返回
Wireshark的数据包截获及协议分析

Wireshark的数据包截获及协议分析

ID:36564538

大小:1.22 MB

页数:8页

时间:2019-05-12

Wireshark的数据包截获及协议分析_第1页
Wireshark的数据包截获及协议分析_第2页
Wireshark的数据包截获及协议分析_第3页
Wireshark的数据包截获及协议分析_第4页
Wireshark的数据包截获及协议分析_第5页
资源描述:

《Wireshark的数据包截获及协议分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Wireshark的数据包截获与协议分析1引言在数据包的截获方面,Winpcap是一个可在Windows环境下运行的包俘获结构,它由三部分组成:一个数据包截获驱动程序、一个底层动态链接库(Packet.dll)和一个高层静态链接库(wpcap.lib)。它的核心部分是数据包俘获驱动程序,在WindowsNT/2000系统中,它实现为一个内核驱动程序(packet.sys),在Windows95/98系统中是一个虚拟设备驱动程序(packet.vxd),包俘获驱动程序通过NDIS(NetworkDriverInter

2、faceSpecification)同网络适配器的驱动程序进行通信,NDIS是网络代码的一部分,它负责管理各种网络适配器以及在适配器和网络协议软件之间的通信。在库的高层是一个动态链接库(packet.dll)和一个静态链接库(wpcap.lib),这两个库的作用是将俘获应用程序同包俘获驱动程序相隔离,屏蔽低层的实现细节,避免在程序中直接使用系统调用或IOCTL命令,为应用程序提供系统独立的高层接口(API函数),从而在Windows9x、Windows2000/XP系统下,对驱动程序的系统调用都是相同的。使用Win

3、pcap,我们可以编写出用于网络协议实验分析、故障诊断、网络安全和监视等各种应用程序,这方面的一个典型例子就是可在Windows系统下运行的Wireshark,Wireshark和Winpcap都可从网上下载,通过Wireshark我们可以从网上拦截数据包并对数据包进行网络协议分析,下面介绍一个分析实例。2数据包的截获与链路层协议分析Wireshark安装完成后,单击它的Capture→Start菜单,打开俘获选项对话框,在这些选项中比较重要的是设置混杂模式(Promiscuousmode)选项,选中这个选项使得网

4、卡并不检验数据帧的目的地址,从而它可以截获网上的任何帧,其他选项可用默认设置,再单击OK按钮即可进行数据包截获,截获的数据帧分别在Wireshark的包列表(PacketList)、包细节(PacketDetails)和包字节(PacketBytes)三个窗口中显示。依次显示了这三个窗口的部分内容,最上面的包列表窗口按俘获的顺序显示出帧的一般信息,如被俘获的时间、包的协议类型等。当应用层的数据通过网络协议栈(如TCP/IP协议栈)到达物理层传输时,各层协议都要在数据包上封装一个报头,而中间的包细节窗口就从低层到高层

5、显示出数据包的各层协议信息,在下面的包字节窗口上,则以十六进制和ASCII码显示了被截获数据包的详细内容。1.数据链路层的分析数据链路层一般采用以太网的IEEE802.3标准。其中数据部分包括了更高层的协议内容,由于前导码被网络硬件用于接收信号的同步,因此Wireshark已从数据帧中去掉了前导码,在的包细节窗口中,显示出帧的头部信息,可以读出这个帧的目的物理地址为00:90:1a:40:2a:d0,源物理地址为00:e0:4c:82:22:6b。帧类型是0x8864,它表示PPPOE会话,在ADSL宽带网接入中,

6、数据链路层通常要包括这种在以太网上的点到点协议(PPPOE)。包字节窗口中紧跟着高亮显示的帧头部就是帧的数据区和CRC校验码,并未显示帧数据区的全部。3网络层协议的分析网络层协议在TCP/IP中包括网间互联协议(IP)消息控制协议、(ICMP)路由信息协议、(RIP)等,它要实现地址解析及路由管理等功能,IP协由议中的数据报格式可以分析出版本号为4,即这个数据报为IPv4,报头长度20字节,服务类型00表示是普通数据包,数据报总长度886字节,标识为0x3e06,当数据报需要分片传送时,这个域用来指出接收到的数据片

7、属于哪一个数据报,标志04表示该报文不分片,片偏移为0,生存时间128,协议域06表示上层协议是TCP,头部校验和0xcce3表示正确,源IP地址是220.166.24.211,目的IP地址为202.108.44.178,包字节窗口中的数据区显示了上层协议的TCP段内容。4传输层协议的分析TCP/IP的传输层协议包括用户数据报协议(UDP)、传输控制协议(TCP)等,TCP要在IP服务上提供可靠的、面向连接的字节流传输,它是以数据段(segment)的形式交换数据,忽略选项后的数据段格式从包细节窗口可看出,TCP源

8、端口号1140,目的端口号80,其中80是HTTP协议的保留端口号,在包字节窗口中显示出序列号的实际值是0x000af00b,但它等于本次连接的初始序号加上报文第一个字节在整个数据流中的序号,因此包细节窗口显示了相对于建立连接的初始握手序列号的相对值1,图中的下一序列号847就意味着数据区长度是846字节。同理确认号的相对值也为1,头部长度20字节,标志位0

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。