WireShark抓包及常用協議分析
A. 如何通過wireshark進行抓包的分析
Wireshark是一個網路協議檢測工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的話,我直接回用tcpmp了,因為我答工作環境中的Linux一般只有字元界面,且一般而言Linux都自帶的tcpmp,或者用tcpmp抓包以後用Wireshark打開分析。
tcpmp是基於Unix系統的命令行式的數據包嗅探工具。如果要使用tcpmp抓取其他主機MAC地址的數據包,必須開啟網卡混雜模式,所謂混雜模式,用最簡單的語言就是讓網卡抓取任何經過它的數據包,不管這個數據包是不是發給它或者是它發出的。
B. 我利用wireshark抓包後想對包進行分析,例如HTTP協議類的包,不知道如何去分析包,求大神給個方法!
協議解析wireshark已經幫你做好,你所需要學習的是http的知識和業務知識。
C. wireshark所抓包的分析
問IP包格式 IP協議網路層協議.主要完數據包發送作用. 面表IP4數據包格式,IP封包格式(IPv4包首部度20位元組)
|0......4........8..............16....................................32
-------------------------------------------------------------------------
|版本4.|首部度|服務類型(優先順序|數據包總............................|
-------------------------------------------------------------------------
|標識...........................|RF|DF|MF|碎片偏移.....................|
-------------------------------------------------------------------------
|存間TTL....|協議(TCP/UDP)..|首部較驗............................|
-------------------------------------------------------------------------
|源IP址..............................................................|
-------------------------------------------------------------------------
|目IP址............................................................|
-------------------------------------------------------------------------
|選項..................................................................|
=========================================================================
|數據..................................................................|
-------------------------------------------------------------------------Version (4) Internet Header Length (4) Type of Service (8) Total Length (16)
Identification (16) Flags (3) Fragment Offset (13)
Time To Live (8) Protocol (8) Header checksum (16)
Source Address (32)
Destination Address (32)
Options (Variable) Padding (0-24)
Data
....
IP包欄位含義
IP包欄位含義
圖括弧內數字各部件度(bit)您夠細計算每列總度都32bit面我別各部件名稱解釋
Version
版本(VER)表示IP規格版本目前IP規格版本4(version 4)所數值通 0x4 (注意封包使用數字通都十六進位)
Internet Header Length(值5表示包度5行即532位5行=5*32bit=20*8bit=20byte=0x14byte)
標度(IHL)IP封包規格看前面6行headerOptionsPadding沒5行所度5我知道每行32bit4byte麽5行20byte20數值換16進制0x14所封包標度短候數值終換算0x14
讓我看看我擷取ICMP封包其屬於IP部份
我看數值45前面4版本號數後面5則標度
Type of Service
服務類型(TOS)指IP封包傳送程要求服務類型其共由8bit組其每bit組合別代表同意思
000..... Routine 設定IP順序預設0否則數值越高越優先
...0.... Delay 延遲要求0值1低要求
....0... Throughput 通訊量要求0值1高要求
.....0.. Reliability 靠性要求0值1高要求
......00 Not Used 未使用
例我看TOS值0全部設置值
Total Length
封包總(TL)通byte做單位表示該封包總度數值包括標數據總
圖我看十六進位數值003C換十進位60
Identification
識別碼(ID)每IP封包都16bit唯識別碼我OSI網路層級知識面知道程序產數據要通網路傳送都拆散封包形式發送封包要進行重組候ID依據
圖我看封包ID40973 ( a00d 換十進制知道)
Flag
標記(FL)封包傳輸程進行佳組合使用3bit識別記號請參考表
000. Reserved Fragment 值0候表示目前未使用
.0.. Don't Fragment 值0候表示封包割1則能割
..0. More Fragment 值0:值0示該封包後封包1則表示其後割封包
例我看封包標記0目前並未使用
Fragment Offset
割定位(FO)封包切後由於網路情況或其素影響其抵達順序並初切割順序至所封包進行切割候各片段做定位記錄所重組候能夠依號入座
我剛才擷取封包並沒切割所暫找例參考例我看FO0
Time To Live
延續間(TTL)TTL我許網路設定都碰物件賦予TTL值(秒單位)後進行計物件達TTL值候沒處理遺棄 並所 TTL 都間單位例 ICMP 協定 TTL則封包路由程跳站數目(Hop Count)做單位TTL 值每經跳站(或 router 處理)後減低數值 封包傳遞程由於某些原未能抵達目候避免其直充斥網路面
圖我看數值 20 哦十六進位數字要換十進位才知道 TTL 原 32 跳站
Protocol
協定(PROT)指該封包所使用網路協定類型例ICMPDNS等要注意使用協定網路層協定層程式協定(FTPPOP等)同您Linux/etc/protocol檔案找些協定其代號檔案存放於NT\winnt\system32\drivers\etc目錄面其內容
------------------------------------------------------
ip 0 IP # internet protocol, pseudo protocol number
icmp 1 ICMP # internet control message protocol
igmp 2 IGMP # Internet Group Management
ggp 3 GGP # gateway-gateway protocol
ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'')
st 5 ST # ST datagram mode
tcp 6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user datagram protocol
hmp 20 HMP # host monitoring protocol
xns-idp 22 XNS-IDP # Xerox NS IDP
rdp 27 RDP # "reliable datagram" protocol
iso-tp4 29 ISO-TP4 # ISO Transport Protocol class 4
xtp 36 XTP # Xpress Tranfer Protocol
ddp 37 DDP # Datagram Delivery Protocol
idpr-cmtp 39 IDPR-CMTP # IDPR Control Message Transport
rspf 73 RSPF #Radio Shortest Path First.
vmtp 81 VMTP # Versatile Message Transport
ospf 89 OSPFIGP # Open Shortest Path First IGP
ipip 94 IPIP # Yet Another IP encapsulation
encap 98 ENCAP # Yet Another IP encapsulation
------------------------------------------------------
我例看PROT號碼01照/etc/protocol檔案我知道ICMP協定
Header Checksum
標檢驗值(HC)數值主要用檢錯用用確保封包確誤接收封包始進行傳送後接收端主機利用檢驗值檢驗餘封包切看誤發確認信息表示接收
圖我看封包HC9049
Source IP Address
源址(SA)相信用解釋發送端IP址
我c0.a8.00.0f換十進位192.168.0.15址
Destination IP Address
目址(DA)接收端IP址啦
看看能能a8.5f.01.54換168.95.1.84
Options & Padding
兩選項甚少使用某些特殊封包需要特定控制才利用作細表啦
面我看看IP結構定義
struct ip
{
#if __BYTE_ORDER == __LITTLE_ENDIAN
unsigned int ip_hl:4; /* header length */
unsigned int ip_v:4; /* version */
#endif
#if __BYTE_ORDER == __BIG_ENDIAN
unsigned int ip_v:4; /* version */
unsigned int ip_hl:4; /* header length */
#endif
u_int8_t ip_tos; /* type of service */
u_short ip_len; /* total length */
u_short ip_id; /* identification */
u_short ip_off; /* fragment offset field */
#define IP_RF 0x8000 /* Reserved Fragment flag */
#define IP_DF 0x4000 /* Don't Fragment flag即第二位1(包) */
#define IP_MF 0x2000 /* More Fragments flag即二三位00(包,包)或01(繼包) */
#define IP_OFFMASK 0x1fff /* mask for fragmenting bits */
u_int8_t ip_ttl; /* time to live */
u_int8_t ip_p; /* protocol */
u_short ip_sum; /* checksum */
struct in_addr ip_src, ip_dst; /* source and dest address */
};
ip_v IP協議版本號,4,現IPV6已經
ip_hl IP包首部度,值4位元組單位.IP協議首部固定度20位元組,IP包沒選項,值5.
ip_tos服務類型,說明提供優先權.
ip_len說明IP數據度.位元組單位.
ip_id標識IP數據包.
ip_off碎片偏移,面ID起用重組碎片.
ip_ttl存間.沒經路由候減,直0拋棄.
ip_p協議,表示創建IP數據包高層協議.TCP,UDP協議.
ip_sum首部校驗,提供首部數據校驗.
ip_src,ip_dst發送者接收者IP址
D. 請教wireshark抓包分析
data內容是十六進制,找個十六進制轉十進制,看看內容就知道了,八成是被肉雞了--
E. 用wireshark抓包分析FTP協議
你是網路管理員嗎?你是不是有過這樣的經歷:在某一天的早上你突然發現網路性能急劇下降,網路服務不能正常提供,伺服器訪問速度極慢甚至不能訪問,網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經到了百分之百的負荷……重啟動後沒有幾分鍾現象又重新出現了。
這是什麼問題?設備壞了嗎?不可能幾台設備同時出問題。一定是有什麼大流量的數據文件,耗盡了網路設備的資源,它們是什麼?怎麼看到它們?這時有經驗的網管人員會想到用區域網抓包工具來分析一下。
你一定聽說過紅色代碼、Nimda、沖擊波以及震盪波這些臭名昭著的網路殺手。就是它們製造了上述種種惡行。它們來勢洶洶,阻塞網路、感染主機,讓網路管理員苦不堪言。當網路病毒出現時,如何才能及時發現染毒主機?下面我根據網路病毒都有掃描網路地址的特點,給大家介紹一個很實用的方法:用抓包工具尋找病毒源。
1.安裝抓包工具。目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具,非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型,比如是要捕獲IP包還是ARP包,還可以根據目的地址的不同,設置更詳細的過濾參數。
2.配置網路路由。你的路由器有預設網關嗎?如果有,指向了哪裡?在病毒爆發的時候把預設網關指向另外一台路由器是很危險的(除非你想搞癱這台路由器)。在一些企業網里往往僅指出網內地址段的路由,而不加預設路由,那麼就把預設路由指到抓包主機上吧(它不下地獄誰下地獄?當然這台主機的性能最好是高一點的,否則很容易被病毒沖擊而亡)。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上,所有對外訪問的網路包都會被分析到。
3.開始抓包。抓包主機已經設置好了,網路里的數據包也已經送過來了,那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來,這些就是被捕獲的數據包(如圖)。
圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求,並且目的埠都是445。
4.找出染毒主機。從抓包的情況看,主機10.32.20.71值得懷疑。首先我們看一下目的IP地址,這些地址我們網路里存在嗎?很可能網路里根本就沒有這些網段。其次,正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎?在毫秒級的時間內發出幾十甚至幾百個連接請求,正常嗎?顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議,該協議存在拒絕服務攻擊的漏洞,連接埠是445,從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。
既然抓到了病毒包,我們看一下這個數據包二進制的解碼內容:
這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息,緊跟著的2位元組指出了數據包的類型,0800代表的是IP包格式,0806代表ARP包格式。接著的20個位元組是封裝的IP包頭,包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭,包括了源、目的埠,TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外,這個包沒有攜帶其他任何的有效數據負荷,所以這是一個TCP要求445埠同步的空包,也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠,便會利用系統漏洞傳播感染。
F. 如何通過wireshark進行抓包的分析
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標版地址,權埠號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
使用過濾是非常重要的, 初學者使用wireshark時,將會得到大量的冗餘信息,在幾千甚至幾萬條記錄中,以至於很難找到自己需要的部分。搞得暈頭轉向。
過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。
過濾器有兩種,
一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。比如"Filter 102",
G. 計算機網路:wireshark抓包簡單分析
Then either the UDP packet was fragmented or the capture was limited to a
certain length, not including all data. In these cases also Wireshark can't
verify the checksum, hence can't say it's either good or bad.
也就來是自wireshark也無法判斷對錯。
H. 求電腦Wireshark抓包分析截圖講解
如果是Windows下可以使用科萊網路分析系統,使用技術交流版即可滿足一般的需求。版與Wireshark一樣,也是通權過抓取網路數據包來進行分析。
關鍵是科萊有官方論壇和教程,軟體是全中文,軟體也自帶一些分析建議,相信你不用在這里找人給圖文講解也能學會使用。