1. 引
上次我們說了IPS測試,對大家來說,基本沒什麼給予,不過提到個WireShark抓包軟件,這個軟件與軟件背後的知識模塊倒是很值得學習的,想當初測試IPS所用的數據包都是應用這個軟件來抓的(保存格式爲.pcap,供Tomahawk做發包)。用WireShark抓包一是方便,因爲它在Windows平臺上,圖形界面,易操作,二是其強大的過濾器決定了這個抓包器的地位(關於過濾器的使用,可參見其軟件的Help->Manual Pages->WireShark Filter幫助),三是該軟件對所抓的包有十分詳細的解釋,很適合學習,特別是對網絡協議的熟悉與掌握。
2. WireShark簡單操作
打開WireShark,點擊Caputre->Option…選擇進入抓包設置窗口(圖2-1)。
圖 2-1
從這個窗口中我們可以對我們的抓包環境,策略,顯示項做一個整體的設置。
首先是對抓包環境與策略的設置,如圖2-2:
圖 2-2
“Interface”就是選擇再哪一個網卡上進行抓包。
“Link-layer header type”就是對網絡環境的掌控,即數據鏈路層的頭部形態,一般選擇以太網(Ethernet)。
“Buffer Size”當然就是緩衝區大小了(不好意思,這個具體作用不明,望達人指點)。
“Caputre packets in promiscuous mode”當然就是開啓網卡的混雜模式,使得軟件對網絡上經過該網卡的包都捕獲下來。
“Limit packet to”就是限制抓包的大小。
“Capture Filter”就是過濾器,用於對抓包的類型進行控制。點擊
其次,“Stop Capture…”欄,就是可以設置抓包的停止條件,分別可以從抓包數,抓包的總大小,抓包時間進行設置。
再次, “Display Options”設置顯示選項,其下三點內容包括抓包實施更新顯示,自動滾屏,隱藏捕捉信息對話框。
最後,“Name resolution”對命名規則進行了決定,其下三點選項分別是一Mac,網絡層,傳輸層命名。
1. 抓TCP包
要抓TCP包對於WireShark來說,小菜一碟。只是在“Capture Filter”處寫上“tcp”即可(其實就是啓動TCP協議過濾器),選擇好抓包的網卡,點擊 “Start”。
我們抓到了一個TCP包,整體如下:
圖 2-3
對於一個包,有三塊相關區域,一是表示基本捕捉信息,就是圖2-3上的一個List窗口中的內容,二是數據包詳細信息就是窗口中第二塊樹形結構區域,三是16進制的數據包原型。
從這個單一的包,我們可以瞭解到許多有用的信息。例:
Mac地址
選中區域:
則對應十六進制的區域也就選定了:
從這裏,可以很直白的看到該包的發送源與目標機的物理地址(原來想塗掉裏面的Mac,怕有人黑我,結果ipconfig一看,上面的Mac沒有一個是我的,那就隨他了-_-|)
再下面的幾個段,相信你可以自己瞭解到了,呵呵。