Wireshark抓取網路資料報分析與監聽

可以通過網路嗅探軟體（wireshark、sniffer、 ethereal等）對網路資料進行監聽和分析，可以去捕獲乙個http資料報，分析資料報中的內容資訊。

本文用wireshark進行抓包處理， wireshark是非常流行的網路抓包分析軟體，功能十分強大。可以擷取各種網路分組，顯示網路封包的詳細資訊。另外對於獲取到的包，wireshark只能檢視封包、而不能修改和**封包，

（1）啟動軟體開始捕獲

wireshark捕獲某一塊網絡卡上的資料報，從圖中可以看出有多個網絡卡，可以任意選取其中乙個，本文選擇wlan進行捕獲。選擇wlan — 捕獲 — 開始（ctrl+e）。

（2）對捕獲的資料報進行分析

對其視窗進行分析，共有以下幾個部分：

1、display filter(顯示過濾器)

檢視http協議記錄

tcp檢視tcp協議記錄

udp檢視udp協議記錄

ip.src==192.168.2.250

源位址是192.168.2.250

ip.src==192.168.2.0/16

網路過濾、過濾乙個網段

ip.dst==192.168.2.250

顯示目標位址為192.168.2.250的資料報

&&或and

且||或or

或！或not

非上表只是列取了一部分表示式，其某一表示式的用途如下所示：

在封包列表中只顯示tcp協議記錄的資料。

2、packet list pane(封包列表)

依次表示為：no（序號）、time（時間）、source（源位址）、destination（目的位址）、protocol（協議名稱）、length（協議長度）、info（封包資訊）、還有最後不同的顏色顯示。

3、packet details pane(封包詳細資訊)

此面板是比較重要的，各行資訊可以對應與tcp/ip或osi模型一一對應。

（物理層）

（資料鏈路層）

（網路層）

（傳輸層）

例：如想要檢視tcp資料報內容，可以點開 transmission control protocol "

表中代表依次為：

(源埠號：53266)每乙個應用程序在運輸層都對應乙個埠號。埠是運輸層與應用層的服務介面。運輸層的復用和分用功能都要通過埠才能實現。

(目的埠號：443) 說明傳送方請求的是乙個 web 服務（http）

(序號：2)為了對傳送的報文段進行可靠傳輸，對每個傳送的報文段的第乙個位元組都進行編號，稱為序號。

另外還有：確認號、資料偏移、首部長度、標誌位、視窗值、校驗和、緊急指標字段。這裡不再一一說明。

視窗前面的標誌位 flags（6個字段）：

① 緊急指標 urg： 0。當 urg= 1 時，表明緊急指標字段有效。它告訴系統此報文段中有緊急資料，應盡快傳送(相當於高優先順序的資料)，無需排隊。

② 確認 ack ：只有當 ack =1 時確認號字段才有效。當 ack = 0 時，確認號無效。

③ 推送 psh (push) ：當接收 tcp 收到 psh = 1 的報文段，就盡快地交付接收應用程序，而不再等到整個快取都填滿了後再向上交付。

④ 復位 rst (reset) ：當 rst = 1 時，表明 tcp 連線**現嚴重差錯（如由於主機崩潰或其他原因），必須釋放連線，然後再重新建立運輸連線。

⑤ 同步 syn：在連線建立時用來同步序號。同步 syn = 1 表示這是乙個連線請求或連線接受報文。

⑥ 終止 fin (finis) ：用來釋放乙個連線。 fin= 1 表明此報文段的傳送端的資料已傳送完畢，並要求釋放運輸連線

例：如檢視資料鏈路層：

型別欄位type表示上一層用的什麼協議，（0x0800對應ip協議）

在捕獲資料報的鏈路層幀中各欄位依次為：

型別：ipv4（0x0800）

4、dissector pane(16進製制資料)

5、miscellanous(位址列，雜項)

Wireshark抓取網路資料報分析與監聽

使用wireshark進行網路報文抓取與分析

wireshark 抓取指定ip

wireshark如何抓取WebSocket資料報

Wireshark抓取網路資料報分析與監聽

使用wireshark進行網路報文抓取與分析

wireshark 抓取指定ip

wireshark如何抓取WebSocket資料報

相關推薦