wireshark(前稱ethereal)是乙個免費的網路報文分析軟體。網路報文分析軟體的功能是抓取網路報文,並逐層顯示報文中各欄位取值。網路報文分析軟體有個形象的名字「嗅探工具」,像乙隻獵狗,忠實地守候在介面旁,抓獲進出該進口的報文,分析其中攜帶的資訊,判斷是否有異常,是網路故障原因分析的乙個有力工具。
網路報文分析軟體曾經非常昂貴,ethereal/wireshark 開源軟體的出現改變了這種情況。在gnugpl通用許可證的保障範圍底下,使用者可以以免費的代價取得軟體與其源**,並擁有針對其源**修改及客製化的權利。ethereal/wireshark 是目前世界使用最廣泛的網路報文分析軟體之一。
操作:單擊選單capture中的inte***ces選項
圖1:檢視介面卡
圖2:檢視介面卡詳細情況
圖3:開啟監聽
本機ip
使用cmd命令列,輸入ipconfig檢視ip位址
如圖4所示。可以看到本機的ipv4位址是192.168.1.133
圖4:本機ip資訊
圖5:第一次握手
第二次握手也成功抓到了,如圖6所示。看到了syn和ack。目的ip變成了119.75.217.26,源位址是本機。
圖6:第二次握手
第三次握手也成功抓到了。有ack,如圖7所示。目的位址變為本機,源位址是119.75.217.2。
圖7:第三次握手
圖8:三次握手的另一方
問題:'telnet』不是內部或外部命令,也不是可執行的程式或批處理檔案。
解決:手動在win10功能那裡開啟telnet客戶端
圖9:開啟telnet服務端
這裡需要說明一點是,由於回到宿舍做實驗,ip位址發生了變化,如圖11所示。這是連線了學校網線之後的ip,可以看見這是乙個b類位址,學校應該設了子網。
圖10:ip變化
接著開啟wireshark監聽,並在win10命令列視窗並輸入:telnet 192.168.1.101,然後停止繼續偵聽網路資訊。
接著在wireshark上輸入相應的過濾表示式,檢視到了tcp失敗結果:
圖11:tcp失敗
圖12:tcp失敗
失敗原因分析:
埠23是telnet的服務埠,192.168.1.101是本地區域網。其實本地就我一台電腦,所示失敗原因是因為這台192.168.1.101沒有開啟telnet服務,也即是遠端登入服務。
tcp三次握手是成功抓到了。不過還是有疑問,就是seq並不是乙個隨機值,而是0或者1.看了別的三次握手包,也都如此。後來上網查詢,才知道這是wireshark進行了計算。這裡的0和1都是相對的。其實其餘版本的wireshark是可以看到原始的數值的。
四次揮手抓包小結:
其實一開始沒有找到四次揮手的整個過程。後來學會如何使用篩選,從大量的包中提取出所要監聽的位址就可以。可能是由於關掉特別迅速,所以四次揮手的流程是在一起的。
如果盲目在大量包中尋找要的包是非常費時費神的,要學會使用wireshark命令列的過濾器。
Ubuntu下使用wireshark進行網路抓包
下面是在ubuntu中進行網路抓包的教程。1.安裝wireshark 終端執行 sudo apt get install wireshark 2.修改init.lua 直接執行wireshark的話會報錯 lua error during loading string usr share wires...
用WireShark進行網路抓包
第一步 安裝wireshark1.6.4的同時,依賴安裝了winpcap,winpcap是用於網路封包抓取的一套工具,可適用於32位的操作平台上解析網路封包。第二步 開啟wireshark開始抓包。然後我們開啟人人網 主頁。登陸操作,登陸後,停止抓包。第三步 在cmd中使用ipconfig 得到本機...
使用wireshark進行抓包分析
certificate,client key exchange,certificate verify,change cipher spec,encrypted handshake message change cipher spec,encrypted handshake message 首先放一張...