WireShark使用说明.docx
- 文档编号:18613346
- 上传时间:2023-08-20
- 格式:DOCX
- 页数:30
- 大小:1.44MB
WireShark使用说明.docx
《WireShark使用说明.docx》由会员分享,可在线阅读,更多相关《WireShark使用说明.docx(30页珍藏版)》请在冰点文库上搜索。
WireShark使用说明
项目名称:
网络协议分析工具的使用
课程名称:
网络安全技术
班级:
网络081
教师:
李向东
小组成员:
甘春泉200800824126
杨建涛200800824123
崔帅200800824114
网络协议分析工具的使用
一、简介网络协议分析软件的功能和特点:
Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
网络封包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作-只是将场景移植到网络上,并将电线替换成网络线。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
Ethereal的出现改变了这一切。
在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
Ethereal是目前全世界最广泛的网络封包分析软件之一。
软件简介
网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……
Wireshark不是入侵侦测软件(IntrusionDetectionSoftware,IDS)。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。
二、Wireshark的使用方法
WireShark是一种可以运行在Windows,UNIX,Linux等操作系统上的网络协议分析器.用户界面如图1所示。
最初,各窗口中并无数据显示。
WireShark的界面主要有五个组成部分:
图1WireShark的用户界面
命令菜单(commandmenus):
命令菜单位于窗口的最顶部,是标准的下拉式菜单。
最常用菜单命令有两个:
File、Capture。
File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件或退出WireShark程序。
Capture菜单允许你开始捕获分组。
捕获分组列表(listingofcapturedpackets):
按行显示已被捕获的分组内容,其中包括:
WireShark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。
单击某一列的列名,可以使分组按指定列进行排序。
在该列表中,所显示的协议类型是发送或接收分组的最高层协议的类型。
分组头部明细(detailsofselectedpacketheader):
显示捕获分组列表窗口中被选中分组的头部详细信息。
包括:
与以太网帧有关的信息,与包含在该分组中的IP数据报有关的信息。
单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。
另外,如果利用TCP或UDP承载分组,WireShark也会显示TCP或UDP协议头部信息。
最后,分组最高层协议的头部字段也会显示在此窗口中。
分组内容窗口(packetcontent):
以ASCII码和十六进制两种格式显示被捕获帧的完整内容。
显示筛选规则(displayfilterspecification):
在该字段中,可以填写协议的名称或其他信息,根据此内容可以对分组列表窗口中的分组进行过滤。
软件具体操作步骤如下:
1.启动主机上的web浏览器。
2.启动WireShark。
你会看到如图1所示的窗口,只是窗口中没有任何分组列表。
3.开始分组捕获:
选择“capture”下拉菜单中的“Optios”命令,会出现如图3所示的“WireShark:
CaptureOptions”窗口,可以设置分组捕获的选项。
图2Ethereal的CaptureOption
4.在实验中,可以使用窗口中显示的默认值。
在“WireShark:
CaptureOptions”窗口的最上面有一个“interface”下拉菜单,其中显示计算机中所安装的网络接口(即网卡)。
当计算机具有多个活动网卡(装有多块网卡,并且均正常工作)时,需要选择其中一个用来发送或接收分组的网络接口(如某个有线接口)。
5.随后,单击“Start”开始进行分组捕获,所有由选定网卡发送和接收的分组都将被捕获。
6.开始分组捕获后,会出现分组捕获统计窗口。
该窗口统计显示各类已捕获分组的数量。
在该窗口中有一个“stop”按钮,可以停止分组的捕获。
7.在运行分组捕获的同时,在浏览器地址栏中输入某网页的URL,如:
。
为显示该网页,浏览器需要连接的服务器,并与之交换HTTP消息,以下载该网页。
包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。
8.在显示筛选编辑框中输入“http”,单击“apply”,分组列表窗口将只显示HTTP消息。
9.选择分组列表窗口中的第一条HTTP消息。
它应该是你的计算机发向服务器的HTTPGET消息。
当你选择该消息后,以太网帧、IP数据报、TCP报文段、以及HTTP消息首部信息都将显示在分组首部子窗口中。
单击分组首部详细信息子窗口中向右和向下箭头,可以最小化帧、以太网、IP、TCP信息显示量,可以最大化HTTP协议相关信息的显示量。
三、使用Wireshark分析网络协议
1、PING命令
在DOS下使用PING命令,发出四个包,收到四个包,丢失率为零。
源ip地址:
210.31.40.191目的ip地址:
210.31.40.190;TTL值为128,可判断目的主机操作系统为windows。
分析:
源ip地址:
210.31.40.191
目的ip地址:
210.31.40.190
IP协议版本:
4
头部长度:
20字节
TTL值为128,可判断目的主机操作系统为windows
版本:
4
总长度:
60
变时:
0×0910
标志:
0..=Reservedbit:
Notset保留位
.0.=Don’tfragment:
Notset分片
..0=Morefragments:
Notset最后一片
Fragmentoffset:
0一片偏移
协议:
TCP协议
头部校验和:
源210.31.40.191目的210.31.40.190
IMCP:
类型:
8
代码:
0
校验和0x485c
标识符0x0400
序列号256
2、ARP协议分析:
分析:
ARP协议信息:
哪台主机拥有IP:
210.31.40.4?
把物理地址告诉IP:
210.31.40.190
硬件类型:
Ethernet
协议类型:
IP协议
硬件长度:
6
协议长度:
4
操作代码:
询问
发送源IP:
210.31.40.190
发送源MAC地址:
00:
23:
ae:
90:
0a:
b8
目的MAC地址:
00:
00:
00:
00:
00:
00
目标主机IP:
210.31.40.4
3、Tracert命令
Tracert(跟踪路由)是路由跟踪实用程序,用于确定IP数据报访问目标所采取的路径。
Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。
Tracert工作原理通过向目标发送不同IP生存时间(TTL)值的“Internet控制消息协议(ICMP)”回应数据包,Tracert诊断程序确定到目标所采取的路由。
要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。
数据包上的TTL减为0时,路由器应该将“ICMP已超时”的消息发回源系统。
Tracert先发送TTL为1的回应数据包,并在随后的每次发送过程将TTL递增1,直到目标响应或TTL达到最大值,从而确定路由。
通过检查中间路由器发回的“ICMP已超时”的消息确定路由。
某些路由器不经询问直接丢弃TTL过期的数据包,这在Tracert实用程序中看不到。
跟踪210.31.32.4
Tracert跟踪XX
4、端口扫描数据捕获与分析
.
5、访问FTP
登录ftp:
//172.16.0.1,并下载三个大小不同的文件(小于1KB、1KB—1MB、1MB以上),使用分析仪分析其工作过程。
下载1MB以上的文件
分析:
IP:
源ip地址:
210.31.40.191
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
TTL值为128,可判断目的主机操作系统为windows
版本:
4
总长度:
59
变时:
0×ed2f
协议:
TCP协议
头部校验和:
源210.31.40.191目的210.31.32.5
TCP:
源端口:
can-ferret(1920)
目的端口:
ftp(21)
序列号:
174
下一相关序列号:
193
相关ack号:
366
头部长度:
20字节
数据分析:
发送源ip地址:
210.31.40.191
接收源ip地址:
210.31.32.5
FTP上的资源数据大小为2503600字节,有129字节在线并被捕捉
发送源ip地址利用八进制表示为:
00:
16:
9c:
3b:
38:
c0
接收源ip地址利用八进制表示为:
00:
23:
ae:
93:
fb:
3b
发送端口为(ftp)21
接收端口为1920
TCP:
源端口:
ftp(21)
目的端口:
can-ferret(1920)
序列号:
366
下一相关序列号:
441
相关ack号:
193
头部长度:
20字节
窗口大小:
32349
退出FTP
TCP:
源端口:
drp(1974)
目的端口:
ftp(21)
序列号:
121
下一相关序列号:
127
相关ack号:
531
头部长度:
20字节
窗口大小:
65005
TCP协议
分析:
IP:
源ip地址:
210.31.40.191
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
TTL值为254
版本:
4
总长度:
40
变时:
0×8931
协议:
TCP(6)
头部校验和:
源地址:
210.31.32.5目的地址:
210.31.40.191
TCP:
源端口:
ftp(21)
目的端口:
drp(1974)
序列号:
531
下一相关序列号:
127
头部长度:
20字节
窗口大小:
32642
分析:
IP:
源ip地址:
210.31.32.5
目的ip地址:
210.31.40.191
IP协议版本:
4
头部长度:
20字节
TTL值为254
版本:
4
总长度:
54
变时:
0×0f89
协议:
TCP(6)
头部校验和:
源地址:
210.31.32.5目的地址:
210.31.40.191
TCP:
源端口:
ftp(21)
目的端口:
drp(1974)
序列号:
531
下一相关序列号:
545
Ack号:
127
头部长度:
20字节
窗口大小:
32642
分析:
IP:
源ip地址:
210.31.40.191
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
TTL值为128
版本:
4
总长度:
59
变时:
0×f6b3
协议:
TCP(6)
头部校验和:
源地址:
210.31.40.191目的地址:
210.31.32.5
TCP:
源端口:
drp(1974)
目的端口:
ftp(21)
序列号:
127
Ack号:
545
头部长度:
20字节
窗口大小:
32642
分析:
IP:
源ip地址:
210.31.40.191
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
TTL值为254,可判断目的主机操作系统为windows
版本:
4
总长度:
40
变时:
0×eb34
协议:
TCP(6)
头部校验和:
源地址:
210.31.32.5目的地址:
210.31.40.191
TCP:
源端口:
ftp(21)
目的端口:
drp(1974)
序列号:
545
Ack号:
128
头部长度:
20字节
窗口大小:
32641
分析:
IP:
源ip地址:
210.31.40.191
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
TTL值为128
版本:
4
总长度:
40
变时:
0×f6b4
协议:
TCP(6)
头部校验和:
源地址:
210.31.40.191目的地址:
210.31.32.5
TCP:
源端口:
drp(1974)
目的端口:
ftp(21)
序列号:
128
下一相关序列号:
546
Ack号:
127
头部长度:
20字节
窗口大小:
64991
访问google
分析:
IP:
源ip地址:
210.31.40.191
目的ip地址:
66.249.89.99
IP协议版本:
4
头部长度:
20字节
TTL值为254,可判断目的主机操作系统为windows
版本:
4
总长度:
558
变时:
0×f74a
协议:
TCP(6)
头部校验和:
源地址:
210.31.40.191目的地址:
66.249.89.99
TCP:
源端口:
tcoaddressbook(1977)
目的端口:
http(80)
序列号:
1
下一相关序列号:
519
Ack号:
1
头部长度:
20字节
窗口大小:
65320
分析:
IP:
源ip地址:
66.249.89.99
目的ip地址:
210.31.40.191
IP协议版本:
4
头部长度:
20字节
TTL值为254,可判断目的主机操作系统为windows
版本:
4
总长度:
558
变时:
0×f74a
协议:
TCP(6)
头部校验和:
源地址:
66.249.89.99目的地址:
210.31.40.191
TCP:
源端口:
http(80)
目的端口:
tcoaddressbook(1977)
序列号:
11681
下一相关序列号:
12644
Ack号:
519
头部长度:
20字节
窗口大小:
9789
分析:
IP:
源ip地址:
210.31.32.5
目的ip地址:
210.31.40.191
IP协议版本:
4
头部长度:
20字节
TTL值为126
版本:
4
总长度:
800
变时:
0×fa01
协议:
TCP(6)
头部校验和:
源地址:
210.31.32.5目的地址:
210.31.40.191
TCP:
源端口:
airsync(2175)
目的端口:
noagent(1917)
序列号:
1
下一相关序列号:
761
Ack号:
1
头部长度:
20字节
窗口大小:
65535
四、总结
在端口扫描中,对应的协议有TCP和UDP。
可以用netstat-a—n命令查看查找某端口对应的服务类
在不指定IP地址时,有邻近的主机信息获取不到,在查看了多方面的资料后,找到原因如下:
网络协议(IP)是网络上信息从一台计算机传递给另一台计算机的方法或者协议。
网络上每台计算机(主机)至少具有一个IP地址将其与网络上其他计算机区别开。
当你发送或者接受信息时(例如,一个电子邮件信息或一个网页),信息被分成几个小块,称为信息包。
每个信息包都包含了发送者和接受者的网络地址。
网关计算机读到了目的地址,信息包继续向前到下一个邻近的网关照例读到目的地址,如此一直向前通过网络,直到一个网关确认这个信息包属于其最紧邻或者其范围内的计算机。
最终直接进入到其指定地址的计算机。
因为一个信息被分成了许多信息包,如果必要,每个信息包能够通过网络不同的路径发送。
信息包能按照与它们发送时的不同顺序到达。
网络协议(IP)仅仅是递送他们。
另外一个协议,传输控制协议(TCP)才是能够将它们按照正确顺序组合回原样。
IP是一个无连接协议,这就意味着在通信的终点之间没有连续的线路连接。
每个信息包作为一个处理过的独立的单元在网络上传输,这些单元之间没有相互的联系。
(信息包能放在正确的位置上是因为TCP,明了信息中信息包顺序的面向连接协议。
)在开放的系统互连(OSI)通讯模式中IP位于第三层?
?
网络层。
如今最广泛应用的IP版本是IPv4。
然而,IP版本6(IPv6)也已经开始使用了。
IPv6为了更长的地址作准备,因此可以满足更多网络使用者的需要。
IPv6包括了IPv4的功能,任何支持IPv6信息包的服务器同样也支持IPv4信息包。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WireShark 使用说明