具体抓包步骤与分析方法

具体抓取步骤一、首先打开wireshark进入主界面二、点击Capture Options键盘快捷键Ctrl K进入捕捉过滤器界面三、设置捕捉滤波器捕捉方案的是捕捉包in pcap-ng format混沌捕捉。 (有关Capture Filter的特定过滤器命令，请参见wireshark详细信息。)四、点击Start开始捕捉具体的捕获过滤器设置如下所示Wireshark捕获软件包运行后，您可以打开需要分析捕获软件包的应用程序(以前不熟悉端口号或IP的用户可以打开路由web管理接口的内部网监视，查看并记录正在运行的连接。)五、ikuai路由内网络监控连接状态介绍如图所示，关于处于系统状态内部网的业务监视中的IP处的终端连接的详细情况，可以看出在某个IP处当前正在动作的网络连接的详细情况。 在本节中，我们将重点讨论连接状态的定义1 .连接的数据流2 .等待传送或连接的数据流3、-或无状态的交互式连接(例如UDP连接)4 .未定义要传输或传输到未路由的外部网络的数据连接。 例如内部网数据通信六、对具体软件进行捕获分析的步骤和过程1 .具体程序以上操作完成后，我们运行了需要逮捕分析的软件(我们已经以迅雷为例)。之后，需要再次确认终端连接的详细情况在这种情况下，我们可以看到wireshark提供了一些快速数据连接，这些连接需要进行过滤分析。 在该例子中，以协议名称迅速的协议已经识别成功，但是在我们的实际操作中，需要打包分析的大多数软件协议当中存在：未知协议或错误地识别出其它应用程序的协议，例如对于明显迅速下载可以将软件识别为协议组成的游戏，这种情况下需要在基于包前记录的终端连接的细节来执行软件连接之后进行比较，并且出现未知协议或错误协议名称的过程需要比较我们是否是需要分析的软件过程(此处提议不熟悉协议的端口号和IP的用户，逮捕分析家，关闭所有需要网络连接的程序，判断变得容易)如果判断为是需要抓住软件包的软件进程，则用wireshark进行过滤分析二.具体分析根据应用协议的分类，进行协议收集时需要记录的信息和方法不同HTTP类连接的分析方法首先按照我们刚才说的顺序来的，但是打开的软件可以是某个网站在终端连接细节中出现的IP或端口号(建议使用HTTP类协议或基于IP的过滤)允许对由该连接导致的流进行过滤。如图所示，此处显示了TCP协议的典型的3次握手过程，3次握手后的具体连接数据，即应分析的内容点击三次握手后的任意数据。 右键单击并选择follow tcp stream以打开它打开时，将显示有关此HTTP连接的特定信息在这里，您需要看到记录的信息。 一般而言，有三种信息：url:uniformresourcelocator (第一行的非GET字段)主机：主机名Referer :链接地址记录完毕后，请保存并退出wireshark，关闭正在测试的软件，然后结束系统背景进程如果测试了网站，请清除浏览器缓存Wireshark的存储方式如图所示在文件中，单击Save As .或快捷方式shift ctrl s在保存画面中选择Displayed，仅保存当前过滤的内容(Captured保存所有包)最后，将上述操作重复34次，观察并记录3个数值是否相同(建议将保存的所有数据包直接发送给我们，说明出处。 我们会追加具体的分析)2.TCP类协议分析方法tcp类协议分析方法基本上类似于HTTP类，但唯一的不同在于具体的协议分析需要记录如图所示，打开TCP协议时，将出现一个界面，显示此数据的明文内容。此接口提供了以下选项查找：查找。 通常用于比较屏幕上将显示Hexdump:清晰文本和十六进制译文C Arrays:16进行翻译另外，关于颜色，红色是从呼叫方发送的数据包，蓝色是从服务方发送的数据包。如图所示，这是分组转换为十六进制后的译文，这里应该注意，TCP协议数据存在订货顺序，在进行协议的比较时，只有相同方向、相同位置的数据存在比较性。 char peer0_0表示客户端的第一分组，char peer0_1指示数据是服务器端的第一分组，然后所有随后的分组号是序列号1:charpeer0_1或char peer1_1通过重复抓取分组，可以必须记录数据流在相同方向上位于相同数据流的相同位置的数据部分之间的相同点、端口号和IP是相同的还是存在一定范围。 (我们强烈建议您直接发送所有捕获的包，并附带说明。)3.UDP类协议分析方法UDP类协议的分析方法与TCP的分析方法相同。可以直接捕获整个数据流，附加说明地针对其他类型的协议(如ARP、DNS、ICMP等)进行具体分析。最后，我们将讨论将所有捕获的包发送给我们的有说明的格式1 .说明数据包的来源。 例如，某个游戏或某个网站2 .如果发送的数据包是整个数据包，请注明执行要分析的应用程序生成的流的所有端口号或IP地址。