网络空间安全概论 实验6 网络监听wireshark

设计报告网络监听wireshark介绍Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……Wireshark不是入侵侦测系统（IntrusionDetectionSystem,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。wireshark工作流程（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。wireshark下载安装从官网/下载安装包，在windows环境下进行安装。安装成功后启动界面如下wireshark捕获报文使用wireshark监听本地网卡，捕获数据包。通信建立成功报文的端口36935为客户端的端口502为服务端主动打开。发送SYN，协商windowsize、TCPMSSseq=0len=0MSS=65459win=43690最大窗口大小。服务端接收到syn。回复synack=0+1并发送自身seq=0确认自己的最大win=43690MSS=65459客户端接收到服务端发送来的ack和服务端自身的seq，客户端要发送ack=0+1，给服务端发送确认报文。服务端接收后，通信建立成功数据收发报文分析双击具体报文，查看详细信息可以看到数据收发实际上是应用层协议数据，例如图中是modbus协议的数据报文，如何区分报文是数据报文还是网络报文，可以通过len长度或者下方的协议层查看主动关闭，发送FIN。Seq=328服务端状态为FIN_wait1处于半关闭状态客户端状态为closed_wait处于半关闭状态客户端发送确认ackack=328+1服务端状态为FIN_wait2客户端发送FINseq=133客户端状态为LAST_ack服务端状态为time_wait服务端发送ackack=133+1客户端状态closed服务端状态closed，至此本次通信结束wireshark过滤规则一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：（1）对源地址为的包的过滤，即抓取源地址满足要求的包。表达式为：ip.src==（2）对目的地址为的包的过滤，即抓取目的地址满足要求的包。表达式为：ip.dst==（3）对源或者目的地址为的包的过滤，即抓取满足源或者目的地址的ip地址是的包。表达式为：ip.addr==,或者ip.src==orip.dst==（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用"!"即可。表达式为：!(表达式)二、针对协议的过滤（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。表达式为：http（2）需要捕获多种协议的数据包，也只需对协议进行逻辑组合即可。表达式为：httportelnet（多种协议加上逻辑符号的组合即可）（3）排除某种协议的数据包表达式为：notarp!tcp三、针对端口的过滤（视协议而定）（1）捕获某一端口的数据包表达式为：tcp.port==80（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式表达式为：udp.port>=2048四、针对长度和内容的过滤（1）针对长度的过虑（这里的长度指定的是数据段的长度）表达式为：udp.length<30http.content_length<=20（2）针对数据包内容的过滤表达式为：http.request.urimatches"vipscu"（匹配http请求中含有vipscu字段的请求信息）wireshark捕获浏览网页wireshark无法在未配置对应服务器的ssl相关证书的情况下解析捕获到的https内容，因此才用其捕获http协议的网络内容。分析http报文在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的，它描述了URL中机器的域名，本测试中是。这就允许了一个Web服务器在同一时间支持许多不同的域名。有了这个首部，Web服务器就可以区别客户试图连接哪一个Web服务器，并对每个客户响应不同的内容。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下来是一系列的Accpet首部，包括Accept、Accept-Language、Accept-Encoding、Accept-Charset。它们告诉Web服务器客户Web浏览器准备处理的数据类型。Web服务器可以将数据转变为不同的语言和格式。这些首部表明了客户的能力和偏好。Keep-Alive及Connection首部描述了有关TCP连接的信息，通过此连接发送HTTP请求和响应。它表明在发送请求之后连接是否保持活动状态及保持多久。大多数HTTP1.1连接是持久的（persistent），意思是在每次请求后不关闭TCP连接，而是保持该连接以接受从同一台服务器发来的多个请求。已经查看了由Web浏览器发送的请求，现在来观察Web服务器的应答。响应首先发送“HTTP/1.1200ok”，指明它开始使用HTTP1.1版本来发送网页。同样，在响应分组中，它后面也跟随着一些首部。最后，被请求的实际数据被发送。第一个Cache-c