WireShark抓包及常用协议分析
A. 如何通过wireshark进行抓包的分析
Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接回用tcpmp了,因为我答工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpmp,或者用tcpmp抓包以后用Wireshark打开分析。
tcpmp是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpmp抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的。
B. 我利用wireshark抓包后想对包进行分析,例如HTTP协议类的包,不知道如何去分析包,求大神给个方法!
协议解析wireshark已经帮你做好,你所需要学习的是http的知识和业务知识。
C. wireshark所抓包的分析
问IP包格式 IP协议网络层协议.主要完数据包发送作用. 面表IP4数据包格式,IP封包格式(IPv4包首部度20字节)
|0......4........8..............16....................................32
-------------------------------------------------------------------------
|版本4.|首部度|服务类型(优先级|数据包总............................|
-------------------------------------------------------------------------
|标识...........................|RF|DF|MF|碎片偏移.....................|
-------------------------------------------------------------------------
|存间TTL....|协议(TCP/UDP)..|首部较验............................|
-------------------------------------------------------------------------
|源IP址..............................................................|
-------------------------------------------------------------------------
|目IP址............................................................|
-------------------------------------------------------------------------
|选项..................................................................|
=========================================================================
|数据..................................................................|
-------------------------------------------------------------------------Version (4) Internet Header Length (4) Type of Service (8) Total Length (16)
Identification (16) Flags (3) Fragment Offset (13)
Time To Live (8) Protocol (8) Header checksum (16)
Source Address (32)
Destination Address (32)
Options (Variable) Padding (0-24)
Data
....
IP包字段含义
IP包字段含义
图括号内数字各部件度(bit)您够细计算每列总度都32bit面我别各部件名称解释
Version
版本(VER)表示IP规格版本目前IP规格版本4(version 4)所数值通 0x4 (注意封包使用数字通都十六进位)
Internet Header Length(值5表示包度5行即532位5行=5*32bit=20*8bit=20byte=0x14byte)
标度(IHL)IP封包规格看前面6行headerOptionsPadding没5行所度5我知道每行32bit4byte麽5行20byte20数值换16进制0x14所封包标度短候数值终换算0x14
让我看看我撷取ICMP封包其属於IP部份
我看数值45前面4版本号数後面5则标度
Type of Service
服务类型(TOS)指IP封包传送程要求服务类型其共由8bit组其每bit组合别代表同意思
000..... Routine 设定IP顺序预设0否则数值越高越优先
...0.... Delay 延迟要求0值1低要求
....0... Throughput 通讯量要求0值1高要求
.....0.. Reliability 靠性要求0值1高要求
......00 Not Used 未使用
例我看TOS值0全部设置值
Total Length
封包总(TL)通byte做单位表示该封包总度数值包括标数据总
图我看十六进位数值003C换十进位60
Identification
识别码(ID)每IP封包都16bit唯识别码我OSI网路层级知识面知道程序产数据要通网络传送都拆散封包形式发送封包要进行重组候ID依据
图我看封包ID40973 ( a00d 换十进制知道)
Flag
标记(FL)封包传输程进行佳组合使用3bit识别记号请参考表
000. Reserved Fragment 值0候表示目前未使用
.0.. Don't Fragment 值0候表示封包割1则能割
..0. More Fragment 值0:值0示该封包後封包1则表示其後割封包
例我看封包标记0目前并未使用
Fragment Offset
割定位(FO)封包切後由於网路情况或其素影响其抵达顺序并初切割顺序至所封包进行切割候各片段做定位记录所重组候能够依号入座
我刚才撷取封包并没切割所暂找例参考例我看FO0
Time To Live
延续间(TTL)TTL我许网路设定都碰物件赋予TTL值(秒单位)後进行计物件达TTL值候没处理遗弃 并所 TTL 都间单位例 ICMP 协定 TTL则封包路由程跳站数目(Hop Count)做单位TTL 值每经跳站(或 router 处理)後减低数值 封包传递程由於某些原未能抵达目候避免其直充斥网路面
图我看数值 20 哦十六进位数字要换十进位才知道 TTL 原 32 跳站
Protocol
协定(PROT)指该封包所使用网路协定类型例ICMPDNS等要注意使用协定网路层协定层程式协定(FTPPOP等)同您Linux/etc/protocol档案找些协定其代号档案存放於NT\winnt\system32\drivers\etc目录面其内容
------------------------------------------------------
ip 0 IP # internet protocol, pseudo protocol number
icmp 1 ICMP # internet control message protocol
igmp 2 IGMP # Internet Group Management
ggp 3 GGP # gateway-gateway protocol
ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'')
st 5 ST # ST datagram mode
tcp 6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user datagram protocol
hmp 20 HMP # host monitoring protocol
xns-idp 22 XNS-IDP # Xerox NS IDP
rdp 27 RDP # "reliable datagram" protocol
iso-tp4 29 ISO-TP4 # ISO Transport Protocol class 4
xtp 36 XTP # Xpress Tranfer Protocol
ddp 37 DDP # Datagram Delivery Protocol
idpr-cmtp 39 IDPR-CMTP # IDPR Control Message Transport
rspf 73 RSPF #Radio Shortest Path First.
vmtp 81 VMTP # Versatile Message Transport
ospf 89 OSPFIGP # Open Shortest Path First IGP
ipip 94 IPIP # Yet Another IP encapsulation
encap 98 ENCAP # Yet Another IP encapsulation
------------------------------------------------------
我例看PROT号码01照/etc/protocol档案我知道ICMP协定
Header Checksum
标检验值(HC)数值主要用检错用用确保封包确误接收封包始进行传送後接收端主机利用检验值检验馀封包切看误发确认信息表示接收
图我看封包HC9049
Source IP Address
源址(SA)相信用解释发送端IP址
我c0.a8.00.0f换十进位192.168.0.15址
Destination IP Address
目址(DA)接收端IP址啦
看看能能a8.5f.01.54换168.95.1.84
Options & Padding
两选项甚少使用某些特殊封包需要特定控制才利用作细表啦
面我看看IP结构定义
struct ip
{
#if __BYTE_ORDER == __LITTLE_ENDIAN
unsigned int ip_hl:4; /* header length */
unsigned int ip_v:4; /* version */
#endif
#if __BYTE_ORDER == __BIG_ENDIAN
unsigned int ip_v:4; /* version */
unsigned int ip_hl:4; /* header length */
#endif
u_int8_t ip_tos; /* type of service */
u_short ip_len; /* total length */
u_short ip_id; /* identification */
u_short ip_off; /* fragment offset field */
#define IP_RF 0x8000 /* Reserved Fragment flag */
#define IP_DF 0x4000 /* Don't Fragment flag即第二位1(包) */
#define IP_MF 0x2000 /* More Fragments flag即二三位00(包,包)或01(继包) */
#define IP_OFFMASK 0x1fff /* mask for fragmenting bits */
u_int8_t ip_ttl; /* time to live */
u_int8_t ip_p; /* protocol */
u_short ip_sum; /* checksum */
struct in_addr ip_src, ip_dst; /* source and dest address */
};
ip_v IP协议版本号,4,现IPV6已经
ip_hl IP包首部度,值4字节单位.IP协议首部固定度20字节,IP包没选项,值5.
ip_tos服务类型,说明提供优先权.
ip_len说明IP数据度.字节单位.
ip_id标识IP数据包.
ip_off碎片偏移,面ID起用重组碎片.
ip_ttl存间.没经路由候减,直0抛弃.
ip_p协议,表示创建IP数据包高层协议.TCP,UDP协议.
ip_sum首部校验,提供首部数据校验.
ip_src,ip_dst发送者接收者IP址
D. 请教wireshark抓包分析
data内容是十六进制,找个十六进制转十进制,看看内容就知道了,八成是被肉鸡了--
E. 用wireshark抓包分析FTP协议
你是网络管理员吗?你是不是有过这样的经历:在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常提供,服务器访问速度极慢甚至不能访问,网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。
这是什么问题?设备坏了吗?不可能几台设备同时出问题。一定是有什么大流量的数据文件,耗尽了网络设备的资源,它们是什么?怎么看到它们?这时有经验的网管人员会想到用局域网抓包工具来分析一下。
你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹,阻塞网络、感染主机,让网络管理员苦不堪言。当网络病毒出现时,如何才能及时发现染毒主机?下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。
1.安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具,非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数。
2.配置网络路由。你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上,所有对外访问的网络包都会被分析到。
3.开始抓包。抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来,这些就是被捕获的数据包(如图)。
图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端口都是445。
4.找出染毒主机。从抓包的情况看,主机10.32.20.71值得怀疑。首先我们看一下目的IP地址,这些地址我们网络里存在吗?很可能网络里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连接请求,正常吗?显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议,该协议存在拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。
既然抓到了病毒包,我们看一下这个数据包二进制的解码内容:
这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息,紧跟着的2字节指出了数据包的类型,0800代表的是IP包格式,0806代表ARP包格式。接着的20个字节是封装的IP包头,包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头,包括了源、目的端口,TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外,这个包没有携带其他任何的有效数据负荷,所以这是一个TCP要求445端口同步的空包,也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口,便会利用系统漏洞传播感染。
F. 如何通过wireshark进行抓包的分析
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标版地址,权端口号。 颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",
G. 计算机网络:wireshark抓包简单分析
Then either the UDP packet was fragmented or the capture was limited to a
certain length, not including all data. In these cases also Wireshark can't
verify the checksum, hence can't say it's either good or bad.
也就来是自wireshark也无法判断对错。
H. 求电脑Wireshark抓包分析截图讲解
如果是Windows下可以使用科莱网络分析系统,使用技术交流版即可满足一般的需求。版与Wireshark一样,也是通权过抓取网络数据包来进行分析。
关键是科莱有官方论坛和教程,软件是全中文,软件也自带一些分析建议,相信你不用在这里找人给图文讲解也能学会使用。