返回
wireshark教程,看完这个,你也是大神

wireshark教程,看完这个,你也是大神

ID:9282763

大小:15.26 MB

页数:98页

时间:2018-04-26

wireshark教程,看完这个,你也是大神_第1页
wireshark教程,看完这个,你也是大神_第2页
wireshark教程,看完这个,你也是大神_第3页
wireshark教程,看完这个,你也是大神_第4页
wireshark教程,看完这个,你也是大神_第5页
资源描述:

《wireshark教程,看完这个,你也是大神》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、抓取报文:下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击CaptureOptions可以配置高级属性,但现在无此必要。点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文。上端面板每一行对应一个网络报文,默认显示报文接收时间(相对开始抓取的时间点),源和目标IP地址,使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+

2、”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。需要停止抓取报文的时候,点击左上角的停止按键。色彩标识:进行到这里已经看到报文以绿色,蓝色,黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文,深蓝色是DNS,浅蓝是UDP,黑色标识出有问题的TCP报文——比如乱序报文。报文样本:比如说你在家安装了Wireshark,但家用LAN环境下没有感兴趣的报文可供观察,那么可以去Wiresharkwiki下载报文样本文件。打开一个抓取文件相当简单,在主界面上点击Open并浏览文件即可。也可以在W

3、ireshark里保存自己的抓包文件并稍后打开。过滤报文:如果正在尝试分析问题,比如打电话的时候某一程序发送的报文,可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选,这时要用到Wireshark过滤器。最基本的方式就是在窗口顶端过滤栏输入并点击Apply(或按下回车)。例如,输入“dns”就会只看到DNS报文。输入的时候,Wireshark会帮助自动完成过滤条件。也可以点击Analyze菜单并选择DisplayFilters来创建新的过滤条件。另一件很有趣的事情是你可以右键报文并选择FollowTCPStream。你会看到在服务器和目标端之间的

4、全部会话。关闭窗口之后,你会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。检查报文:选中一个报文之后,就可以深入挖掘它的内容了。也可以在这里创建过滤条件——只需右键细节并使用ApplyasFilter子菜单,就可以根据此细节创建过滤条件。Wireshark是一个非常之强大的工具,第一节只介绍它的最基本用法。网络专家用它来debug网络协议实现细节,检查安全问题,网络协议内部构件等等。TCP:TCP/IP通过三次握手建立一个连接。这一过程中的三种报文是:SYN,SYN/ACK,ACK。第一步是找到PC发送到网络服务器的第一个SYN报文,这标识了TC

5、P三次握手的开始。如果你找不到第一个SYN报文,选择Edit->FindPacket菜单选项。选择DisplayFilter,输入过滤条件:tcp.flags,这时会看到一个flag列表用于选择。选择合适的flag,tcp.flags.syn并且加上==1。点击Find,之后trace中的第一个SYN报文就会高亮出来了。注意:FindPacket也可以用于搜索十六进制字符,比如恶意软件信号,或搜索字符串,比如抓包文件中的协议命令。一个快速过滤TCP报文流的方式是在PacketListPanel中右键报文,并且选择FollowTCPStream。这就创建了一个只显示T

6、CP会话报文的自动过滤条件。这一步骤会弹出一个会话显示窗口,默认情况下包含TCP会话的ASCII代码,客户端报文用红色表示服务器报文则为蓝色。窗口类似下图所示,对于读取协议有效载荷非常有帮助,比如HTTP,SMTP,FTP。更改为十六进制Dump模式查看载荷的十六进制代码,如下图所示:关闭弹出窗口,Wireshark就只显示所选TCP报文流。现在可以轻松分辨出3次握手信号。注意:这里Wireshark自动为此TCP会话创建了一个显示过滤。本例中:(ip.addreq192.168.1.2andip.addreq209.85.227.19)and(tcp.porteq

7、80andtcp.porteq52336)SYN报文:图中显示的5号报文是从客户端发送至服务器端的SYN报文,此报文用于与服务器建立同步,确保客户端和服务器端的通信按次序传输。SYN报文的头部有一个32bit序列号。底端对话框显示了报文一些有用信息如报文类型,序列号。SYN/ACK报文:7号报文是服务器的响应。一旦服务器接收到客户端的SYN报文,就读取报文的序列号并且使用此编号作为响应,也就是说它告知客户机,服务器接收到了SYN报文,通过对原SYN报文序列号加一并且作为响应编号来实现,之后客户端就知道服务器能够接收通信。ACK报文:8号报文是客户端对服务器发送的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。