度信锐课堂高级认证课程二数据包分析.pptx

信锐课堂高级认证课程二02_数据包分析

Contents以太网数据包（有线包）1802.11数据包（无线空口包）2目录

Contents以太网数据包（有线包）1802.11数据包（无线空口包）2目录

常用抓包工具本课程以Wireshark作为有线抓包及分析工具进行讲解Wireshark?是一款优秀的开源网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络上的数据，?并解析显示报文尽可能详细的情况。Wireshark的一些常见应用场景：?网络工程师用来排查解决网络问题?网络安全工程师用来检测安全隐患开发人员用来测试协议执行情况深入学习理解各网络协议

Wireshark安装与使用如何获取Wireshark安装包Wireshark作为一款免费开源软件，可免费下载。支持Windows系统及Unix/Linux系统官网下载地址：百度搜索：Wireshark下载安装

Wireshark安装与使用使用Wireshark捕获数据包打开Wireshark，点击下图左上角的捕获选项按钮，选择对应的网卡（可选择无线网卡），即可开始抓包。如只需抓取某一特定类型的数据包，可以在过滤器添加对应的过滤选项。点击绿色按钮可以查看支持的过滤规则。

Wireshark安装与使用在捕获过程中，点击停止捕获分组即可停止抓包。

常见抓包方法端口镜像抓包通过在交换机上将需要抓包的接口镜像到交换机的另一个接口，将装有Wireshark的PC接入镜像口捕获数据包。直接捕获终端网卡数据包当某台PC出现网络故障，可以直接在该PC网口进行抓包分析，来定位网络故障的原因；当某台服务器访问异常，也可直接在服务器网口进行抓包，确认终端请求的数据包是否到达服务器，或数据包是否异常。其他抓包方法1、链路中的其他设备支持抓包的，可直接在该设备进行抓包。如深信服上网行为管理，即可在web界面直接使用抓包工具进行抓包。2、Linux系统tcpdump命令抓包。目前我司NAC暂未开放web界面抓包，后续版本将规划web界面抓包功能。如需抓取NAC后台数据包，请联系我司工程师协助。

Wireshark数据包分析问题：两台服务器A和B的网络配置如下，B的子网掩码本应该是，被不小心配成了24，它们还能正常通信吗？抛砖引玉服务器A服务器B

答案可能五花八门1、A和B不能通信，如果这样可以通信的话，子网掩码还有什么用呢？2、A和B可以通信，因为他们可以通过ARP广播获得对方的MAC地址。3、A和B可以通信，但是所有包都是通过默认网关转发的。4、A和B不能通信，因为ARP包不能跨子网。Wireshark数据包分析真相到底是什么呢？我们不妨通过wireshark在服务器B上抓个包分析下

Wireshark数据包分析在服务器B去ping服务器A时，在服务器B上抓包，首先看到1号包是服务器B通过ARP广播查询网关的MAC地址。为什么我ping的是服务器A的IP，B却去查网关的MAC地址呢？这是因为B根据自己的子网掩码，计算A属于不同的子网，跨子网通信需要默认网关转发。2号包则是网关回复给B自己的MAC地址。我们可以看到服务器B的MAC地址是00:1C:42:C2:F4:FC，默认网关的MAC地址是：00:E0:58:13:69:4E接下来B发出发去ping包（request），指定目的IP是服务器A的IP:29，但目的MAC地址却是默认网关的00:E0:58:13:69:4E，这表明B希望默认网关把包转发给A。

Wireshark数据包分析接着B收到了A发出来的ARP广播包，查询B的MAC地址。这是因为在A看来，B属于同一个子网，同子网通信直接二层转发，无需网关参与，只要通过ARP获得对方的MAC地址即可。这个包也表明了默认网关成功的把B发出去的pingrequest请求转发给了A，否则A不会无缘无故尝试与B进行通信。接下来B回复了A的ARP请求，把自己的MAC地址告诉A。这说明B在回复ARP请求的时候，并不会考虑子网，虽然ARP请求来自其他子网的IP，也照样回复。最后B终于收到了A的ping回复。从MAC地址看，源MAC是服务器A的MAC地址：B8:2A:72:B0:34:35,说明这个包是直接从服务器A发过来，而不是通过默认网关转发的。

Wireshark数据包分析分析完这几个包，答案出来了。原来通信过程是这样的：B先把ping请求交给默认网关，默认网关再转发给A。而A收到请求后直接把ping回复给B，形成了如下的一个三角形路径。是否答对了呢？网关服务器B服务器Aping请求ping请求ping回复

从Wireshark看网络分层应用层：从上图可以看出，该数据包的应用层承载的是一个HTTP报文。传输层：从上图看到这一层使用的是TCP协议，应用层产生的HTTP数