网络空间安全概论 实验6 网络监听wireshark .docx

设计报告

PAGE

PAGE1

网络监听

wireshark介绍

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark不是入侵侦测系统（IntrusionDetectionSystem,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。

wireshark工作流程

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

wireshark下载安装

从官网/下载安装包，在windows环境下进行安装。

安装成功后启动界面如下

wireshark捕获报文

使用wireshark监听本地网卡，捕获数据包。

通信建立成功报文

的端口36935为客户端的端口502为服务端

主动打开。发送SYN，协商windowsize、TCPMSSseq=0len=0MSS=65459win=43690最大窗口大小。

服务端接收到syn。回复synack=0+1并发送自身seq=0确认自己的最大win=43690MSS=65459

客户端接收到服务端发送来的ack和服务端自身的seq，客户端要发送ack=0+1，给服务端发送确认报文。

服务端接收后，通信建立成功

数据收发报文分析

双击具体报文，查看详细信息

可以看到数据收发实际上是应用层协议数据，例如图中是modbus协议的数据报文，如何区分报文是数据报文还是网络报文，可以通过len长度或者下方的协议层查看

主动关闭，发送FIN。Seq=328

服务端状态为FIN_wait1处于半关闭状态

客户端状态为closed_wait处于半关闭状态

客户端发送确认ackack=328+1

服务端状态为FIN_wait2

客户端发送FINseq=133

客户端状态为LAST_ack

服务端状态为time_wait

服务端发送ackack=133+1

客户端状态closed

服务端状态closed，至此本次通信结束

wireshark过滤规则

一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：

（1）对源地址为的包的过滤，即抓取源地址满足要求的包。

表达式为：ip.src==

（2）对目的地址为的包的过滤，即抓取目的地址满足要求的包。

表达式为：ip.dst==

（3）对源或者目的地址为的包的过滤，即抓取满足源或者目的地址