精华内容
下载资源
问答
  • 更多相关内容
  • Wireshark自动抓包语句

    2009-03-14 16:42:21
    通过计划任务自动进行网络抓包,包括每个包的大小,选择网卡,抓包时间,抓包内容过滤,抓包路径
  • wireshark抓包

    千次阅读 2020-12-19 05:51:23
    wireshark抓包使用wireshark抓包分析-抓包实用技巧前言本文整理一下日常抓包使用的一些方法及抓包分析的一些方法。本文基于wireshark2.2.6版本进行抓包处理。其他版本使用方式大同小异。自定义捕获条件wireshark可以...

    wireshark抓包

    使用wireshark抓包分析-抓包实用技巧

    前言

    本文整理一下日常抓包使用的一些方法及抓包分析的一些方法。

    本文基于wireshark2.2.6版本进行抓包处理。其他版本使用方式大同小异。

    自定义捕获条件

    wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。

    在捕获-选项菜单中可以设置捕获包的一些配置。

    输入配置

    在输入选项卡中可以选择抓取指定接口,在下方过滤器中可以输入过滤条件,比如host 172.17.1.100抓取指定ip的包,或tcp port 9055抓取指定端口的包。

    输出配置

    在输出选项卡中可以设置保存的文件路径,包数量分组,文件大小分组,文件个数等配置。

    文件保存路径:需要设置具体的文件名,wireshark会自动在文件名后加上序号和时间戳信息。比如文件名为1.pcapng,则会自动保存为如1_00001_20190625161142.pcapng的文件名。

    自动创建新文件可以通过接收到包的数量和大小以及抓包时间进行设置,通常通过文件大小抓包即可。

    文件个数:通过勾选使用一个唤醒缓冲器来保存最大的文件数量。防止文件过多

    在选项选项卡中还有一些其他的配置,根据实际情况决定是否勾选。

    命令行抓包

    wireshark提供了很强大的GUI界面,但是在生产环境长时间抓包使用GUI界面有以下问题,界面刷新需要消耗资源,且GUI界面相比命令行界面,易出现闪退,卡死等不稳定现象,同时即使配置了切包,也会占用极大的内存,需要将包信息显示在界面,因此必须要等每次切包后才能释放内存。相比命令行将数据持久化到硬盘上会立即释放内存,因为界面上只需要显示简单的抓包数量和文件保存路径等信息。

    下图是通过GUI界面进行抓包的内存占用情况,配置的是100M切一个文件,一般需要占用几百兆的内存。

    下图是通过命令行抓包的内存占用情况,配置的是100M切一个文件,仅仅占用几兆内存。

    在wireshark安装目录除了wireshark用于GUI界面的抓包程序以外还有一些其他的工具,比如reordercap、text2pcap、tshark、rawshark、mergecap、mmdbresolve、capinfos、dumpcap、editcap等,其中tshark和dumpcap是用于命令行抓包的工具。tshark就是命令行版的wireshark,tshark底层使用的即为dumpcap,因此tshark的功能相对强大一些,性能上则弱于dumpcap。

    下图是在传输速率为每秒37244,共传输1000000个825B大小的帧下产生的测试结果。

    具体相关测试可以到Wireshark Packet Capture: Tshark Vs. Dumpcap查看,里面还有更多的不同的基准测试结果。(可能需要FQ)。

    我们可以通过dumpcap抓包,然后通过tshark或wireshark进行包分析。

    通过dumpcap -h查看命令参数。

    -i: 抓取哪个网络接口的包

    -f: 过滤器,只抓取满足过滤器的包。

    -b filesize: 保存文件大小,即切包大小。

    -b files:20: 保存文件个数。

    -w: 保存的文件名。

    在wireshark安装目录有*.html包含各个工具的命令及示例。

    通过以上参数可以实现和GUI界面通过的抓包策略。比如dumpcap -i 1 -f "tcp port 8080" -w D:\1.pcapng -b filesize:100000 -b files:20表示抓取接口1的8080端口的tcp包,将数据保存到D:\1.pcapng路径下,通过100M切一个文件,最多保存20个最新的文件。

    抓取多个接口

    若需要抓取多个接口的包,则通过多个-i参数指定,通过每个-i参数后面可以带上-f配置过滤器。比如dumpcap -i 1 -i 3 -f "tcp port 8080" -w D:\1.pcapng -b表示抓取接口1和接口3的包。

    通常来说我们需要抓取某个ip的包,那么我们需要知道这个ip是那个网络接口。通过dumpcap -D可以获取所有网络接口。

    C:\Users\Dm_ca>dumpcap -D

    1. \Device\NPF_{E78E9C1F-C71D-40E6-A233-BEFE0A59FD3F} (浠ュお缃?3)

    2. \Device\NPF_{50A4BF57-AEF6-42CB-B481-E3BBE16F784A} (鏈湴杩炴帴* 2)

    3. \Device\NPF_{A37B6157-FB22-4FC7-870F-6FB76C950BCE} (vEthernet (Default Switch))

    4. \Device\NPF_{B6BC2FEF-E6A0-4E7F-BCF6-A4CBE39560A0} (鏈湴杩炴帴* 8)

    5. \Device\NPF_{E3B69F06-9D31-4970-B3B1-F7FC29D6F343} (Npcap Loopback Adapter)

    6. \Device\NPF_{B70FF207-6758-49F3-BD8B-1E58EBAAA350} (WLAN)

    7. \Device\NPF_{196071AF-E992-498F-99EE-32D5238EE947} (鏈湴杩炴帴* 10)

    8. \Device\NPF_{4EA95CCE-F4A3-4C1E-884F-033C2A475349} (鏈湴杩炴帴* 9)

    9. \Device\NPF_{2F5E422D-8579-4DA4-BD78-02AE4EAEA836} (浠ュお缃?2)

    10. \Device\NPF_{F4BDE9E1-950B-402B-9CD6-281119917271} (鏈湴杩炴帴* 3)

    最左边的为我们输入的参数-i的编号,右边的乱码的是中文名称本地连接等字样,如果不确定使用哪个网卡,也可以到wireshark中确认一下。在输入选项卡选择接口下拉会有对应的地址。

    命令输入后就会显示正在抓包的一些信息,Packets为抓取的包数,File为保存的文件名,多切了文件之后,则会显示多个File行。

    C:\Users\Dm_ca>dumpcap -i 5 -f "tcp" -w E:\1.pcapng -b filesize:100000 -b files:20

    Capturing on 'Npcap Loopback Adapter'

    File: E:\1_00001_20190629091754.pcapng

    Packets: 4

    抓包分析

    通过dumpcap抓包后我们可以将抓包文件通过wireshark界面打开进行简单分析。

    若需要根据特定条件在大量信息中筛选出想要的信息,则需要通过tshark进行命令行的筛选。

    案例:生产环境中发现时常有丢包现象,通过wireshark进行简单分析发现有许多RST的重置连接包。追踪流查看发现,没有正常建立连接。

    通过tcp.flags.reset == 1筛选出大量的重置连接。大约占比1%的请求数据量。为了确认每个包是不是都是同样的原因。我们需要追踪每个包的流进行查看。

    在wireshark上选择指定的包右键在弹出的菜单中选择追踪流-TCP流追踪完整的流。

    但是如果要追踪大量的流,在wireshark上操作就不太方便了。由于wireshark不支持批量选择包跟踪流,因此只能一个个跟踪。wireshark又不支持上一步历史搜索,追踪流实际wireshark是用了tcp.stream eq XXXX筛选流号。因此我们需要重新在通过前一个筛选指令重新筛选。这样就非常麻烦,尤其是若一个切包比较大的话,处理起来非常的慢。由于上述原因,我们通过tshark命令行筛选出异常连接后批量跟踪每个流并保存到文件进行分析。

    批量分析

    通过tshark -h可以查看命令从参数,由于多命令和dumpcap类似,但是tshark还扩展了其他命令。

    -r: 读取本地的数据包文件。

    -R: 捕获过滤器,可用于捕获符合过滤规则的报文。

    -Y: 显示过滤器,用于过滤已捕获的报文。

    -2: 若此时输入回车,则会将包信息打印到控制台上。

    -w: 通过过滤器删选后的包,保存另存到文件中,比如我们需要从某个包筛选出关键信息保存后进行单独分析。

    -T fields : 格式化输出,输出属性,我们要通过-e筛选包的指定属性,则需要用该参数。

    -e: 获取指定包属性,必须先指定-T fields格式化输出,若有多个属性输出,则使用多个-e,比如-e tcp.stream -e tcp.port。

    捕获过滤器

    捕获过滤器是在捕获菜单中,直接用过滤出指定的条件,不满足条件的是不会被捕获的。

    显示过滤器

    显示过滤器则是在已捕获的包中进行过滤显示。

    捕获过滤器的规则是host 192.168.0.115 and tcp port 8080,而对应的显示过滤器规则是ip.addr eq 192.168.0.115 and tcp.port eq 8080,两者的语法还是不同的。

    实际通过tshark命令过滤时发现,使用的都是显示过滤器筛选。而在通过dumpcap -f抓包时需要使用捕获过滤器的语法。

    在简单了解参数之后,开始使用命令筛选出我们需要的包。

    批量筛选包

    筛选出需要的包。通过tshark -r 172.18.12.1_00085_20190624193404.pcapng -2 -R "tcp.flags.reset == 1" 筛选出我们需要的包。

    PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1"

    1 9341.446421 50094 TCP 60 50094 鈫?9055 [RST] Seq=1 Win=0 Len=0

    2 164451.986850 9055 TCP 54 9055 鈫?51707 [RST, ACK] Seq=966 Ack=717 Win=0 Len=0

    3 196000.984728 9055 TCP 54 9055 鈫?55516 [RST, ACK] Seq=762 Ack=717 Win=0 Len=0

    4 206748.235089 21 TCP 54 21 鈫?56839 [RST, ACK] Seq=432 Ack=121 Win=0 Len=0

    5 251344.165367 21 TCP 54 21 鈫?61652 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0

    6 260534.172129 21 TCP 54 21 鈫?62957 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0

    7 271885.709376 21 TCP 54 21 鈫?64407 [RST, ACK] Seq=434 Ack=121 Win=0 Len=0

    ...

    和wireshark界面过滤一样,它会筛选出所有满足过滤条件的包。

    对每个包进行追踪。由于追踪包的命令为tcp.stream eq XXXX,因此我们需要知道tcp.stream值才可以追踪该包。我们上面打印出了相关的包信息。通过-e可以获取指定的包属性,因此在上面的条件加上-T fields -e tcp.stream,表示只需要获取流号。

    powershell PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream 103 1048 1319 1419 1544 1687 ...

    追踪到流号后我们就需要对每个流进行跟踪并保存。将流号保存到变量中,遍历每个流号进行筛选即可,通过>>到文本中。在windows下通过powershell可以很方便的配合tshark命令执行脚本。

    $streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream

    $streams | foreach {tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $_" -t ad >> 20190628.txt}

    若想要保存成pcapng格式,则可以通过拼凑筛选条件进行筛选,然后通过-w 输出为pcapng格式。

    $streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream

    $filter=""

    foreach($stream in $streams)

    {

    $filter = "$filter tcp.stream eq $stream or"

    }

    ## 移除最后多余的or

    $filter= $filter.trim("or")

    tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $filter" -t ad -w 20190628.pcapng

    通过将流号进行拼凑,然后筛选出所有流号的包。

    合并包

    我们可以通过tshark过滤出我们需要的包并保存为文件,有时候我们可能需要把若干个包合并起来一起分析。则可以通过mergecap进行合并。通过Usage: mergecap [options] -w |- [ ...],比如mergecap.exe -w e:\file\Wireshark\port.pcapng e:\file\Wireshark\port*,将port开头的文件合并到port.pcapng

    结论

    通过对抓包文件进行脚本化的处理,可以做许多更为强大的数据分析。比如在软件层面上对网络连接进行异常监控及预警。实时的对包进行分析,有异常连接可以做到即使预警。

    参考文献

    展开全文
  • wireshark网络抓包

    2018-05-27 10:56:44
    用于网络抓包,简单上手,可检测开发板与主机或者其他的之间的连接是否连接顺畅
  • 在linux上使用wireshark软件抓包命令行tshark -a . -b . -B -c -d =, -D -f -F - h -i |- -l -L -n -N -o . -p -q -r -R -s - S -t ad|a|r|d -T pdml|psml|ps|text -v -V -w |- -x -X -y -z -a 设置一个标准用来指定...

    在linux上使用wireshark软件抓包命令行

    tshark -a . -b . -B -c -d =, -D -f -F - h -i |- -l -L -n -N -o . -p -q -r -R -s - S -t ad|a|r|d -T pdml|psml|ps|text -v -V -w |- -x -X -y -z -a 设置一个标准用来指定 Wireshark 什么时候停止捕捉文件。标准的格式为 test:value,test 值为下面中的一个。 duration:value 当捕捉持续描述超过 Value 值,停止写入捕捉文件。 filesize:value 当捕捉文件大小达到 Value 值 kilobytes(kilobytes 表示 1000bytes,而不是 1024 bytes), 停止写入捕捉文件。如果该选项和-b 选项同时使用,Wireshark 在达到指定文件大小时会 停止写入当前捕捉文件,并切换到下一个文件。 files:value 当文件数达到 Value 值时停止写入捕捉文件 -b 如果指定捕捉文件最大尺寸,因为 Wireshark 运行在“ring buffer“模式,被指定了文件数。 在“ring buffer“模式下,Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期, 时间决定。 当第一个捕捉文件被写满,Wireshark 会跳转到下一个文件写入,直到写满最后一个文件, 此时 Wireshark 会丢弃第一个文件的数据(除非将 files 设置为 0,如果设置为 0,将没有文 件数限制),将数据写入该文件。 如果 duration 选项被指定,当捕捉持续时间达到指定值的秒数,Wireshark 同样会切换到 下个文件,即使文件未被写满。 duration:value 当捕捉持续描述超过 Value 值,即使文件未被写满,也会切换到下个文件继续写入。 filesize:value 当文件大小达到 value 值 kilobytes 时(kelobyte 表示 1000bytes,而不是 1024bytes),切换 到下一个文件。 files:value 当文件数达到 value 值时,从第一个文件重新开始写入。 -B 仅适合 Win32:设置文件缓冲大小(单位是 MB,默认是 1MB).被捕捉驱动用来缓冲包数据, 直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象,可以尝试增大它的大小。 -c 实时捕捉中指定捕捉包的最大数目,它通常在连接词-k 选项中使用。 -D 打印可以被 Wireshark 用于捕捉的接口列表。每个接口都有一个编号和名称(可能紧跟在 接口描述之后?)会被打印,接口名或接口编号可以提供给-i 参数来指定进行捕捉的接口(这 里打印应该是说在屏幕上打印)。在那些没有命令可以显示列表的平台(例如 Windows,或者缺少 ifconfig -a 命令的 UNIX 平台)这个命令很有用;接口编号在 Windows 2000 及后续平台的接口名称通常是一些复杂 字符串,这时使用接口编号会更方便点。 注意,“可以被 Wireshark 用于捕捉“意思是说:Wireshark 可以打开那个设备进行实时捕 捉;如果在你的平台进行网络捕捉需要使用有特殊权限的帐号(例如 root,Windows 下的 Administrators 组),在没有这些权限的账户下添加-D 不会显示任何接口。参数 -f 设置捕捉时的内置过滤表达式 -g 在使用-r 参数读取捕捉文件以后,使用该参数跳转到指定编号的包。 -h -h 选项请求 Wireshark 打印该版本的命令使用方法(前面显示的),然后退出。 -i 设置用于进行捕捉的接口或管道。 网络接口名称必须匹配 Wireshark -D 中的一个;也可以使用 Wireshark -D 显示的编号, 如果你使用 UNIX,netstat -i 或者 ifconfig -a 获得的接口名也可以被使用。但不是所有的 UNIX 平台都支持-a,ifconfig 参数。 如果未指定参数,Wireshark 会搜索接口列表,选择第一个非环回接口进行捕捉,如果没 有非环回接口,会选择第一个环回接口。如果没有接口,wireshark 会报告错误,不执行捕 捉操作。 管道名即可以是 FIFO(已命名管道),也可以使用“-“读取标准输入。从管道读取的数据必 须是标准的 libpcap 格式。 -k -k 选项指定 Wireshark 立即开始捕捉。这个选项需要和-i 参数配合使用来指定捕捉产生在 哪个接口的包。 -l 打开自动滚屏选项,在捕捉时有新数据进入,会自动翻动“Packet list“面板(同-S 参数一 样)。 -m 设置显示时的字体(编者认为应该添加字体范例) -n 显示网络对象名字解析(例如 TCP,UDP 端口名,主机名)。 -N 对特定类型的地址和端口号打开名字解析功能;该参数是一个字符串,使用 m 可以开启 MAC 地址解析,n 开启网络地址解析,t 开启传输层端口号解析。这些字符串在-n 和-N 参 数同时存在时优先级高于-n,字母 C 开启同时(异步)DNS 查询。 -o 设置首选项或当前值,覆盖默认值或其他从 Preference/recent file 读取的参数、文件。该 参数的值是一个字符串,形式为 prefname:value,prefnmae 是首选项的选项名称(出现在 preference/recent file 上的名称)。value 是首选项参数对应的值。多个-o 可以使用在单独命中中。 设置单独首选项的例子: wireshark -o mgcp.display_dissect_tree:TRUE 设置多个首选项参数的例子:wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627提示提示在?可以看到所有可用的首选项列表。-p 不将接口设置为杂收模式。注意可能因为某些原因依然出于杂收模式;这样,-p 不能确 定接口是否仅捕捉自己发送或接受的包以及到该地址的广播包,多播包 -Q 禁止 Wireshark 在捕捉完成时退出。它可以和-c 选项一起使用。他们必须在出现在-i -w 连接词中。 -r 指定要读取显示的文件名。捕捉文件必须是 Wireshark 支持的格式。 -R 指定在文件读取后应用的过滤。过滤语法使用的是显示过滤的语法,参见第 6.3 节 “浏览 时过滤包”,不匹配的包不会被显示。 -s 设置捕捉包时的快照长度。Wireshark 届时仅捕捉每个包字节的数据。 -S Wireshark 在捕捉数据后立即显示它们,通过在一个进程捕捉数据,另一个进程显示数据。 这和捕捉选项对话框中的“Update list of packets in real time/实时显示数据“功能相同。 -t 设置显示时间戳格式。可用的格式有r 相对的,设置所有包时间戳显示为相对于第一个包的时间。a absolute,设置所有包显示为绝对时间。ad 绝对日期,设置所有包显示为绝对日期时间。d delta 设置时间戳显示为相对于前一个包的时间e epoch 设置时间戳显示为从 epoch 起的妙数(1970 年 1 月 1 日 00:00:00 起) -v 请求 Wireshark 打印出版本信息,然后退出 -w 在保存文件时以 savefile 所填的字符为文件名。 -y 如果捕捉时带有-k 参数,-y 将指定捕捉包中数据链接类型。The values reported by -L are the values that can be used. -X 设置一个选项传送给 TShark 模块。eXtension 选项使用 extension_key:值形式, extension_key:可以是: lua_script:lua_script_filename,它告诉 Wireshark 载入指定的脚本。默认脚本是 Lua scripts. -z 得到 Wireshark 的多种类型的统计信息,显示结果在实时更新的窗口。

    展开全文
  • Wireshark网络抓包实验

    千次阅读 2020-11-08 14:55:13
    Wireshark网络抓包实验 首先通过ipconfig命令查得 本机IP:192.168.43.214 子网掩码:225.225.225.0 子网划分 A类:0.0.0.0~127.255.255.255 B类:128.0.0.0~191.255.255.255 C类:192.0.0.0~223.255.255.255 D类:...

    Wireshark网络抓包实验

    首先通过ipconfig命令查得
    本机IP:192.168.43.214

    Wireshark对Ping命令抓包分析

    实验步骤:

    第一步,确定目标地址,选择www.baidu.com作为目标地址。
    第二歩,配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp。
    第三步,启动抓包:点击【start】开始抓包,在命令提示符下键入ping www.baidu.com。
    第四步,停止抓包后,截取数据。
    第五步,分析数据包,选取一个数据包进行分析。

    抓包截图:

    在这里插入图片描述
    在这里插入图片描述

    实验分析:

    在这里插入图片描述

    报文由IP首部和ICMP报文组成。
    蓝色部分为IP首部,共有20字节。
    在这里插入图片描述

    如上图所示,可以看到 IP 数据包的信息:
    Version: 4,表示 IPv4。
    Header Length: 5, 表示 5 个以 32 bit 为单位的 word,即 20 bytes。
    Time to live: 128, 生存时间。
    Protocol: 1,表示 ICMP。
    Source: 192.168.43.214,源 IP 地址。
    Destination: 36.156.69.79,目的 IP 地址。
    在这里插入图片描述

    Type: 该字段有 1 个字节,表示特定类型的 ICMP 报文。
    一台主机向一个节点发送一个类型字段值为8的ICMP报文,如果途中没有异常(如果没有被路由丢弃,目标不回应ICMP或者传输失败),则目标返回类型字段值为0的ICMP报文,说明这台主机存在。
    Code: 该字段有 1 个字节,进一步细分 ICMP 的类型。如上图所示,Type 的值为 8,Code 的值为 0,表示回显请求。
    Checksum: 该字段有 2 个字节,表示校验和。
    Identifier: 该字段有 2 个字节,用于匹配 Request/Reply 的标识符。
    Seq Num: 该字段有 2 个字节,用于匹配 Request/Reply 的序列号。
    Data: 数据载荷。

    Wireshark对tracert命令抓包分析

    实验步骤:

    第一步,确定目标地址,选择www.baidu.com作为目标地址。
    第二歩,配置过滤器:针对协议进行过滤设置,tracert使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp。
    第三步,启动抓包:点击【start】开始抓包,在cmd下键入tracert baidu.com
    第四步,停止抓包后,截取数据。
    第五步,分析数据包,选取一个数据包进行分析。

    抓包截图:

    在这里插入图片描述
    在这里插入图片描述

    实验分析:

    在这里插入图片描述

    报文由IP首部和ICMP报文组成。
    蓝色部分为IP首部,共有20字节。
    如上图所示,可以看到 IP 数据包的信息:
    Version: 4,表示 IPv4。
    Header Length: 5, 表示 5 个以 32 bit 为单位的 word,即 20 bytes。
    Time to live: 128, 生存时间。
    Protocol: 1,表示 ICMP。
    Source: 192.168.43.214,源 IP 地址。
    Destination: 192.168.43.1,目的 IP 地址。

    Wireshark对DNS协议抓包分析

    实验步骤:

    打开CMD.exe键入:ping baidu.com
    将自动进行域名解析,默认发送4个ICMP报文.
    启动Wireshark,选择一个有效网卡,启动抓包.
    在控制台回车执行完毕后停止监控.

    抓包截图:

    在这里插入图片描述
    在这里插入图片描述

    实验分析:

    在这里插入图片描述

    总得来看有两个DNS包(一次域名解析),和8个ICMP包(四次ping)
    可以发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.
    需要关注的是应用层的实现也即DNS协议本身.
    在此之前,可以从下层获得一些必要信息:
    UDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)是53
    IPv6(Internet Protocol Version 6)报文中目的IP是:
    2409:893c:550:89f4:bc46:850a:5fb3:beab
    由于IP报文在网络层进行路由选择,他会依次送给路由器而不是直接送给DNS服务器,这一点也十分容易理解,
    第一个包是请求包,不可能直接包含DNS服务器地址.
    在这里插入图片描述

    第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.
    第二个是Flags标志字段,2字节,每一位的含义不同
    在这里插入图片描述

    QR: 查询/响应,1为响应,0为查询
    Opcode: 查询或响应类型,这里0表示标准,1表示反向,2表示服务器状态请求
    AA: 授权回答,在响应报文中有效,待会儿再看
    TC: 截断,1表示超过512字节并已被截断,0表示没有发生截断
    RD: 是否希望得到递归回答
    RA: 响应报文中为1表示得到递归响应
    zero: 全0保留字段
    rcode: 返回码
    在这里插入图片描述
    在这里插入图片描述

    可以看到和第一个请求包相比,响应包多出了一个Answers字段,同时Flags字段每一位都有定义.
    关注一下Flags中Answer RRs 为2 说明对应的Answers字段中将会出现2项解析结果.
    Answers字段可以看成一个List,集合中每项为一个资源记录,除了上面提到过的Name,Type,Class之外,还有Time to Live,Data length,Address.
    Time to Live(生存时间TTL):表示该资源记录的生命周期,从取出记录到抹掉记录缓存的时间,以秒为单位.这里是567合计9min27s.
    Data length(资源数据长度):以字节为单位,这里的4表示IP地址的长度为4字节.也就是下面Addr字段的长度.
    Address(资源数据): 返回的IP地址,就是我们想要的结果.

    Wireshark对FTP协议抓包分析

    实验步骤:

    FTP 服务器的登录。捕获 USER 和 PWD 的内容,分析 FTP、TCP、IP 协议的首部信息。FTP 服务器的端口号为 21,用于控制连接。
    FTP 文件的下载过程。
    FTP 服务的退出过程。

    抓包截图:

    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    实验分析:

    在这里使用的是登录FTP 服务器:ftp.scene.org,通过对登陆过程的捕获可以看到,登陆的账号为anonymous,密码为chrome@example.com(默认)
    用Wireshark查看FTP、TCP、IP协议的首部信息,如下图。
    在这里插入图片描述

    下载文件的请求命令为”RETR ”,文件字节大小也不一样。
    从发送时间也可以看出来一些差别。介于1MB—10MB的文件可能由于其格式或其他原因,没有正常显示出包的大小和传输时间。不过,通过对比不同的大小的文件,可以得出文件越大TCP切片长度越小,传输的字节越多,所用的传输时间越长。
    FTP的退出过程在Wireshark的抓包过程中没有捕获到。

    Wireshark对HTTP协议抓包分析

    实验步骤:

    打开网站: www.qlu.edu.cn
    (1) 客户端通过TCP三次握手与服务器建立连接。
    (2) TCP建立连接成功后,向服务器发送http请求
    (3) 服务器收到客户端的http请求后,将返回应答,并向客户端发送数据。
    (4) 客户端通过TCP四次握手,与服务器断开TCP连接。

    抓包截图:

    在这里插入图片描述

    实验分析:

    1) 物理层的数据帧详细概要
    在这里插入图片描述

    7号帧,线路571字节,实际捕获571字节
    Inter face:接口ID
    Encapsulation type:封装类型,与wireshark版本有关
    Arrival Time捕获时间和日期
    Frame number:帧序号
    Frame length:帧长度
    Capture length:捕获长度
    2) 数据链路层以太网帧的头部信息
    在这里插入图片描述

    Destination:目标MAC地址
    Source:源MAC地址
    3) 网络层IP头部包信息
    在这里插入图片描述

    互联网IPV6
    IP包通信类别:(DSCP:CS0,ECN:Not-ECT)差分服务字段
    有效长度:517
    下一个包头:TCP(6)
    跳限制:65
    源IP地址
    目的IP地址
    4) 传输层数据包头部信息
    在这里插入图片描述

    源端口号:60655
    目标端口号:80
    序列号:1 下一个序列号:498 确认序列号:1
    Header length:20字节
    TCP标记字段:0x018
    流量控制窗口大小:64660
    TCP数据段校验和:0x9afb
    5) 应用层分析(HTTP协议分析)
    在这里插入图片描述

    Get为请求方式,后面跟请求内容
    Host:请求主机名www.qlu.edu.cn
    Connection:客户端与服务端指定的请求,相应有关选项(保持连接)
    User-agent:发送请求的操作系统及浏览器信息
    Accept:客户端可以识别的内容类型列表
    Accept-Encoding:客户端可识别的数据编码
    Accept-Language:浏览器所支持的语言类型

    展开全文
  • wireshark DHCP抓包

    2021-06-18 22:25:03
    dhcp: 动态主机配置协议,让设备自动获取IP地址,应用层协议. DHCP -> UDP广播 -> IP 1.客户端广播Discover,用于发现能提供IP地址的DHCP server. 只有DHCP服务器才会对该做出响应.2.DHCP server通过响应DHCP Offer...
  • wireshark抓包分析【设置办法】

    千次阅读 2020-12-19 05:50:43
    很多小伙伴都遇到过wireshark抓包分析的困惑吧,一些朋友看过网上零散的wireshark抓包分析的处理方法,并没有完完全全明白wireshark抓包分析是如何解决的,今天小编准备了简单的解决办法,只需要按照1:电脑安装...
  • Wireshark详细抓包教程

    万次阅读 2020-05-04 13:32:44
    wieshark简介 wireshark是一个免费开源的网络数据包分析软件,功能十分强大。可以截取各种网络数据包,显示网络数据包...2.wireshark是捕获机器上的一块网卡的网络,当你有多块网卡时,选择其中的一个。 当你只...
  • Wireshark抓包

    2020-12-26 10:03:44
    1、使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 答:抓包:第一个框里为Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址...
  • UDP没有连接和确认机制,所以UDP协议会丢,会出错,所以它是一个不可靠的协议。 3.TCP协议:数据量很大,防止它丢,正确重传。(如果数据量很大,那么传输的时间会很长。中间网络中断了,要保证它能够重传。)对...
  • Wireshark对pop3抓包分析

    千次阅读 2022-02-25 17:26:44
    本文主要使用Wireshark对邮件客户端使用POP3协议收取邮件的过程进行抓包分析并使用telnet命令进行简单操作。 1、POP3简介 邮局协议(英语:Post Office Protocol,缩写:POP)属于TCP/IP协议族中的一员,由RFC 1939...
  • DApp区块链 | wireshark抓包

    万次阅读 2021-11-02 23:09:47
    抓取并过滤dapp流量 方法 软件:wireshark 环境:Dapp连本地Ganache端口,用Metamask连测试网络Ropsten,根据ip地址 (localhost) 和端口 (7545) 过滤流量 步骤 安装wireshark 官网无脑安装 安装npcap wireshark不...
  • 一、Wireshark简介 本节涵盖以下内容: 安置Wireshark(主机/程序...用Wireshark执行基本的抓包操作,配置起来并不麻烦,但是该软件也包含了很多高级配置选项,可用来应对某些特殊情况。这样的特殊情况包括令Wireshar
  • Wireshark远程抓包,自定义应用层协议解析
  • wireshark iphone 抓包

    千次阅读 2015-12-18 10:23:20
    转自:... 版权声明:本文为博主原创文章,未经博主允许不得转载。 ...Wireshark针对UNIX Like系统的GUI发行版界面采用的是X Window(1987年更改X版本到X11)。Mac OS X在Mountain Lion之后放弃X11
  • Python 工具 之 Wireshark 网络抓包工具的下载安装,和简单使用说明 网址:https://www.wireshark.org/download.html 安装 ...
  • Wireshark抓包实验

    2020-11-18 17:11:43
    本文是通过Wireshark抓包实验来学习数据链路层、网络层、传输层、应用层,了解帧、IP包、段等的结构,对网络有更深的认识。 文章目录摘要数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC...
  • 在windows上搭建一个FTP应用,从客户端上传两个文件,并用wireshark抓包分析控制连接和数据连接的过程。 FTP FTP— —协议中的活化石(从1971) 文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件...
  • 网络抓包工具wireshark

    2019-04-22 23:23:45
    Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络管理...
  • 不过,Wireshark启动USB抓包之后,会把同一总线的所有USB包抓下来,这个默认的设置对我们来说实在受不了,因为大多的包都是与我们分析无关的无效包。这时我们希望只抓我们需要的那个地址就好了,如何找到这个地址呢?...
  • 本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 wireshark 分析网络流量。文中的例子比较简单,适合作为入门参考。 1. 基础环境准备 为方便大家跟着上手练习,本文将搭建一个容器环境。 1.1 Pull Docker ...
  • Wireshark数据抓包分析之传输层协议(TCP协议) 本实验主要介绍了利用wireshark进行数据抓包并分析TCP协议,通过本实验的学习,你能够熟悉并掌握Wireshark的基本操作,加深对常用网络协议的理解。 实验简介 实验所属...
  • 本文我们通过wireshark抓包来验证traceroute的流程是不是跟理论的一样。
  • [实战]前端wireshark抓包协议解密

    千次阅读 2021-11-12 19:09:59
    前端wireshark抓包协议解密 废话不多说,先看看结果 该JSON文件是通过解密后的 HTTP 返回response结果再解密打开的新页面 有兴趣的小伙伴了解下之前的文章 Sha384解密[2] 打开Wireshark 将TCP 转码为RTP ,因为该...
  • 开始的时候我是在终端中使用sudo 命令打开 wireshark 的,因为如果不这样的话 wireshark 就没法抓包啊。偶尔抓一次包就使用这样的方式提权。今天使用 wireshark 的时候特意留意了一下 wireshark 的提示信息,大致...
  • 渗透测试抓包工具-wireshark

    千次阅读 2022-04-18 16:34:20
    wireshark功能介绍1.抓包嗅探协议分析2.安全专家必备的技能3.抓包引擎Libpcap9----LinuxWinpcap10-----Windows4....Wireshark筛选器过滤掉干扰的数据包抓包筛选器显示筛选器可以在上图进行一系列的过滤  wir
  • wireshark抓包详解

    万次阅读 多人点赞 2018-09-11 00:15:39
    过滤器: tcp src port 443 常用于过滤谷歌的浏览器端口443 ...启用wireshark的混杂模式,只有勾选上这个选项才能,wireshark才能抓取非本地的; 1.启用实时保存之后wireshark保存的地址; 2.文件保...
  • 使用wireshark抓包软件分析微信协议--zucc

    万次阅读 多人点赞 2019-06-07 21:11:56
    因为csdn自动压缩了上传的图片,导致看到的图片不太精确,稍后将发布可以下载的文档说明 下载地址,可以看到超清的图片,请自行下载 ...使用mac进行wireshark抓包,并选择使用客户端微信,同时...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 11,353
精华内容 4,541
关键字:

wireshark自动抓包