Wireshark的抓包和分析.docx

《Wireshark的抓包和分析.docx》由会员分享，可在线阅读，更多相关《Wireshark的抓包和分析.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络 封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用 WinPCAP作为接口 ,直接与网卡进行数据报文交换。在网络封包和流量分 析领域有着十分强大功能的工具，深受各类网络工程师和网络分析师的喜 爱。本文主要内容包括: 1、Wireshark主界面介绍。 2、WireShark简单抓包例如。通过该例子学会怎么抓包以及如 何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的 内容。包括按照协议过滤、端口和主机名过滤、数据包内容过 滤。我们首先来介绍一下Wireshark

2、这款软件。首先我们先认识一下这个软件的主界面是长这样的一Mlj| j Melamet=6 台.在这个界面中为Wireshark的主界面(4)逻辑运算符&与、|或、！非src host 192.168.1.104 & dst port 80 抓取主机地址为192.168.1.80.目的端口为80的数据包host 192.168.1.104 | host 192.168.1.102 抓取主机为 192.168.1.104 或者的数据包! broadcast不抓取广播数据包2、显示过滤器语法和实例(1)比拟操作符比拟操作符有二=等于、！=不等于、 大于、 小于、二大于等于、 二小于等于。(2)协议过

3、滤比拟简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要 输入小写。tcp ,只显示TCP协议的数据包列表 ,只查看 协议的数据包列表icmp ,只显示ICMP协议的数据包列表(3 ) ip过滤显示源地址为的数据包列表ip.dst= = 192.168.1.104,显示目标地址为的数据包歹I表ip.addr = 显示源IP地址或目标IP地址为的数据包列表4 Microsoft WLANFile Edit View Go Capture Analyre Statistics Telephony Wires Too 匕 HelpNu.Tien925 97.971645926 97.

4、974107927 98.326392928 98.067066、uur zb【IQ7 1A51 1 1OA 1DvilUiiiill via。.254I 以 1用 CJ Expressi offT + trCral veal LmxtL I aftDRS75 Standard query 0x2dcb MM DNS130 Standard query response 以彳二TLSvl.2524 Application DataTCP54 11584 443 ACK Seq-B643(4)端口过滤tcp.port =80,显示源主机或者目的主机端口为80的数据包列表。tcp.srcport

5、= 80,只显示TCP协议的源主机端口为80的数据包列 表。tcp.dstport = 80 ,只显示TCP协议的目的主机端口为80的数据包列 表。“ Micros。和 WLANHie Ldit View So Capture Mnlyru Stst%6r Telephony 划 irde3 1 g!。 Hepure Analyse $t3$tks TolepH.时 Took Hlp4 ,B B B更Source937 100.153605.3U3 Ew；wrFrtgl Ltci*q*44l,J124,(requr*t tn 11)(8c： *gc*$9：附SS (correct) : Goo

6、d lKntlfiec (BL)! 1 (8x。1“) *JV，C 也血，()； M SquMe(LE): H2M (0x2(86)UkOMeiUtoMCJL.il:“CE tlMi .32U0 1 3* A.gU： 616264好g7”J7W651 32 J右键单击选中后出现如下界面xvrirJiu-Apply as FilterPrepare a FilterConversation FilterColorize with FilterFollow Internet Cont Type: 0 (Fc Code: 0Checksum:(Checksum Tdentlfier I Identi

7、fierSequence niSequence niRnqmt. frResponse 1 -Data (32 byres?CopySh6V Packet Bytes.Export Packet Bytes.Wiki Protocol PageFlter Red ReferenceProtocol Pr* rentesDecode加Go to Linked PackcrtCtrUShiftOCtd+Shift0000 WW赤 b0 b0 1c b8 c3 m 00 3c 0f e7 00 00 33 01 H 2b ee W 驼 55 2f 00 0185 97 76 ae 0887 f8 d

8、e b5 2600 2c 61 62 6300966445 00c0 a865 66SeectedNot Selirted Ond Selected .fir Selected .ard not Selected .or not Selectedv E,* 31 ,*&, W-abedef选中Select后在过滤器中显示如下File dit View Go Capture Analyze Statistics Telephony Wireless Tools Help g x q目唆嗟皆量二& & Q6T；g会Xcwrc，ftnPvc，cce1 Tn野卜 TnFn后面条件表达式就需要自己填写。

9、如下我想过滤出data数据包中包含“abed”内容的数据流。包含的关键词是contains后面跟上内容。dMANfia d*e Jpbx.T.，pbo 如，Xoob fjoipkSrtS 2819加工zze.iMMiseg74 6 2819 弘 L1g阳 tcho (pins) eply八*兔.(request in7 2819 弘L192.168.4),250KNP74 tcho (pir)seo*42/ld752, tti-64 (reply in 88 2819 86,L192.12/3.2 牯ICMPM tcho (pine) reply$e42/l/52, ttl51 (reuett

10、 in ?9 2019 061.翎次.她.1%KNP74. kho (pins) revestszYVll斓.ttl-M (reply in 18)18 2819 d6 -U220. IM. 36, ISO192.168.43.KW74 ho (pl) 11 2B19 061.192.166.43,238226.181.)8.15K*74 Echo (ping) requestseQ-44/H264, ttl-64 (reply in 12)12 2819-06-1-ICMP74 Echo (p收)Ely为eo44/M264, ttl-51 (rqudit in 11)看到这，基本上对wire

11、shak有了初步了解。Wireshark抓包分析TCP三次握手(1 ) TCP三次握手连接建立过程Stepl :客户端发送一个SYN = 1 , ACK=0标志的数据包给服务端，请求 进行连接，这是第一次握手；Step2 :服务端收到请求并且允许连接的话，就会发送一个SYN = 1 , ACK=1标志的数据包给发送端，告诉它，可以通讯了 ,并且让客户端发 送一个确认数据包，这是第二次握手；Step3 :服务端发送一个SYN = 0 , ACK=1的数据包给客户端端，告诉它 连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。客户端TCP三次握手服务端客户端发送syn 报文,并置发送序 号

12、为XSYN=1 $eq = XSYN=1 ACK=X+1 Seq = Y服务端发送syn十ack报文，并置 发送序号为Y,在确 认序号为X+1客户渊发送ack报文, 并置发送序号为乙 在确认序号为Y+1ACK=Y+1 Seq = Z(2 ) wireshark抓包获取访问指定服务端数据包Stepl :启动wireshark抓包,翻开浏览器输入。Step2 :使用 ping 获取 IP。C:Usersshiyananping 正在 Ping 2H.1C2.2.183具有 32 字节的数据:来自 211.162.2.183 的回京：字节=32 时间=kTETStep3 :输入过滤条件获取待分析数据

13、包列表ip.addr二二 7i，Y7“KlMCllCr &rrw 证i7：H.xes6s192.1讯 1.IM2”.发2.2.熄 31 2t*se nr？：”.八如，zu-imgr 上.3 函 1.MMI：t91九八 ur”:aj.ujIkf2M7311.20. J.141 1。17：MJ61Z711 1C2 2.18|卬.心1.1TCt?9 ie?lt $2 2.13 JSC 例 me ie 17”44$依e192旧/皿211.3.2.UJ 的 m 17:34.2S5751Ml.162J.2t)3MX2 1比1?14.外 Mrc*M29 lxlV：34.JrB922.144 WJ ia：17

14、:24.HTi9192 JU 1.2M711.：TC66 1O11 - 8d 9W|ve 恪 W 143U (STW, Mk，中”好 Ln-e 2X144616-M6is，err / khp/i.iU M yi,e *2 MEMW- 14XU MCI 61r261 AckC夕N XST1小J Ml tM 14311 fry% MK)fefW/e mnr4rfb en触1B t of -rISMHr/1，Ml 1 P*，5#nt：yM 141H / B0(ACC|*卜4外fifl l*n-图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是 的，这说明 确实是使用TCP建立连

15、接的。第一次握手数据包 客户端发送一个TCP ,标志位为SYN ,序列号为0 ,代表客户端请求建 立连接。如下列图。TimXQgtieOkSrM UMI is”. “ Sp-4 Ackl (de仍”S Lanf 哙“V bXK_*tW-l &M6199，切 S11JHW，WM 14，U * 3 MK)】JkE MSZUMl ScV沟” ：。：14 IUM1192 71L】02.iai / MTT.q 1L619S4m.U2.2.18)TC*MW- 143H (MKAck-VSl 业T13 3T加日於:17:乜.162汹21.16七2.18319),“.1.有 114 MTTF/1.6 珀2 v

16、”90_*crt： 14311OMtintftlm Wort: M 5 1Mx &_：T(P SM-LOI |flint MQj9rco0 (rwlatio Qj.ne. n/aber). 0W . - Mew Izg JZ ttes 9).-仃M.Hb4 t. tenc： Itot art,.*rrHm 训4 ，z7 Hoc .i. - K E8I $t . Hot wl.B . AcIcoomL0ffM*vt: He qh .九g： Hc .1 aB. . - y*.7Mf91 2917 1:17：L4.U2M291*291 令】”：7；-l4.U2RA211.152； 183 琢d1 2

17、11.K2.2 1BJ Ul.lM 2 tBJ192.14H. 1.104YruJ LMhHF 6 UM)，的 15Hin-44249 Lf-e 0T460 MS-256 S*CK_PH-1TO re YB wTrp66 腼 1431X 4, ACK S*q8 Ack-1 mF”S Ln3 修1皿 SMK_PEAM-i MS2 54 14JD * W ACK JqT ST WlrvW4 Ef1094 T f MUF/l.JMW- 14511 *K) 31 HKF】15Tm；Rvve UM . . tWr Lgtf*： syt -；51eee-AtiMrved： Mm.8-Monc: Mt.9*

18、- Ccn($tln WlndOn HeducX (OR); Mot 用 KM Ec*o: toc 4*tU，zt Mot set ZKflegcti Set +-Ph： Not setReset: Hot $et0 fin: No? ，数据包的关键属性如下：SYN + ACK:标志位，同意建立连接，并回送SYN+ACKSeq = 0 :初始建立值为0 ,表示当前还没有发送数据Ack = 1 :表示当前端成功接收的数据位数，虽然客户端没有发送任何有 效数据，确认号还是被加1 ,因为包含SYN或FIN标志位。(并不会对 有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有 效数据)

19、第三次握手的数据包客户端再次发送确认包(ACK) SYN标志位为O,ACK标志位为1.并且把服 务器发来ACK的序号字段+ 1,放在确定字段中发送给对方.并且在数据段写 ISN的+ L如下列图：1如 16:17:11.KR丛 143&3 de Se|皿7)M lr6 包S7466 f 型 5M19W 18； 17:13.785943192.168.1. IMKP“ 69 p 14H1 Se. MK Sqd 4k-i MeWS”5 Un-0 KSS-1446吒 Ai MS-2561991 29:17:13.7693i2.X6.j.ie4TCP .M 14511 ae (ADC Sql JUk-2

20、 也266648 Ln9:17:14.10159192.N8 1.1MTCPMW* Kill AOC $eq-l MF】lei2919 lB：mi4.1tZW192.1M.1 IM J14 HHP，。M0v TffKMXrHyy Tran5*i$4io6 Control Protocol, See Pvti U3H4 Dst 8r Ser i Ack: 1, Lbi 8 Source Porr 14311 Otlnt1on Pert： g ($trM inx- 17 TP Sp.M Um: d S*qunc *uaDer: 1 (rlth wqjance rrasvr M*xt-a*，： 1.

21、”(3伙 nuvtxr)AcVxude-MOt rMeb”： 1(Fade “N /*ua*).观e1 . Hotfec Lng*ttlan Mindcw tduc“ ：Uat wt 6. . CM-Ecbo: hot wt 1. AckiCwl4(MrtC!.8加6:际Xt ,% MMtl *0t . . .8 - Syn; E set . . .r . nc: ot |t TP C，n: A.1数据包的关键属性如下:ACK :标志位，表示已经收到记录Seq = 1 :表示当前已经发送1个数据Ack = 1 :表示当前端成功接收的数据位数，虽然服务端没有发送任何有 效数据，确认号还是被加1

22、,因为包含SYN或FIN标志位（并不会对有 效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效 数据）。就这样通过了 TCP三次握手，建立了连接。开始进行数据交互VWJVM小41Aryo.lode WqUm 口Um 口hr-tM】39W ie： 17113 7WWB)92.16t, 1.194W66 14311 - 89 1sej -qIB- 5S-14W WS-256 火工飞ml1999211.16?.2.)85191.1%TCP46 M * 14J11 (yrw, *K 5e-0 Ack-lR55-14W Sr_F*m-l 2S4TCP59*1 Z“llei1?Ml.16)

23、.1.132前加it*2818 16:17:1-WX * 14)11 (AK| Sql AckHS 址，6tt 1n2819 L8:”114 1&皿192.1,1.194 MA HTT/l.e 342 *XQ。TtwzMlyS92.1Gt.l.9 ten GtTTTP/1.1Ml?l ；C：1，：“.Zm”1.1奴.九】丁，392. )M. 1.194“介、4 g UMI MX FM1 也KdS，M$n1 AbQf. Id“Q3S8 14 Ml jj, 1.10Ure.，MK g ld1 ；ACX)Vq-7U JksNE tt1n-l25W* l*n*0 MC-lJ1Q ，,， % Q4，/a

24、. “ J /9. j iww“1 j j。/ Ttf55BR:X_45的H18et (W p-AHv 业)96 14% :Q| S-1370 RnUS侬SlE-J乳26，a：l力4AV57M92.u.l.942n.l62.2,1031CPS5 1143M - 80 1ADC SqT%9 萩*,7% HlnY5280 Ltti-lSM i8：l，3H2C632.1U3)92.169.L 194:;，reeo AU、* tfX i 0 M3l fMKl Seik5 A4v 19湿 1tSn1256% Ler，T SlE-ldtnF面针对数据交互过程的数据包进行一些说明:3d:17:14.t61f

25、cS64- 2M9 i“l九H.162* ；2d2* W；i7! 14 4&946wi*rrT!ICMtiefrtcNUeti tM.一KTtPI4M crv / MTIPn J211.3.2.192.ua. 1ZT864 1431t MIC Si-t Ack-Sl taln-119&l)6 LI192.168.1.1*4 314泗小皿 T”c7必I92,MLW21Lia.21t3 163 T 心mc ； M311, Ost 吁七 Mr Sea： 1. ac*i 1, le*; 959%34xeE： 1311DcttlAtlci ort: MSc，*M V*teK： 17 (TCP Setit

26、 Lei 9W) Iqjm- riMtitr： ) (rljtt. e9L roaber) *Rut WQiienc* tuflaber： -1 (rlatl-v 4cknarld ”中:-1 IKK, N*，Mindcw 1:e valuer )SnlnJutf Ae:独gft SlZ* 3C“1N FMTCri 2sH Szts: 9cd?C (unver)fie) (ChecicuM Sttua: lvrMzJ pointe: 8J (SEQ/MK 顼 1/915)(iTV： 9.M7WWW 5K8ds8yt Ln flight:(drtr wnt “y Mm 门9S6数据包的关键属性说

27、明Seq: 1Ack: 1:说明现在共收到1字节数据TiSVMCvKlLMI-MUcntS IiM17 18 17.14. H248)192.1H.L 皿 IgACC / MFP/1,118 29 nrl4.1$U5e192 469.1.19TCP54 8 14311 (AOCJ 5c-I Ack-951 kl，TRW8 lei 2919 W17 U.1627M211 162.2.19)192.1M,1.1W M MTTPH 9 M2 MOP TeponyMM W 17 14.169W231 U2.2,143 lnJl-*d，ecTM jscMNeru*lEt HTT/ 1?1 if 17：

28、H,25J751iam】，ixTCPM W U3U (KK) Seq-261 &K79B Xln-iaswo 17Dttintloi Pbt: 14211StrM irdvx: 17)(TCP Sawnt Ln；的SQunc Aue*: 1l fuar. 461 (dlsl a3 zebwr*.811 . - Hadr2$ (S) 35： eie (Mx-hl*de* tiztt vdiu*: 4W window $izIM2M “z 公f- 2强ChtCtSiM： 971cc15所”1“)lCHCd(5M St4CMS： 5田HiP Urgent pointer:。w S1Q/MK nlyf

29、i$)1- is / K 3 the sefert V). 2WJine UTT to Apt the was;secoMs)1MH; 9.907525WA $eW”w T，pt96j1，- ijnce fp$t r*r in Vi KP 5，g： 9.t29t9 erTime Display Format - Date and Time of Dayo 调整后格式如下：1S86；：2018-12-16 11:37:44,583026211.1622闻TCPM 40 - 2MFIN,MK&S，-M867曲left-fl回*8心 16 1137:44,583亦192MlMTCP乂 2201，le

30、k*、19网加诺12“6 n：P：44.58mI1924M.1JM211/621.诩TCP 痛】 “3 什叱M啜施H435AdcMG Wa&M1 例2m81216 11:0:44.$8M66 |KP54 2球 “3MK*乂1。Ack73868H44.5B39M愉.阳;，烟TCPS4 2266 ti ；?jrACK 5tq3410Adc Option ,勾选WLAN网卡（这里需要根据各 自电脑网卡使用情况选择，简单的方法可以看使用的IP对应的网卡）。 点击Start。启动抓包。Wirethkdc - Capture lncerfacePrem (Bj dHauh default def auk

31、default jlink-layer Header Ethernet Ethfrrne!Ethernet EthernetMonitor ModeBuffer MB)“itOtieeiJiabkf* Inttff*Ccpil lf7ee*d ms a an 11 ibtrfeiCk；txr filter *r xlctd iatrfcx.Sts | ClM Xl三一口之InterfaceTraffic Microsoft5Microsoft4Reaek PCle GBE Family Controter LUjKR _呼rosoft WLANwireshark启动后,wireshark处于抓包状态中。射imnWTWIWmy Z3 J 叙(HinrlerrmSS*5 T401TW 8】rn88)wrwiJet即 triue)n)s i曲、wi r 必XWb 913R：r ；mwSS)*5ns”号 r let|rl*40SEF?”t， 匚，4 XS d 二一氢？1:工J y正Kb1加1呢& - 5 i)Y33资 RTu-eW (Kb，4*w 3 MNWS3 X。卬SiV (r