 门 ，-&力£丁 作？* U曰. Ixwlifr-A 娶坛!?时 0-1 * w* 4 aT 工