本文详细介绍了使用Wireshark进行网络封包分析的过程,包括确定位置、选择接口、设置过滤器以及重组数据等步骤。通过一系列实验操作,如数据链路层的MAC地址解析、网络层的IP包分段与重组、传输层的TCP和UDP段结构,以及应用层的DNS解析,深入理解网络通信的各个环节。实验展示了如何通过Wireshark抓取和解析不同层次的网络数据包,以进行网络诊断和学习。
简介
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
工作流程
(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
(7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
实验操作
操作前言,一个简单的抓包步骤
打开wireshark,点击捕获,点击选项
按照上面的勾选,然后打开cmd,ping一下百度
ping.baidu.com
然后回到wireshark开始抓包
会出现很多很多包
我们要精准的找到自己想要抓的包,就在过滤器上输入关键词
ip.addr == 自己的ip and icmp然后就得到以下的八个包,就表示抓包成功!
数据链路层
操作一:
熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等
目的MAC,前6位就是目的MAC
最低0.47元/天 解锁文章
扫一扫
9857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
