计算机网络练习WireShark捕获和分析数据包Word文档下载推荐.doc

计算机网络练习WireShark捕获和分析数据包Word文档下载推荐.doc

《计算机网络练习WireShark捕获和分析数据包Word文档下载推荐.doc》由会员分享，可在线阅读，更多相关《计算机网络练习WireShark捕获和分析数据包Word文档下载推荐.doc（15页珍藏版）》请在冰豆网上搜索。

简单的使用打开软件，选择：

capture->

options，在interface中选择一个网卡，并且在capture->

capturefilters中增加一个过滤器，常用的过滤器如ip.addr==192.168.5.8然后点capture->

start，就开始抓包了。

要停止的话capture->

stop,当然也可以用上面的图标。

抓到了包之后，是二进制的，在包上面点击右键选择FollowTCPStream，就可以看到http包了。

帧号时间 

源地址 

目的地址 

高层协议 

包内信息概况

No. 

Time 

Source 

Destination 

Protocol 

Info

1 

0.000000 

202.203.44.225 

202.203.208.32 

TCP 

2764>

http[SYN]Seq=0Len=0MSS=1460 

源端口>

目的端口[请求建立TCP链接]

以下为物理层的数据帧概况

Frame1（62bytesonwire,62bytescaptured） 

1号帧，线路62字节，实际捕获62字节

ArrivalTime:

Jan21,200815:

17:

33.910261000 

捕获日期和时间

[Timedeltafrompreviouspacket:

0.00000seconds]此包与前一包的时间间隔

[Timesincereferenceorfirstframe:

0.00seconds]此包与第1帧的间隔时间

FrameNumber:

1 

帧序号

PacketLength:

62bytes 

帧长度

CaptureLength:

捕获长度

[Frameismarked:

False] 

此帧是否做了标记：

否

[Protocolsinframe:

eth:

ip:

tcp] 

帧内封装的协议层次结构

[ColoringRuleName:

HTTP] 

用不同颜色染色标记的协议名称：

HTTP

[ColoringRuleString:

http||tcp.port==80] 

染色显示规则的字符串：

以下为数据链路层以太网帧头部信息

EthernetII,Src:

AcerTech_5b:

d4:

61（00:

00:

e2:

5b:

61）,Dst:

Jetcell_e5:

1d:

0a（00:

d0:

2b:

e5:

0a）

以太网协议版本II，源地址：

厂名_序号（网卡地址），目的：

厂名_序号（网卡地址）

Destination:

0a）目的：

Source:

61） 

源：

Type:

IP（0x0800） 

帧内封装的上层协议类型为IP（十六进制码0800）

以下为互联网层IP包头部信息

InternetProtocol,Src:

202.203.44.225（202.203.44.225）,Dst:

202.203.208.32（202.203.208.32） 

互联网协议，源IP地址，目的IP地址

Version:

4 

互联网协议IPv4（此部分参看教材页图122的IPv4数据报字段结构）

Headerlength:

20bytes 

IP包头部长度

DifferentiatedServicesField:

0x00（DSCP0x00:

Default;

ECN:

0x00）差分服务字段

TotalLength:

48 

IP包的总长度

Identification:

0x8360（33632） 

标志字段

Flags:

标记字段（在路由传输时，是否允许将此IP包分段，教材页）

Fragmentoffset:

0 

分段偏移量（将一个IP包分段后传输时，本段的标识）

Timetolive:

128 

生存期TTL

Protocol:

TCP（0x06） 

此包内封装的上层协议为TCP

Headerchecksum:

0xe4ce[correct] 

头部数据的校验和

Source:

202.203.44.225（202.203.44.225） 

源IP地址

目的IP地址

以下为传输层TCP数据段头部信息

TransmissionControlProtocol,SrcPort:

2764（2764）,DstPort:

http（80）,Seq:

0,Len:

传输控制协议TCP的内容

Sourceport:

2764（2764）源端口名称（端口号）（此部分参看教材149页图5.7）

Destinationport:

http（80） 

目的端口名http（端口号80）

Sequencenumber:

（relativesequencenumber） 

序列号（相对序列号）

28bytes 

头部长度

0x02（SYN） 

TCP标记字段（本字段是SYN，是请求建立TCP连接）

Windowsize:

65535 

流量控制的窗口大小

Checksum:

0xf73b[correct] 

TCP数据段的校验和

Options:

（8bytes） 

可选项

三：

开始分析数据

在下图中Filter后面的编辑框中输入：

arp（注意是小写），然后回车或者点击“Apply”按钮

现在只有ARP协议了，其他的协议数据包都被过滤掉了。

注意到中间部分的三行前面都有一个“+”，点击它，这一行就会被展开。

如下图所示：

现在展开第一行。

看到的结果如下：

在上图中我们看到这个帧的一些基本信息：

帧的编号：

15（捕获时的编号）

帧的大小：

60字节。

再加上四个字节的CRC计算在里面，就刚好满足最小64字节的要求。

帧被捕获的日期和时间：

Dec2，2008……

帧距离前一个帧的捕获时间差：

0.136438000……

帧距离第一个帧的捕获时间差：

4.704371000……

帧装载的协议：

ARP

现在展开第二行：

我们可以看到：

目的地址（Destination）：

ff:

ff（这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）

源地址（Source）：

Elitegro_2d:

e7:

db（00:

0d:

87:

2d:

db）

帧中封装的协议类型：

0x0806，这个是ARP协议的类型编号。

Trailer：

是协议中填充的数据，为了保证帧最少有64字节。

展开第三行：

地址解析协议

硬件类型：

以太网

协议类型：

IP

硬件大小：

6

协议大小：

4

发送方MAC地址

发送方IP地址

目的MAC地址

巧用Wireshark有效管理内网

身为企业网络管理员必须能够在第一时间发现网络问题和安全隐患，普通的网络诊断方法已经不能够满足高级需求，通过ping法也只能够解决简单网络故障，特别是网络不稳定一会断一会通的情况是简单方法无法排查的。

这时就需要专业的网络管理员使用专业的工具去解决，相信各位都听说过sniffer这个网络数据探测软件，通过他可以对网络的所有数据包进行分析，发现故障根源。

下面介绍另外一款网络嗅探器——Wireshark，他在各个方面的表现是其他sniffer类网络嗅探器无法比拟的。

图4

图5

　　由于没有设置任何过滤信息和规则，所以Wireshark会对网络中所有数据进行检测，从捕获窗口可以看到各个不同协议数据的数量和占据总数的百分比（如图6）。

图6

　　点“Stop”按钮停止检测后我们就可以针对每个网络数据包进行分析了，Wireshark会把刚刚捕获的所有数据包罗列出来，如果数据内容没有加密的话也可以明文显示出来。

三、Wireshark应用实例简介

　　Wireshark的初级使用还是非常简单的，但是高级应用和技巧就需要我们在日常工作中去积累和运用了。

下面简单介绍三个小应用，希望可以达到抛砖引玉的目的。

（1）检测网中是否有MSN或QQ在使用

　　有的时候我们企业不希望员工在上班时通过MSN或QQ聊天，并针对这些IM交流软件进行了封锁，但是封锁和突破总是对立的，很多员工会找到代理工具或者其他方法来突破限制。

不过不管他采用何种方法都无法逃避Wireshark的火眼金睛。

　　我们打开Wireshark并设置好监控网卡，之后扫描网络中的数据，收集一段时间后停止捕获来查看数据包，如果网络中有MSN或