**:
我們知道,使用 ethereal軟體可以方便地幫助我們進行抓取網路中的資料報,具體怎樣利用它分析乙個特定的包呢?我在網上找了半天,發現相關的分析ip包的文章很少,在此,我將自己在學習使用該軟體抓取ip包並分析的過程描述如下,供初學者入門之用,有分析不對的地方歡迎指正。最後附上簡單介紹ethereal使用方法文章,詳細使用手冊可以在網上查詢。
要分析ip包,首先要知道ip包的包頭格式,各種計算機網路的書籍都有介紹,必須了解該協議分析包才有意義,ipv4首部一般是20位元組長,該協議如下:
下面使用ethereal抓取乙個特定的ip包,然後根據該協議分析該ip包。
使用ethereal抓取的ip包如下:
我用不同的框框劃分出來了,便於分析。
首先,開始的 6位元組+ 6位元組 + 2位元組 不屬於ip包包頭本身。
(1)「 00 e0 4c 5f 97 1b 」 目的主機的mac位址
(3) 「08 00 」 包型別: 08 00 為 ip包
後面的開始為真正的ip包包頭,可以根據上面的協議進行分析了。
(4)「45」,其中「4」是ip協議的版本(version),說明是ip4
「5」指本ip包的包頭長度為 5x4 = 20 位元組
(5) 「00」服務型別(type of service)
(6) 「00 40」是ip資料報文總長,包含頭部以及資料,這裡表示4x16 = 64位元組(注:00 40為16進製表示)
(7) " 62 06 "、" 40 00 " 表示 認證、標誌、段偏移:主要用於資料報的分段
(8) " 40" 表示乙個ip資料流的生命週期,用ping顯示的結果,能得到ttl的值,很多文章就說通過ttl位來判別主機型別。因為一般主機都有預設的ttl值,不同系統的預設值不一樣.
(9) " 06 " 很重要,表示 傳輸層的協議型別(protocol),06表示tcp協議
(10)"8b e5" 為校驗和
後面接著的就是ip的資料內容了,ip包包頭分析就到此為止,其實分析包頭並不難,udp、arp包的分析可以按照本文的思路,按照協議 一 一分析即可。
分析IP協議資料報格式
目的 1 掌握ip協議的作用和格式 2 理解ip資料報首部各字段的含義 3 掌握ip資料報首部校驗和的計算方法。工具 1 軟體工具 抓包分析工具 wireshark 2 作業系統 windows7 dos 3 區域網環境。原理 1 ip協議位於網路層,是tcp ip協議簇中的核心協議,提供資料傳輸 ...
IP 資料報分析上
學習tcp ip協議就必須的學會怎麼學分析資料報,下面為乙個簡單的例項來說明怎麼去分析乙個ip資料報 1 乙太網 rfc 894 幀的格式 其中的源位址和目的位址是指網絡卡的硬體位址 也叫mac位址 長度是48位,是在網絡卡出廠時固化的。用ifconfig命令看一下,hwaddr 00 15 f2 ...
資料報過濾及分析例項 tshark tcpdump
平時需要對資料報進行分析和統計,儘管使用python scapy庫來開發很方便,但若是熟悉tshark wireshark的命令列 tcpdump 等工具,含editcap,mergecap 等,寫個簡單的shell分析指令碼,那會更加方便 tcpdump tshark 過濾出 src.pcap 中...