1、前期準備
可以通過網絡嗅探軟件(wireshark、Sniffer、 Ethereal等)對網絡數據進行監聽和分析,可以去捕獲一個http數據包,分析數據包中的內容信息。
本文用Wireshark進行抓包處理, Wireshark是非常流行的網絡抓包分析軟件,功能十分強大。可以截取各種網絡分組,顯示網絡封包的詳細信息。另外對於獲取到的包,Wireshark只能查看封包、而不能修改和轉發封包,
(1)啓動軟件開始捕獲
Wireshark捕獲某一塊網卡上的數據包,從圖中可以看出有多個網卡,可以任意選取其中一個,本文選擇WLAN進行捕獲。選擇WLAN — 捕獲 — 開始(Ctrl+E)。
(2)對捕獲的數據包進行分析
2、操作過程與分析
對其窗口進行分析,共有以下幾個部分:
1、Display Filter(顯示過濾器)
用於過濾數據包,其實就是個可以用於篩選指定數據。
| http | 查看http協議記錄 |
| tcp | 查看tcp協議記錄 |
| udp | 查看udp協議記錄 |
| ip.src==192.168.2.250 | 源地址是192.168.2.250 |
| ip.src==192.168.2.0/16 | 網絡過濾、過濾一個網段 |
| ip.dst==192.168.2.250 | 顯示目標地址爲192.168.2.250的數據包 |
| &&或and | 且 |
| ||或or | 或 |
| !或not | 非 |
上表只是列取了一部分表達式,其某一表達式的用途如下所示:
在封包列表中只顯示tcp協議記錄的數據。
2、Packet List Pane(封包列表)
依次表示爲:NO(序號)、Time(時間)、Source(源地址)、Destination(目的地址)、Protocol(協議名稱)、Length(協議長度)、Info(封包信息)、還有最後不同的顏色顯示。
3、Packet Details Pane(封包詳細信息)
此面板是比較重要的,各行信息可以對應與TCP/IP或OSI模型一一對應。
例:如想要查看TCP數據包內容,可以點開 Transmission Control Protocol "<"。
表中代表依次爲:
(源端口號:53266) 每一個應用進程在運輸層都對應一個端口號。 端口是運輸層與應用層的服務接口。運輸層的複用和分用功能都要通過端口才能實現。
(目的端口號:443) 說明發送方請求的是一個 web 服務(http)
(序號:2) 爲了對發送的報文段進行可靠傳輸,對每個發送的報文段的第一個字節都進行編號,稱爲序號。
另外還有:確認號、數據偏移、首部長度、標誌位、窗口值、校驗和、緊急指針字段。這裏不再一一說明。
窗口前面的標誌位 flags(6個字段):
① 緊急指針 URG: 0。 當 URG= 1 時,表明緊急指針字段有效。 它告訴系統此報文段中有緊急數據,應儘快傳送(相當於高優先級的數據),無需排隊。
② 確認 ACK : 只有當 ACK =1 時確認號字段纔有效。當 ACK = 0 時,確認號無效。
③ 推送 PSH (PuSH) : 當接收 TCP 收到 PSH = 1 的報文段,就儘快地交付接收應用進程,而不再等到整個緩存都填滿了後再向上交付。
④ 復位 RST (ReSeT) : 當 RST = 1 時,表明 TCP 連接中出現嚴重差錯(如由於主機崩潰或其他原因),必須釋放連接,然後再重新建立運輸連接。
⑤ 同步 SYN:在連接建立時用來同步序號。 同步 SYN = 1 表示這是一個連接請求或連接接受報文。
⑥ 終止 FIN (FINis) : 用來釋放一個連接。 FIN= 1 表明此報文段的發送端的數據已發送完畢,並要求釋放運輸連接
例:如查看數據鏈路層:
類型字段Type表示上一層用的什麼協議,(0x0800對應ip協議)
在捕獲數據包的鏈路層幀中各字段依次爲:
目的地址:74:7d:24:9b:68:67
源地址:9c:da:3e:bf:c1:7e
類型:IPv4(0x0800)
4、Dissector Pane(16進制數據)
5、Miscellanous(地址欄,雜項)
