抓包分析培训分析.pptVIP

* 其中，第一行为该包的信息，第二行为以太网，属于链路层，第三行为IP协议，属于网络层（源IP与目的IP显示在该行），第四行为UDP协议，属于传输层，第五行为DNS的有关数据。下面将通过图三详细分析DNS报文的内容。 * 这是一个请求查询的报文（0），该报文没有被删节，采用的是递归调用的查询，问题数为1，回答RR数，权威RR数以及附加RR数均为0。在问题区域显示了名字字段与被查询的问题类型A（即主机地址）。 图三 图一的第二个包即为回答报文，格式与查询报文类似（如图四所示），在此不做详细介绍，但特别说明一点type类型为CNAME，说明规范主机名为，IP地址：21， 22 。 * * * Wireshark抓包分析 The analysis of capture packet * Wireshark简介Wireshark（原Ethereal）是由一个国际网络专家团队开发的网络协议分析工具。。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。通常用于网络管理员检测网络问题，查看RTP包的丢失率，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识等等。 一、介绍 * Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。另外， Wireshark本身并不会送出封包至网络上。 Wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用Wireshark的人必须了解网络协议，否则就看不懂Wireshark了。 为了安全考虑， Wireshark只能查看封包，而不能修改封包的内容，或者发送封包。 开始界面 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。 * 点击开始界面上的捕获选项出现下面对话框，选择正确的网卡。然后点击开始按钮, 开始抓包。或者直接点击开始界面上捕获下面的网卡开始抓包。 * Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器)，? 用于过滤 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏，杂项) * 使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 过滤器有两种: 一种是显示过滤器，就是主界面上那个，在捕捉结果中进行详细查找并且在捕捉结果后可以随意修改，用来在捕获的记录中找到所需要的记录。 一种是捕捉过滤器，过滤器用于决定将什么样的信息在捕捉结果中并且需要在开始捕捉前设置。用来过滤捕获的封包，以免捕获太多的记录。 在开始界面捕获- 选项-所选择接口的捕获过滤器中设置 * 保存过滤 在Filter栏上，填好Filter的表达式后，点击表达式旁边的加号按钮，输个标签名。比如“应用过滤器, Filter栏上就多了个“应用过滤器 的按钮。 * 过滤表达式的规则 表达式规则 ?1. 协议过滤 比如ARP，只显示ARP的封包。 2. IP 过滤 比如 ip.src ==02 显示源地址为02， ip.dst==02, 目标地址为02 ip.addr==，来源或目的IP地址为的封包 3. 端口过滤 tcp.port==25? ，显示来源或目的TCP端口号为25的封包 tcp.srcport == 80,? 只显示TCP协议的愿端口为80的。 4. Http模式过滤 http.request.method==GET,?? 只显示HTTP GET方法的。 5. 逻辑运算符为 AND/ OR * 常用的过滤表达式 过滤表达式 用途 http 只查看HTTP协议的记录 ip.src ==02 or ip.dst==02 ?源地址或者目标地址是02 ? ? * 封包列表(Packet List Pane) 封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。 你也可以修改这些显示颜色的规则，? 试图-着色规则 * 封包详细信息 (Packet Details Pane) 这个面板是我们最重要的，用来查看协议中的每一个字段。 各行信息分别为