WireShark抓取TCP与UDP包.docVIP

引 上次我们说了IPS测试，对大家来说，基本没什么给予，不过提到个WireShark抓包软件，这个软件与软件背后的知识模块倒是很值得学习的，想当初测试IPS所用的数据包都是应用这个软件来抓的（保存格式为.pcap，供Tomahawk做发包）。用WireShark抓包一是方便，因为它在Windows平台上，图形界面，易操作，二是其强大的过滤器决定了这个抓包器的地位（关于过滤器的使用，可参见其软件的Help-Manual Pages-WireShark Filter帮助），三是该软件对所抓的包有十分详细的解释，很适合学习，特别是对网络协议的熟悉与掌握。 WireShark简单操作 打开WireShark，点击Caputre-Option…选择进入抓包设置窗口（图2-1）。 图 2-1 从这个窗口中我们可以对我们的抓包环境，策略，显示项做一个整体的设置。 首先是对抓包环境与策略的设置，如图2-2： 图 2-2 “Interface”就是选择再哪一个网卡上进行抓包。 “Link-layer header type”就是对网络环境的掌控，即数据链路层的头部形态，一般选择以太网（Ethernet）。 “Buffer Size”当然就是缓冲区大小了（不好意思，这个具体作用不明，望达人指点）。 “Caputre packets in promiscuous mode”当然就是开启网卡的混杂模式，使得软件对网络上经过该网卡的包都捕获下来。 “Limit packet to”就是限制抓包的大小。 “Capture Filter”就是过滤器，用于对抓包的类型进行控制。点击，可以选择已有的过滤器。 其次，“Stop Capture…”栏，就是可以设置抓包的停止条件，分别可以从抓包数，抓包的总大小，抓包时间进行设置。 再次， “Display Options”设置显示选项，其下三点内容包括抓包实施更新显示，自动滚屏，隐藏捕捉信息对话框。 最后，“Name resolution”对命名规则进行了决定，其下三点选项分别是一Mac，网络层，传输层命名。 抓TCP包 要抓TCP包对于WireShark来说，小菜一碟。只是在“Capture Filter”处写上“tcp”即可（其实就是启动TCP协议过滤器），选择好抓包的网卡，点击 “Start”。 我们抓到了一个TCP包，整体如下： 图 2-3 对于一个包，有三块相关区域，一是表示基本捕捉信息，就是图2-3上的一个List窗口中的内容，二是数据包详细信息就是窗口中第二块树形结构区域，三是16进制的数据包原型。 从这个单一的包，我们可以了解到许多有用的信息。例： Mac地址 选中区域： 图 2-4 则对应十六进制的区域也就选定了： 从这里，可以很直白的看到该包的发送源与目标机的物理地址（原来想涂掉里面的Mac，怕有人黑我，结果ipconfig一看，上面的Mac没有一个是我的，那就随他了-_-|） 再下面的几个段，相信你可以自己了解到了，呵呵。