实验四、使用Wireshark网络分析器分析数据包_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
实验四、使用Wireshark网络分析器分析数据包
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩14页未读，继续阅读
你可能喜欢捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸
捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸
Wireshark网络分析实例集锦大学霸
捕获广播或多播地址数据广播地址就是当IP地址的网络和主机位全为1时，就是广播地址255.255.255.255。该地址应用于网络内的所有主机。该地址通常用在向局域网内所有主机发送广播包时，其目的地址就是广播地址捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。
多播地址即组播地址，是一组主机的表示符。在以太网中，多播地址是一个48位的标示符。在IPv4中，它历史上被叫做D类地址，它的范围是224.0.0.0到239.255.255.255。广播地址全1的48位地址，也属于多播地址捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。
通过监听广播和多播，可以在Wireshark中了解到关于网络上主机的数据。下面列出几个常用的例子，如下所示：
ip broadcast：捕获到255.255.255.255的数据。
ip multicast：捕获通过239.255.255.255到224.0.0.0的数据。
dst host ff02::1：捕获所有主机到IPv6多播地址的数据。
dst host ff02::2：捕获所有路由到IPv6多播地址的数据。
如果只想捕获所有IP或IPv6的数据，使用ip或ipv6捕获过滤器。
【实例3-6】捕获广播地址数据。具体操作步骤如下所示：
（1）启动Wireshark捕获工具。
（2）在捕获窗口中设置捕获过滤器为ip 255.255.255.255，如图3.31所示。 图3.31
设置广播地址过滤器
（3）从该界面可以看到指定的过滤器和捕获文件的位置。此时单击Start按钮，将开始捕获数据，如图3.32所示。图3.32
捕获的广播地址数据
（4）从该界面可以看到所有数据包，都是发送给255.255.255.255主机的。
捕获MAC地址数据
当想要捕获到/来自一个主机IPv4或IPv6的数据时，可以创建一个基于主机的MAC地址捕获过滤器。自从MAC头部被剥去，并且通过沿着路由器的路径应用。这样确保了，网络片段和目标主机片段一样捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。
ether host 00:08:15:00:08:15：捕获到/来自00:08:15:00:08:15主机的数据。
ether src 02:0A:42:23:41:AC：捕获来自02:0A:42:23:41:AC主机的数据。
ether dst 02:0A:42:23:41:AC：捕获到达02:0A:42:23:41:AC主机的数据。
not ether host 00:08:15:00:08:15：捕获到/来自除了00:08:15:00:08:15的任何MAC地址的流量。
【实例3-7】仅捕获到/来自其它MAC地址的数据。具体操作步骤如下所示：
（1）使用ipconfig或ifconfig命令，查看活跃接口的MAC地址捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。
（2）在工具栏中单击 按钮，打开捕获选项界面，如图3.33所示。图3.33
（2）在该界面的捕获区域，选择捕获数据的接口（本地连接）的复选框。在这个捕获区域双击选择接口行的任何一处，启动编辑接口设置窗口，如图3.34所示。图3.34
编辑接口设置
（3）在该界面输入not ether host xx.xx.xx.xx.xx.xx（以太网地址），如图3.34所示。
（4）为了方便以后使用该过滤器，这里将保留此过滤器。单击Capture Filter按钮，将显示如图3.35所示的界面。图3.35
保存捕获过滤器
（5）在该界面修改过滤器名字，设置为NotMyMAC。然后单击New按钮，该过滤器创建成功，如图3.36所示。图3.36
创建捕获过滤器
（6）从该界面可以看到NotMyMAC捕获过滤器被成功的创建。此时单击OK按钮，将看到如图3.37所示的界面。图3.37
创建的捕获过滤器
（7）从该界面可以看到新创建的捕获过滤器。现在单击Start按钮，将开始捕获捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。
（8）此时，用户可以在非MAC地址为00-0C-29-56-8D-21的所有主机上进行操作。通过访问各种网站、登录服务器或发生邮件，产生主机间的数据流量。
（9）返回到Wireshark主界面，单击 （停止捕获）按钮。捕获到的数据，如图3.38所示。图3.38
捕获的数据
（10）在该界面通过滚动鼠标，查看捕获的所有数据。在该捕获文件中，将不会出现MAC地址为00-0C-29-56-BD-21主机的数据。
捕获端口应用程序数据
在Wireshark中想要使用捕获过滤器捕获应用程序的数据时，需要使用端口过滤器。本节将介绍捕获端口应用程序数据捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。
捕获所有端口号的数据
在网络中，大部分的应用程序都有相应的端口号，如DNS、HTTP、FTP。下面列出了一个最常用应用程序捕获过滤器的列表捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。如下所示：
port 53：捕获到/来自端口号为53的UDP/TCP数据（典型的DNS数据）。
not port 53：捕获除到/来自端口号为53的所有UDP/TCP数据。
port 80：捕获到/来自端口号为80的UDP/TCP数据（典型的HTTP数据）。
udp port 67：捕获到/来自端口号为67的UDP数据（典型的DHCP数据）。
tcp port 21：捕获到/来自端口号为21的TCP数据（典型的FTP命令行）。
portrange 1-80：捕获到/来自1-80端口号的UDP/TCP数据。
tcp portrange 1-80：捕获到/来自1-80端口号的TCP数据。
【实例3-8】捕获端口为80的所有数据包。具体操作步骤如下所示捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸：
（1）启动Wireshark工具。
（2）在捕获选项窗口中设置捕获80端口数据的过滤器，并保存该文件，如图3.39所示。图3.39
设置端口过滤器
（3）从该界面可以看到设置的捕获过滤器和文件保存位置。设置完后单击Start按钮，将显示如图3.40所示的界面。图3.40
捕获80端口的数据
（4）从该捕获文件的Protocol列可以看到所有的协议都为TCP和HTTP。这两种协议的数据包，都是来自80端口的。
结合基于端口的捕获过滤器
当用户想要捕获到/来自各种非连续端口号的数据，可以通过组合各种逻辑运算符来实现捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。如下所示：
port 20 or port 21：捕获到/来自20或21端口号的所有UDP/TCP数据。
host 10.3.1.1 and port 80：捕获到/来自端口号为80，并且是到达/来自10.3.1.1主机的UDP/TCP数据。
host 10.3.1.1 and not port 80：捕获到/来自10.3.1.1主机，并且是非80端口的UDP/TCP数据。
udp src port 68 and udp dst port 67：捕获来自端口为68，目标端口号为67的所有UDP数据（典型的DHCP客户端到DHCP服务的数据）。
udp src port 67 and udp dst port 68：捕获来自端口号为67，目标端口号为68的所有UDP数据（典型的DHCP服务器到DHCP客户端的数据）。
提示：尽可能不要使用捕捉过滤器。当捕获大量的数据时，可以通过使用显示过滤器过滤特定的数据。
【实例3-9】捕获192.168.0.110主机上非80端口的数据捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。具体操作步骤如下所示：
（1）启动Wireshark工具。
（2）在捕获选项窗口中设置捕获主机192.168.0.110上非80端口数据的过滤器，并保存该文件，如图3.41所示。图3.41
设置的过滤器
（3）在捕获过滤器区域设置捕获过滤器后，单击Start按钮，将显示如图3.42所示的界面。图3.42
捕获的数据
（4）此时，在该捕获文件中的Protocol列，将不会看到有TCP和HTTP的数据。因为TCP和HTTP协议的数据包，端口号是80捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。网络工具Wireshark的简单使用
1、概念：Wireshark是网络包分析工具
1)&&&&&& 是在接口实时捕捉网络包，并详细显示包的详细协议信息。Wireshark可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。
2)&&&&&& 可以打开多种网络分析软件捕捉的包，可以支持多种协议的解码。我们可以用它来检测隐患、解决网络问题，也可以用它来学习网络协议、测试协议的执行情况。
&&&& 不会处理网络事务，它仅仅是&测量&（监视）网络。
&&&& 不会发送网络包或其它交互性的事情。
[root@attack ~]# yum& install& wireshark-*&&
[root@attack ~]# wireshark
图1、wireshark启动后的界面
5、监听ARP协议并分析数据包
图1、选中&Filter&
图2、选中&Expression&
图3、选中&ARP&协议 | &确定&
图4、填写过滤规则名称 | &确定&
图5、选中图标
图6、选中&eth1&接口的&Start&
图7、捕获ARP数据包
注释：第一列&& 捕获数据的编号
&&&&& 第二列&& 捕获数据的时间，从开始捕获算为0.000秒
&&&&& 第三列&& 是源地址
&&&&& 第四列&& 是目的地址
&&&&& 第五列&& 是协议名称
&&&&& 第六列&& 是数据包信息
图8、停止监听
图9、Wireshark整体布局
注释：Wireshark 窗口布局从上到下
2) 数据帧列表
3) 数据帧描述信息
4) 数据帧里的数据
图11、Frame（帧）相关信息
帧的编号：Frame& Number& 1269（捕获时的编号）
帧的大小：Frame& Length&& 60字节
捕获的大小：Capture Length& 60字节
帧被捕获的时间：Arrival& Time ：& 9:43
帧装载的协议：ARP
图12、Ethernet相关信息
Destination&& 目的MAC地址：
Source&&&&&& 源MAC地址
Type：ARP&& 帧中封装的协议类型
Trailer&&&&&& 帧中填充的数据，为了保证帧最少有64个字节。
特别要注意的是：Destination MAC地址只有在局域网中才是真正目标主机的MAC地址。当目标主机和来源主机不再同一个网段的话，Destination MAC表示网关的MAC地址。
图14、地址解析协议
Hardware& type： 硬件类型（以太网）
Protocol&& type： 协议类型 (IP)
Hardware& size： 硬件大小(6)
Protocol&& size： 协议大小(4)
Sender MAC address： 发送方的MAC地址
Sender IP& address ：发送发的IP地址
Target MAC address：接收方的MAC地址
Target IP address ：& 接收方的IP地址
图15、数据帧成对出现
注释：由捕获数据帧的时间可知，ARP数据帧成对出现。
一个是 ：repuest（请求）
另一个 ：reply& （应答）
需要注意的是：ARP所有的请求数据帧的目标MAC地址都是：00:00:00:00:00:00
6、监听并分析PING数据包
注意：PING使用的ICMP协议。
6.1 ICMP概述：
全称 Internet Control Message Protocol，中文名为因特网控制报文协议。工作在OSI的网络层，向暑假通讯中的源主机报告错误。
6.2 ICMP作用：
网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议时一个无连接的协议，它不会处理网络层传输中的估值，而位于网络层的ICMP协议却正好弥补了IP协议的缺陷，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错误信息反馈
6.3 ICMP的报头结构：
6.4 ICMP协议提供的报文类型（由类型和代码共同决定）：
回送应答（ping）应答
目的不可达：
网络不可达
主机不可达
协议不可达
端口不可达
需要进行分片但设置了不分片位
源站选路失败
目的网络不认识
目的主机不认识
源主机被隔离（作废不用）
目的网络被强制禁止
目的主机被强行禁止
由于服务类型TOS，网络不可达
由于服务类型TOS，主机不可达
由于过滤，通信被强制禁止
优先权中止生效
远端被关闭（基本流控制）
对网络重定向
对主机重定向
对服务类型和网络重定向
对服务类型和主机重定向
请求回送（Ping请求）
路由器请求
传输期间TTL为0
在数据报组装期间TTL为0
参数问题：
坏的IP报头（包括各种差错）
缺少必须的选项
时间戳请求
时间戳应答
信息请求（作废不用）
信息应答（作废不用）
地址屏蔽码请求
地址屏蔽码应答
6.5监听ping数据包并进行分析
图1、选中&Filter（过滤）&图标
图2、删除&arp&字符串 | 选中&Expression&
图3、选中&ICMP&协议 | &确定&
图4、命名过滤规则 | &确定&
图5、选中图标列出接口
图6、选中&eth1&接口的&Start&图标
图7、选中&Continue without& Saving（不保持退出）&
注意：之前捕获的数据根据需要选择是否报存
图8、发送一个PING包
图9、捕获了一次PING的数据帧
有上图可知：ping操作一次产生一对数据帧。
图10、Frame（帧）状态
Arrival Time ：捕获时间 & 11:40:03
Frame Number：帧号&&& 2458
Frame Length：帧长度&& 98字节
Capture length：捕获长度& 98字节
Frame is marked：帧标记
Protocols in frame：帧装载协议 ICMP
图11、Ethernet状态信息
Destination：目标MAC地址
Source ：来源MAC地址
协议类型：IP
图12、IP协议状态信息
Version& ：使用版本 IPv4
Header length ：头部长度20字节
Flags ：标记位
Time to live ：TTL最大跳数 64
Protocol ： 协议 ICMP
Header checksun：数据帧校验
Source ：源地址（发起PING的主机）
Destination ：目的地址（PING的目标主机）
图13、ICMP状态信息
Type ： 类型 8& PING 请求
Code ： 代码0
Checksun ：校验& 正常
Identifier ：标示符
Sequence number ：序号& 1
图14、Data状态信息
图15、选中&reply&数据帧
注意：应答包和请求包大体相似，主要区别是源地址和目标地址互换了位置
7、TCP协议分析：
7.1 TCP概念
TCP，全称Transfer Control Protocol，中文名为传输控制协议，它工作在OSI的传输层，提供面向连接的可靠传输服务。
TCP是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP是面向连接的所以只能用于点对点的通讯。
TCP提供的是一种可靠的数据流服务，采用&带重传的肯定确认&技术来实现传输的可靠性。TCP还采用一种称为&滑动窗口&的方式进行流量控制，所谓窗口实际表示接收能力，用以限制发送方的发送速度。
7.2 TCP报头的结构
7.3 TCP标志位
SYN(synchronous建立联机)
ACK(acknowledgement 确认)
PSH(push传送)
FIN(finish结束)
RST(reset重置)
URG(urgent紧急)
Sequence number(顺序号码)
Acknowledge number(确认号码)
7.3抓取TCP数据帧（以http协议为例）
图1、启动wireshark抓包工具
[root@attack ~]# wireshark
图2、选中&Filter（过滤）&
图3、选中&TCP or UDP port is 80（HTTP）&| &确定&
图4、选中第一个图标（列出可监听接口）
图5、选中&eth1&网卡的&Start&图标
注意：本示例中只有一块网卡，名称为eth1
图6、处于开始监听状态
图7、使用HTTP协议访问web网站
[root@attack ~]# elinks&
7.4分析TCP协议的三次握手（以http协议为例）
第一次握手数据：（第一帧）
第一次握手的标志位：
我们可以看到标志位里面只有个同步位，也就是在做请求(SYN)
主机192.168.1.30：41886发送 标志位Syn=1 ，随机产生 Seq number =0 的数据包到服务器220.181.111.147：80（服务器由标志位Syn=1知道192.168.1.30要求与其建立联机）
第一次握手图示：
第二次握手数据：（第二帧）
第二次握手的标志位
我们可以看到标志位里面有个确认位和同步位，也就是在做应答(SYN + ACK)
远程web服务器220.181.111.147：80收到请求后确认联机信息，向主机192.168.1.30:41886发送ack number=1,标志位Ack=1，标志位Syn=1，随机产生Seq number=0的数据包。
第二次握手图示：
第三次握手数据（第三帧）：
第三次握手的标志位
我们可以看到标志位里面只有个确认位，也就是再做再次确认(ACK)
主机192.168.1.30：41886收到后检查Ack number是否正确（Ack number = 第一次seq number（0）+1）；再检查标志位Ack是否为1。 如果验证无误，主机192.168.1.30:41886会再发送Ack number& = 第一次seq number（0）+1，标志位Ack=1 给远端web服务器。
远端web服务器220.181.111.147：80收到后确认第一次和第三次的Seq number的差值是否为1且标志位ack=1，则建立联机成功
第三次握手图示：
总结：三次握手就是 请求----》应答-------》再次确认& 的过程，完成三次握手，客户端与服务器开端传送数据
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'}