當我們對wireshark主視窗各部分作用了解了,學會捕獲資料了,接下來就該去認識這些捕獲的資料報了。wireshark將從網路中捕獲到的二進位制資料按照不同的協議包結構規範,顯示在packet details面板中。為了幫助使用者能夠清楚的分析資料,本節將介紹識別資料報的方法。
在wireshark中關於資料報的叫法有三個術語,分別是幀、包、段。下面通過分析乙個資料報,來介紹這三個術語。在wireshark中捕獲的乙個資料報,如圖1.45所示。每個幀中的內容展開後,與圖1.48顯示的資訊類似。
圖1.48 資料報詳細資訊
從該介面可以看出顯示了五行資訊,預設這些資訊是沒有被展開的。各行資訊如下所示:
下面分別介紹下在圖1.48中,幀、包和段內展開的內容。如下所示:
(1)物理層的資料幀概況
(2)資料鏈路層乙太網幀頭部資訊
(3)網際網路層ip包頭部資訊
(4)傳輸層tcp資料段頭部資訊
在wireshark中的資料報都可以稱為是網路資料。每個網路都有許多不同的應用程式和不同的網路涉及。但是一些常見的包中,通常都會包括一些登入程式和網路瀏覽會話。本節以訪問web瀏覽器為例將介紹分析網路資料的方法。
通常在訪問web伺服器過程中,會涉及到dns、tcp、http三種協議。由於此過程中來回傳送的資料報較為複雜,所以下面將介紹分析web瀏覽資料。
【例項1-3】分析訪問web瀏覽資料。具體操作步驟如下所示:
(1)捕獲訪問www.qq.com**的資料報,並儲存該檔名為http-wireshar.pcapng。本例中捕獲的檔案如圖1.49所示。
圖1.49 http-wireshar.pcapng捕獲檔案
(2)接下來通過該捕獲檔案中的資料,分析訪問web的整個過程。在該捕獲過程中,將包含dns請求、響應、tcp三次握手等資料。如圖1.50所示,在該介面顯示了在訪問**之間dns解析過程。
圖1.50 dns解析
(3)在該介面31幀,是dns將www.qq.com解析為乙個ip位址的資料報(被稱為乙個「a」記錄)。32幀表示返回乙個與主機名相關的ip位址的dns響應包。如果客戶端支援ipv4和ipv6,在該介面將會看到查詢乙個ipv6位址(被稱為「aaaa」記錄)。此時,dns伺服器將響應乙個ipv6位址或混雜的資訊。
(4)如圖1.51所示,在該介面看客戶端和伺服器之間tcp三次握手(33、34、35幀)和客戶端請求的get主頁面(36幀)。然後伺服器收到請求(37幀)並傳送響應包(38幀)。
說明:33幀是客戶端向伺服器傳送tcp請求建立連線。標識為syn。
圖1.51 tcp三次握手
(5)當客戶端從相同的伺服器上再次請求訪問另乙個鏈結時,將會再次看到乙個get資料報(1909幀),如圖1.52所示。
圖1.52 請求另乙個元素
圖1.53 請求下乙個站點
wireshark抓包教程
1 選擇要抓包的網路 2 設定捕獲過濾器 捕獲過濾器表示式作用在wireshark開始捕獲資料報之前,只捕獲符合條件的資料報,不記錄不符合條件的資料報。捕獲過濾器表示式沒有像顯示過濾器表示式那樣明顯的規律,但寫法不多所以也不難 而且除非全部捕獲要占用的磁碟空間實現太大,且你非常明確過濾掉的資料報是你...
Wireshark詳細抓包教程
wireshark是乙個免費開源的網路資料報分析軟體,功能十分強大。可以擷取各種網路資料報,顯示網路資料報的詳細資訊。1.開始頁面 2.wireshark是捕獲機器上的一塊網絡卡的網路包,當你有多塊網絡卡時,選擇其中的乙個。當你只有一塊網絡卡時,選擇網絡卡eth0。預設選擇網絡卡後自動抓包 wire...
fiddler手機抓包教程
序言 記錄一下自己第一次使用fiddler抓取手機的資訊,做乙個備忘 實現步驟 一 首先設定一下fiddler,使其對https協議進行抓包 二 然後設定fidder使得fiddler支援遠端計算機連線 也及時安卓 ios 別人的電腦之類的 這樣fiddler就已經設定好了,對了如果要抓包成功就必須...