一、Wireshark(前程Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
二、wireshark安装
登陆wireshark.org这个网址,然后找到Download,找到对应的版本点击下载。
三、Wireshark抓包
wireshark打开后,显示的界面为下:
下面显示的一块是wireshark监听你的网卡所获得的流量包数量的图,我们可以双击某一个网卡,来选择仅监听那一张网卡的流量数据包。
左侧一栏是一个外部过滤,表示的是仅监听符合过滤条件的内容的数据包也就是说会丢弃不满足条件的数据包
右侧一栏是一个显示下面设备的过滤器,可以选择有线设备、无线设备等。默认为所有网卡显示。图二表示仅显示无线设备的监听,且一个无线设备,16个的设备被隐藏了。
下图是一个内部的过滤,也就是说不会丢弃数据包,将所有满足条件的数据包显示。
右边的“表达式”可以查看过滤表达式
蓝色的鱼鳍表示开始监听。
红色的方框表示停止监听。
绿色的鱼鳍表示重新开始监听。
齿轮表示设置。
打开wireshark双击一个监听设备,如果你看到很多五颜六色的数据会在wireshark界面里滚动,那么说明你已经成功的通过wireshark进行抓包了。
四、wireshark分析
主机1:192.168.71.1
主机2:192.168.71.139
我们使用主机1去“ping"主机2
通过过滤我们可以看到以下:
点击”Frame"会可以看到如下:
点开Ethernet ||候可以看到如下:
点开Internet Protocol后可以看到如下:
DNS(UDP)数据包分析
在获得DNS包之前,我们需要访问随便的一个网站(需要通过域名来访问),访问网站时,浏览器告诉域名服务器对应的域名,域名服务器则返回给我们正确的IP地址,这样我们就能登陆到一个网站了,所以我们以访问“虾米”为例。来抓取这个域名获取的过程。
第一个数据包为请求返回www.xiami.com 这个域名的ip地址。
第二个数据包则是响应返回www.xiami.com这个域名的ip地址
第一个请求的数据包包含了一下内容数据段:
打开请求端的UDP数据段(User datagram Protocol),显示如下:
打开请求端的DNS(Domain name system)数据段,显示如下
DNS(UDP)数据包分析
打开响应端的DNS(Domain name system)数据段,显示如下
我们以访问freebuf为例子,获取访问freebuf时,所发送的请求包和响应包
HTTP(TCP)数据包分析
首先我们来分析请求端的TCP数据段的内容
其次我们来分析请求端的HTTP数据段的内容。
再者我们来分析响应端的TCP数据段的内容。
最后我们来分析响应端的HTTP数据段的内容。
