抓包软件的使用汇.ppt

抓包软件的使用 课程内容 概述 为什么要使用抓包软件？ 在网络出现故障时，通常会检查网络设备的状态如：配置是否正确、协议运行是否正常、数据帧/包的发送和接收是否有异常等等。使用show/debug即可 但对于网络中正在传输的数据的具体状况，show和debug则无能为力 在实际网络中，互联的设备通常属于不同的厂家或者部门，对方设备通常不会开放权限 此外，使用抓包软件可以使我们更好的学习和理解各种协议、功能… 概述 常见的抓包软件有哪些？ Sniffer Etherpeek TCPDump Ethereal/Wireshark …… 概述 WireShark的主要特点 软件开源，没有版权问题 捕获信息实施查看 储存捕获信息灵活，不受存储容量限制等 支持协议丰富，可兼容其他常见的抓包软件格式 …… 课程内容 使用须知 软件的获取 WireShark软件请自行去官方网站下载并安装（ ），目前最新的版本是v0.99.7。 由于安装过程非常简单，此处就不在赘述。 使用须知 需要硬件支持 Wireshark本身可以支持的协议种类非常丰富，但由于常见的PC工作平台只有以太网接口，导致我们只能捕获并分析以太网环境中的相关信息 Wireshark等抓包软件捕获的内容，只是经过指定以太网接口的数据信息 常见的以太网组网设备有HUB和Switch等两种，使用时有所不同。 使用须知 需要硬件支持（续） HUB 由于其工作原理为“广播”。所以，Wireshark主机只要连接到同一个HUB（冲突域）中，就能获取到所有的网络信息。 在HUB组网时，Wireshark不仅能够捕获到自己网卡上的数据收发情况，而且同时能捕获到其他主机之间的通信状况 使用须知 需要硬件支持（续） Switch 由于Switch是一种带宽独享的设备，图中PC1与PC2的数据交互，除“广播信息”外，不会发送到wireshark主机。此时，Wireshark主机只能捕获到自己网卡上的数据收发 使用须知 需要硬件支持（续） 按需使用 目前以太网组网几乎已经清一色的变成交换机，如果此时如果要使用Wireshark来捕获其他主机之间的通信，必须对交换机进行配置，使得正常通信的端口之间数据也能“复制”到捕获端口 如果局域网是由HUB组成的，那使用起来就比较简单。但需要注意的是：由于传统的HUB端口带宽多为10M，如果以太网数据流量较大，请慎用，以免对网络造成影响 使用须知 端口镜像 Mirror 这是一个交换机监控、管理中常用的一个功能。需要指定源端口和目的端口，源端口所有的收/发信息都会被复制到目的端口。 mirror session 1 source interface type number {both | tx | rx} mirror session 1 destination interface type number **被镜像端口可以同时指定多个 使用须知 端口镜像（续） Show mirror session 课程内容 软件使用 软件使用 WireShark的软件功能是非常强大的，所有的功能细节有成百上千，但我们常用的功能无外乎如下几种： 捕获 查看 过滤 编辑 软件使用 软件使用－捕获 WireShark开始捕获前需要进行必要的设置： 1、Capture?interface中指定相应的网卡 2、同时也可以进入Options选项中自定义参数 软件使用 软件使用－捕获（续） 确认相关的网卡之后，wireshark会自动开始抓包 使用工具栏前5个按钮可以控制其“开始”“结束” 软件使用 软件使用－查看 Wireshark的查看与捕获是同一窗口。输出内容中分为三个区域： 数据包列表、当前包的协议信息、十六进制详情 软件使用 软件使用－查看（续） 数据包列表 数据捕获时，是以帧/包为单位的，每个单位在list中就是一个条目，按照时间先后排列显示 每个list条目中包含地址、协议类型等简要信息 当前窗口中默认显示最近更新的帧/包的信息 不同的帧/包可以自定义不同的颜色，方便阅读 软件使用 软件使用－查看（续） 当前帧/包的详细协议信息 对于当前选中的帧/包，会按照OSI七层模型的顺序，以目录的形式详细显示该帧/包的详细情况 wireshark会对每个展开项做出解释，包括协议、参数等等；要读懂这些信息，必须要求对相关原理有详尽理解和掌握 软件使用 软件使用－查看（续） 十六进制详情 这部分内容相当于是，当前选中的帧/包的物理层信息，可读性较差 软件使用 软件使用－查看（续） 阅读列表信息，可以从各个帧/包的先后顺序中，看出协议的工作原理，甚至进行故障的初步定位 当前帧/包的详细协议信息，是对列表信息的细化，可用于疑似故障