wireshark数据包分析说明.pdf_第1页
wireshark数据包分析说明.pdf_第2页
wireshark数据包分析说明.pdf_第3页
wireshark数据包分析说明.pdf_第4页
wireshark数据包分析说明.pdf_第5页
已阅读5页,还剩28页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

数据包分析简介 WireShark 目录 Contents 第1章Linux上抓包与分析 第2章Windows抓包方法 第3章Wireshark进行数据包分析 TCPdump命令介绍 顾名思义,顾名思义,tcpdump可以将网络中传送的数据包的“头”完全截获下来提供可以将网络中传送的数据包的“头”完全截获下来提供 分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、 not等逻辑语句来帮助你去掉无用的信息。等逻辑语句来帮助你去掉无用的信息。 常用选项介绍常用选项介绍 -c :在收到指定的数量的分组后,tcpdump就会停止; -f :将外部的Internet地址以数字的形式打印出来; -i :指定监听的网络接口; -n :不把网络地址转换成名字; -nn:不进行端口名称的转换; -s:从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节; -w:直接将分组写入文件中,而不是不分析并打印出来; -v:输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息; -vv:输出详细的报文信息; -x:可以列出十六进制 (hex) 以及 ASCII 的封包内容,对于监听封包内容很有 用; TCPdump表达式介绍 常用表达式介绍常用表达式介绍 第一种是关于类型的关键字,主要包括第一种是关于类型的关键字,主要包括host,net,port,例如,例如 host , 指指 明明 是一台主机,是一台主机,net 指明指明是一个网络地址,是一个网络地址,port 23 指明端口指明端口 号是号是23。如果没有指定类型,缺省的类型是。如果没有指定类型,缺省的类型是host。 第二种是确定传输方向的关键字,主要包括第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src, 这些关这些关 键字指明了传输的方向。举例说明,键字指明了传输的方向。举例说明,src ,指明,指明ip包中源地址是包中源地址是 , dst net 指明目的网络地址是指明目的网络地址是。如果没有指明。如果没有指明 方向关键字,则缺省是方向关键字,则缺省是src or dst关键字。关键字。 第三种是协议的关键字,主要包括第三种是协议的关键字,主要包括fddi,ip, arp,rarp, tcp,udp等类型。等类型。Fddi指明是指明是 在在FDDI (分布式光纤数据接口网络分布式光纤数据接口网络)上的特定的网络协议,实际上它是”上的特定的网络协议,实际上它是”ether”的别名,的别名,fddi 和和ether 具有类似的源地址和目的地址,所以可以将具有类似的源地址和目的地址,所以可以将fddi协议包当作协议包当作ether的包进行处理和的包进行处理和 分析。分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则 tcpdump 将会将会 监听所有协议的信息包。监听所有协议的信息包。 除了这三种类型的关键字之外,其他重要的关键字如下:除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater, 还有三种逻辑运算,取非运算是还有三种逻辑运算,取非运算是 not ! , 与运算是与运算是and,或运算或运算 是是or ,; 这些关键字可以组合起来构成强大的组合条件来满足人们的这些关键字可以组合起来构成强大的组合条件来满足人们的 需要。需要。 TCPdump应用举例 在应用中往往需要截获整个包的长度,避免域名解析后的结果不直观,保在应用中往往需要截获整个包的长度,避免域名解析后的结果不直观,保 存抓包文件但同时在过程中也想知道实时状态,因此下面的例子都以这个条件存抓包文件但同时在过程中也想知道实时状态,因此下面的例子都以这个条件 为前提。为前提。 1.截获收到和发出的数据包。 tcpdump -i any -xns0 host -w myhost.cap -vv 2. 截获8080端口的数据包。 tcpdump -i any -xns0 port 8080 -w myhost.cap -vv 3. 截获和27之间的数据包。 tcpdump -i any -xns0 host and 27 -w hosts.cap -vv 4. 截获/24这个网段的数据包 tcpdump -i any -xns0 net /24 -w mynet.cap -vv 5. 截获发给27的数据包 tcpdump -i any -xns0 src and dst 27 -w request.cap -vv TCPdump应用举例 6. 截获发给27的8080端口的数据包 tcpdump -i any -xns0 src and dst 27 and port 8080 -w request.cap -vv 7.截获发的100个数据包 tcpdump -i any -xns0 -c 100 src -w request100.cap -vv 8.截获发来的icmp包 tcpdump -i any -xns0 src and icmp -w ping.cap -vv 9.截获主机27 与31和34之间的数据包 tcpdump -i any xns0 host 27 and 31 or 34 -w 2.cap -vv 在linux上查看抓包文件 一般情况,都会将文件下载到Windows电脑上进行分析查看,但是有时候 只需要获取其中一点需要的信息,也可以在linux上查看。一般http协议的包查看 比较方便。比如8080.cap就是抓的访问antispam的数据包,可以如下查看: strings 8080.cap 目录 Contents 第1章Linux上抓包与分析 第2章Windows上抓包的方法 第3章Wireshark进行数据包分析 在windows上使用wireshark抓包 开始抓包 在windows上使用wireshark抓包 高级选项设置 目录 Contents 第1章Linux上抓包与分析 第3章Wireshark进行数据包分析 第2章Windows上抓包的方法 分析数据包的基本步骤 1 进行数据包筛选 2 进行数据包简略分析 3 对照协议进行精确分析 进行数据包筛选 数据包筛选就是根据不同的需要,设置不同的条件进行数据包筛选,从而数据包筛选就是根据不同的需要,设置不同的条件进行数据包筛选,从而 快速定位。快速定位。 按照协议筛选按照协议筛选 进行数据包筛选 按照协议字段进行更精确的筛选按照协议字段进行更精确的筛选 进行数据包筛选 按照源地址和目的地址筛选按照源地址和目的地址筛选 进行数据包筛选 按照端口进行筛选按照端口进行筛选 进行数据包筛选 按照目的端口进行筛选按照目的端口进行筛选 进行数据包筛选 按照协议和按照协议和IP地址筛选地址筛选 进行数据包简略分析 wireshark能对一些常用的协议进行解码,因此当获取到需要的包之后,就能对一些常用的协议进行解码,因此当获取到需要的包之后,就 能够进行简要地分析。能够进行简要地分析。 从下图中的数据中可以看出主叫,被叫,消息内容从下图中的数据中可以看出主叫,被叫,消息内容 进行数据包简略分析 因为大部分的业务数据都是通过因为大部分的业务数据都是通过TCP协议传输的,因此也可以采用协议传输的,因此也可以采用wireshark 自带的自带的Follow TCP Stream来显示数据,更容易观察。来显示数据,更容易观察。 进行数据包简略分析 smpp协议的数据包协议的数据包Follow TCP Stream后显示的数据就比较直观些。后显示的数据就比较直观些。 进行数据包简略分析 http协议的数据包协议的数据包Follow TCP Stream后显示的数据就非常明确了。后显示的数据就非常明确了。 进行数据包简略分析 通过设置通过设置Set Time References来快速查看数据包直接的时差。来快速查看数据包直接的时差。 如下图选择一个数据包如下图选择一个数据包Set Time Reference后,就以该数据包为开始时刻,从而很容易看出后面数据包的后,就以该数据包为开始时刻,从而很容易看出后面数据包的 时间间隔。时间间隔。 进行数据包简略分析 设置数据包时间显示格式。设置数据包时间显示格式。 按照不同需要设置时间显示方式,这样就更容易进行分析判定。按照不同需要设置时间显示方式,这样就更容易进行分析判定。 进行数据包简略分析 设置数据包时间显示格式。设置数据包时间显示格式。 按照前面的时间格式设置后,显示如下,就比较符合我们的习惯。按照前面的时间格式设置后,显示如下,就比较符合我们的习惯。 对照协议进行精确分析 当通过初略分析无法定位问题的时候就需要进行精确分析了。当通过初略分析无法定位问题的时候就需要进行精确分析了。 精确分析的最终目的就是将抓到的数据包解析成我们能够看懂的信息。精确分析的最终目的就是将抓到的数据包解析成我们能够看懂的信息。 精确分析http协议包 就以就以M+和和CRM之间的消息为例。之间的消息为例。 1. 首先将数据包用wireshark打开,然后Follow TCP Stream。 精确分析http协议包 2. 将得到的字符串复制到UltraEdit中。 3. 然后按照xml格式进行着色和格式化,就能得到容易查看的数据。 精确分析diameter协议包 就以就以M+和和CBS之间的计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论