Wireshark(Formerly Ethereal) is an award-winning network protocol analyzer developed by an international team of networking experts.
WireShark是一款很好的抓包工具,我們今天用它來做幾個實驗,複習一下網絡基礎知識。
1、安裝WireShark。這個不用說了,中間會提示安裝WinPcap,一切都是默認。
2、實驗前把網絡斷一下(關掉聯網的軟件),防止產生一些不必要的流量,不利於分析。
3、ok。打開WireShark,選擇"Capture>>Interfaces",選擇自己的網卡(物理網卡,如果裝了,VM或是***軟件,會產生很多虛擬網卡,但軟件不使用時,流量是零)。選擇"Start"開始監控流量。
4.HTTP協議分析。迅速打開一個網頁,因爲我是在局域網環境下,ARP廣播較多。然後選擇"Stop The running live capture"停止抓包。 截圖一。
2、實驗前把網絡斷一下(關掉聯網的軟件),防止產生一些不必要的流量,不利於分析。
3、ok。打開WireShark,選擇"Capture>>Interfaces",選擇自己的網卡(物理網卡,如果裝了,VM或是***軟件,會產生很多虛擬網卡,但軟件不使用時,流量是零)。選擇"Start"開始監控流量。
4.HTTP協議分析。迅速打開一個網頁,因爲我是在局域網環境下,ARP廣播較多。然後選擇"Stop The running live capture"停止抓包。 截圖一。
點擊圖片查看大圖!
抓包過程中發現UDP組播、ARP廣播等。
A.組播分析.
Ethernet II幀,
Src: RealtekS_46:f2:4f (00:e0:4c:46:f2:4f), Dst:IPv4mcast_66:74:6e (01:00:5e:66:74:6e)。
源地址RealtekS,目的地址IPv4mcast_66:74:6e。
Internet Protocol(IP數據包),
Internet Protocol(IP數據包),
Src: 10.1.10.154 (10.1.10.154), Dst: 225.102.116.110(225.102.116.110)這個不用說吧。
User Datagram Protocol(UDP數據包), Src Port: irisa (11000), Dst Port: irisa (11000)。
B.ARP廣播。
Ethernet II幀,
Src: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)[銳捷網絡的交換機,這裏顯示"福建實達
網 絡"], Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)(ARP數據包)
Sender MAC address: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)
Sender IP address: 10.1.10.254 (10.1.10.254)
Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
Target IP address: 10.1.10.135 (10.1.10.135)
Address Resolution Protocol (request)(ARP數據包)
Sender MAC address: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)
Sender IP address: 10.1.10.254 (10.1.10.254)
Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
Target IP address: 10.1.10.135 (10.1.10.135)
ARP是一個三層的協議,直接跑在Frame之上
5.再次啓動WireShark,打開網頁[url]www.google.cn[/url],抓包。
C.HTTP數據包分析。
Ethernet II Frame,
Src: Elitegro_59:a7:88 (00:16:ec:59:a7:88)【VIA的網卡,這裏顯示Elitegro】,
Dst: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)
Internet Protocol,
Src: 10.1.10.157 (10.1.10.157), Dst: 203.208.33.100 (203.208.33.100)
【Google.cn的IP地址】
Transmission Control Protocol,
Src Port: hppronetman (3908), Dst Port: http (80), Seq: 0, Len: 0
從抓的包中可以看到TCP的連接建立過程(Three-way Handshake).[syn][syn,ack][ack]
6.再次啓動WireShark,啓動FlashFXP連接遠程服務器,抓包。
D.FTP數據包分析
D.FTP數據包分析
先建立TCP的鏈接,然後傳送密碼,命令。不多說了。密碼以明文方式傳送(塗黑的部分)。
7.再次啓動WireShark,打開cmd,ping [url]www.g.cn[/url],抓包。
E.PING [url]www.g.cn[/url] 【DNS和ICMP】
DNS服務走的53端口UDP
Internet Protocol,
Src: 192.168.175.5 (192.168.175.5)【這是我們內部的DNS】,
Dst: 10.1.10.157 (10.1.10.157)
User Datagram Protocol,
User Datagram Protocol,
Src Port: domain (53), Dst Port: 59161 (59161)
[url]www.g.cnDNS[/url]查詢的返回值[url]www.g.cn[/url]: type CNAME, class IN, cname g.cn
g.cn: type A, class IN, addr 203.208.33.100
g.cn: type A, class IN, addr 203.208.33.101
g.cn: type A, class IN, addr 203.208.33.100
g.cn: type A, class IN, addr 203.208.33.101
而ICMP走的是IP協議。
總結:我們一共抓了組播、ARP、HTTP、FTP、DNS、ICMP,通過實驗複習下網絡的基礎知識。WireShark的功能很強大,需要仔細研究。要繼續努力呀!