3.1.2_分析主机和端口的数据V1.0.pptx

培训项目1使用网络协议分析软件培训单元2分析主机和端口的数据

01、培训重点02、知识要求03、技能操作目录

培训重点Contents01

培训重点01.掌握相关IP数据报、TCP协议、ping协议知识。02.能够完成对网络协议分析软件基本的配置。03.能够使用网络协议分析软件抓取特定的主机和端口数据报文。

知识要求Contents02

配置网络协议分析软件一

一配置网络协议分析软件Wireshark软件虽然无需配置即可直接打开使用，然而熟悉Wireshark的常用设置有助于输出更好的分析效果。1.名字解析配置在Wireshark软件里，名字解析功能一经启用，数据包中的L2(MAC)L3(IP)地址以及第4层(UDP/TCP)端口号将会分别以有实际意义的名称显示。选择菜单视图——解析名称，勾选相关设置。

一配置网络协议分析软件2.首选项配置通过文件菜单中的首选项配置，可以控制数据包的呈现方式、抓包文件的默认保存位置，以及用来抓取数据包的网卡等。（1）列显示配置菜单中的首选项设置中，Wireshark默认显示了如下列内容。

一配置网络协议分析软件（2）抓包方式配置要想更改默认用来抓取数据包的网卡，请点击Capture，在默认接口中选择对应的网卡，再点OK按钮即可(重启Wireshark软件之后才能生效)。当然，这里更改的只是默认配置，可在每次重新开始抓包之前,更换用来接收数据包的网卡。

一配置网络协议分析软件3.协议配置Wireshark主要分析和显示协议相关信息，所以，协议的抓取和显示就显得尤为重要。展开首选项中的Protocols，就能查看到所有Wireshark支持的协议列表。

抓取特定主机和端口的数据报文二

二抓取特定主机和端口的数据报文1.针对IP地址的过滤（1）对源地址为的包的过滤，即抓取源地址满足要求的包。表达式为：ip.src==（2）对目的地址为的包的过滤，即抓取目的地址满足要求的包。表达式为：ip.dst==（3）对源或者目的地址为的包的过滤，即抓取满足源或者目的地址的ip地址是的包。表达式为：ip.addr==（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用“!”即可。表达式为：!（表达式）

二抓取特定主机和端口的数据报文2.针对端口的过滤（1）捕获某一端口的数据包表达式为：tcp.port==80。（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式表达式为：udp.port=2048。3.针对IP和端口的过滤可以使用逻辑运算符（与）、||（或）、！（非）。（1）捕获主机地址为0、目的端口为80的数据包表达式为：srchost04dstport80（2）抓取主机为04或者02的数据包表达式为：host04||host02

导出抓取的数据报文三

三导出抓取的数据报文在数据报文列表中选择一个需要导出的数据报文文件，选中之后，使用菜单中的“文件”--”导出特定分组”栏目。即可导出所需要的数据报文，如图所示。

分析和解读数据报文四

四分析和解读数据报文1.wireshark数据包详细信息面板PacketDetailsPane(数据包详细信息)面板中会显示所选数据包的所有详细信息内容，可以查看协议中的每一个字段。各行信息分别为（1）Frame:物理层的数据帧概况（2）EthernetII:数据链路层以太网帧头部信息（3）InternetProtocolVersion4:互联网层IP包头部信息（4）TransmissionControlProtocol:传输层T的数据段头部信息，此处是TCP（5）HypertextTransferProtocol:应用层的信息，此处是HTTP协议

四分析和解读数据报文2.IP数据报TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报，由首部和数据两部分组成。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。首部中的源地址和目的地址都是IP协议地址。

四分析和解读数据报文表为IP数据报各字段代表的含义

四分析和解读数据报文3.TCP协议TCP协议指的是传输控制协议，位于OSI架构的传输层，是一个面向连接的高可靠传输协议，所谓高可靠性指的是数据无丢失、数据无误、数据无失序、数据无重到达，TCP报文格式如图所示。

四分析和解读数据报文4.UDP协议UDP协议即数据报协议（UserDatagramProtocol），是一种面向无连接的传输层通信协议。UDP协议不需要双方建立连接，可直接发送数据包，所以比较简单，实现容易。但它没有确认机制，数据包一旦发出，无法知道对方是否收到，因此可靠性较差。UDP协议报文格式如图所示。