Wireshark抓包及分析:在说Wireshark这个抓包工具之前,我们先来说说抓包,抓包,也就是packet capture,它就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。而抓包有很多抓包工具,Wireshark就是很常用的一个。
Wireshark简介
Wireshark,前称Ethereal,是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
Wireshark抓包如何操作
接下来介绍一下Wireshark的操作流程。
首先我们打开wireshark软件的主界面,在主界面上选择网卡,然后点击start。wireshark即进入抓包分析过程。在本篇我们选择以太网,进行抓包。
接下来再界面我们可以看到wireshark抓到的实时数据包。我们对数据包的各个字段进行解释。
1.No:代表数据包标号。
2.Time:在软件启动的多长时间内抓到。
3.Source:来源ip。
4.Destination: 目的ip。
5.Protocol:协议。
6.Length:数据包长度。
7.info:数据包信息。
接下来我们点击解析后的某一条数据可以查看数据包的详细信息。在抓包过程中,我们可以点击图标启动或者停止。来启动或者停止抓取数据包。
再者我们将简单介绍Filter处,对来源Ip以及目的Ip的过滤表达式的写法:首先我们在Filter处填写ip.addr eq 192.168.2.101。表示获取来源ip以及目的ip都是192.168.2.101的数据包。(此处解释 eq 换成==同样的效果)
在Filter处填写:ip.src == 192.168.2.101。表示获取来源地址为192.168.2.101的数据包;在Filter处填写:ip.dst == 119.167.140.103。表示获取目的地址为119.167.140.103的数据包;在Filter处填写:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示获取目的地址为119.167.140.103或者192.168.2.45的数据包。(此方法举例主要说明or的用法。在or前后可以跟不同的表达式。);在Filter处填写:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示获取目的地址为119.167.140.103且来源地址为192.168.2.101的数据包。(此方法举例主要说明and 的用法)
这样就完成了。
Wireshark可以说是应用最广泛的网络数据包分析软件之一,功能十分强大。它可以实时捕获并详细显示各种类型数据包,可以通过多种方式过滤数据包,还可以进行多种统计分析。整体操作起来难度也不会很大,不过要注意的是,以上介绍的只是其中的一个操作方式,它用法是非常灵活的,掌握具体的思路即可。
相关课程内容推荐
思科认证备考须知:CCNP是什么
思博全新EI课程上架:CCNP-EI 课程
思博CCNP课程安排表: CCNP-EI课表
网工必备证书:什么是思科认证CCNP
思科认证要多少钱:ccnp培训费用多少钱?