wireshark:Beyond Compare是一個網絡封包分析軟體。網絡封包分析軟體的功能是撷取網絡封包,并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行資料封包交換,是目前全世界最廣泛的網絡封包分析軟體。
工具/原料
- wireshark
方法/步驟
- 首先認識一下wireshark界面各個功能如下圖。Packet List面闆主要顯示抓取的資料包;Packet Details面闆展示資料包的詳細資訊,分層次顯示一個資料包中的内容;Packet Bytes面闆以十六進制和ASCII碼的形式顯示資料包的内容,及資料包最原始的樣子。我們在分析資料包的過程中主要關注Packet List以及Packet Details。
-
抓取了通路網站是的資料包這裡面主要展示了以下五種協定的資訊:
Frame:實體層資料幀的情況。
Ethernet II:資料鍊路層以太網幀頭部的資訊。
Internet Protocol Version 4:網絡層IP包的頭部資訊。
Transmission Control Protocol:傳輸層的資料段頭部資訊,這裡顯示的是
TCP協定。
Hypertext Transfer Protocol:應用層資訊,這裡顯示的是HTTP協定。
- 篩選器的簡單用法,根據剛才抓取的資料包,篩選器主要是在處理大量的資料時使用,我們篩選http資料包這是關于篩選器的最簡單的一種用法。篩選器也支援與 (and)、或(or)、非(not)等邏輯運算符,可以加強篩選的效率。
- 在篩選的過程中我們也可以使用邏輯運算符,例如!tcp查找除了tcp以外的資料包。
- 除了邏輯運算符還可以使用比較操作符,比如等于(==)、不等于 (!=)、大于(>)、小于(<)、大于等于(>=)以及小于等于(<=)等。比如我們現在隻想檢視長度小于等于150位元組的資料包。
- 對網絡協定了解比較深我們也可以通過比對協定來篩選,比如我們想捕獲帶有(PSH,ACK)标志的TCP資料 包。那麼就可以檢測TCP協定中偏移為13的标志位的情況。盡管這個标志位隻有1 個位元組,但是這個位元組中的每一個比特位都是一個标志。
- 經過對wireshark操作界面、基本用法的認識,在主機電腦上面運作http登入界面,使用使用者名密碼登入,http屬于明文傳輸是以在wireshark中可以抓到使用者名與密碼;在ARP欺騙轉發過程中我們可以通過wireshark來分析抓到的資料包。 END
注意事項
- 我們在分析資料包的過程需要對資料包結構非常了解,才能事半功倍。