Wireshark的数据包截获与协议分析.docVIP

Wireshark的数据包截获与协议分析 1 引言 在数据包的截获方面，Winpcap 是一个可在 Windows 环境下运行的包俘获结构,它由三部分组成:一个 数据包截获驱动程序、一个底层动态链接库 Packet.dll 和一个高层静态链接库 wpcap.lib 。它的核心部分是 数据包俘获驱动程序,在 Windows NT/2000 系统中,它实现为一个内核驱动程序 packet.sys ,在 Windows 95/98 系 统 中 是 一 个 虚 拟 设 备 驱 动 程 序 packet.vxd , 包 俘 获 驱 动 程 序 通 过 NDIS Network Driver Interface Specification 同网络适配器的驱动程序进行通信,NDIS 是网络代码的一部分,它负责管理各种网络适配器以 及在适配器和网络协议软件之间的通信。在库的高层是一个动态链接库 packet.dll 和一个静态链接库 wpcap.lib ，这两个库的作用是将俘获应用程序同包俘获驱动程序相隔离，屏蔽低层的实现细节，避免在 程序中直接使用系统调用或 IOCTL 命令，为应用程序提供系统独立的高层接口（API 函数） ，从而在 Windows9x、Windows2000/XP 系统下,对驱动程序的系统调用都是相同的。 使用 Winpcap，我们可以编写出用于网络协议实验分析、故障诊断、网络安全和监视等各种应用程序， 这方面的一个典型例子就是可在 Windows 系统下运行的 Wireshark，Wireshark 和 Winpcap 都可从网上下载， 通过 Wireshark 我们可以从网上拦截数据包并对数据包进行网络协议分析，下面介绍一个分析实例。 2 数据包的截获与链路层协议分析 Wireshark 安装完成后，单击它的 Capture→Start 菜单，打开俘获选项对话框，在这些选项中比较重要的 是设置混杂模式（Promiscuous mode）选项，选中这个选项使得网卡并不检验数据帧的目的地址，从而它 可以截获网上的任何帧，其他选项可用默认设置，再单击 OK 按钮即可进行数据包截获， 截获的数据帧分别在 Wireshark 的 包 列 表 Packet List 、包细节 Packet Details 和包字节 Packet Bytes 三个窗口中显示。 依次显示了这三个窗口的部 分内容，最上面的包列表窗口按俘获的顺序显示出 帧的一般信息,如被俘获的时间、包的协议类型等。 当应用层的数据通过网络协议栈（如 TCP/IP 协议 栈）到达物理层传输时，各层协议都要在数据包上 封装一个报头，而中间的包细节窗口就从低层到高 层显示出数据包的各层协议信息，在下面的包字节 窗口上，则以十六进制和 ASCII 码显示了被截获数 据包的详细内容。 我们先分析网络协议的数据链路层，它一般采 用以太网的 IEEE802.3 标准。其中数据部分包括了 更高层的协议内容，由于前导码被网络硬件用于接 收信号的同步，因此 Wireshark 已从数据帧中去掉了 前导码，在 的包细节窗口中，显示出帧的头部 信息，可以读出这个帧的目的物理地址为 00:90:1a:40:2a:d0,源物理地址为 00:e0:4c:82:22:6b。 帧类型是 0x8864，它表示 PPPOE 会话，在 ADSL 宽带网接入中，数据链路层通常要包括这种在以太 网上的点到点协议（PPPOE） 。包字节窗口中紧跟 着高亮显示的帧头部就是帧的数据区和 CRC 校验 码， 并未显示帧数据区的全部。 3 网络层协议的分析 网络层协议在 TCP/IP 中包括网间互联协议 （IP） 消息控制协议 、 （ICMP） 路由信息协议 、 （RIP） 等， 它要实现地址解析及路由管理等功能， IP 协 由 议中的数据报格式可以分析出版本号为 4，即这个 数据报为 IPv4，报头长度 20 字节，服务类型 00 表 示是普通数据包，数据报总长度 886 字节，标识为 0x3e06，当数据报需要分片传送时，这个域用来指 出接收到的数据片属于哪一个数据报， 标志 04 表示 该报文不分片，片偏移为 0，生存时间 128，协议域 06 表示上层协议是 TCP，头部校验和 0xcce3 表示 正确，源 IP 地址是 11，目的 IP 地址为 78， 包字节窗口中的数据区显示了上层 协议的 TCP 段内容。 4 传输层协议的分析 TCP/IP 的传输层协议包括用户数据报协议 （UDP） 、传输控制协议（TCP）等，TCP 要在 IP 服务上提供可靠的、面向连接的字节流传输，它是 以数据段（segment）的形式交换数据，忽略选项后 的数据段格式 从包细节窗口可看出，TCP 源端口号 1140，目