计算机网络设计与安全技术 课件3 网络协议抓包分析.pptx

《计算机网络设计与安全技术》

第3章网络协议抓包分析

学习内容：

(1)数据包捕获基础；

(2)数据包捕获实验项目描述；

(3)Wireshark工具应用实例。

学习目标：

(1)通过网络抓包的层次分析，深入理解网络协议的报文格式和传输要求；

(2)掌握Wireshark工具的具体使用方法，并在网络探测、端口扫描、FTP服务等应用中灵活应用。

2

3.1数据包捕获基础

首先介绍数据包的嗅探原理，然后利用协议分析工具Wireshark,进

行数据包捕获和过滤设置分析。

3.1.1数据包嗅探器原理

数据包嗅探器

应用(例如：WWW浏览器，FTP客户端)

拷贝所有收发的以太网帧

链路层(Ethernet)

连接网络

应用

3

网卡具有以下几种工作模式：

(1)广播模式(BroadCastModel):它的目的MAC地址为OxFFFFFFFFFFFF,是广播帧。工作在广播模式的网卡接收广播帧。

(2)多播模式(MultiCastModel):多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收，而组外主机接收不到。但是，如果将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。

(3)直接模式(DirectModel):工作在直接模式下的网卡只接收目的地址是自己MAC地址的帧。

(4)混杂模式(PromiscuousModel):工作在混杂模式下的网卡接收所有流过网卡的帧，协议包捕获程序就是在这种模式下运行的。

4

3.1.2Wireshark工具介绍

Wireshark是一种可以运行在Windows、UNIX和Linux等操作系统上的数据包

嗅探器，属于开源免费软件，依赖PCAP库。

…使用这个过滤器：Q输入捕获过滤器…口显示所有接口

WLAN

VMwareNetworkAdapterVMnet8An

VMwareNetworkAdapterVMnet1An

Adapterforloopbacktrafficcapture人从

Wireshark网络分析器

文件(F)编辑(E)视图(V)跳转(G)捕获(C)分析(A)统计(S)自区6|Q→暂不业口

应用显示过滤器…Ctrl-/

UsersGuide·Tiki·QuestionsandAnsvers·Iailing

Lists·SharkFest·Fireshark

Discord·Donate

正在运行Wireshark4.0.8(v4.0.8-0-g81696bb74857).接受自动更新。

本地连接*10

本地连接*9

本地连接*8

蓝牙网络连接

本地连接*2

本地连接*1

学习

□

工具(T)帮助(H)

电话(Y)无线(W)

QQ亚

已准备好加载或捕获

捕获

5

×

名称

筛选器

三

Ethernetaddress00:08:15:00:08:15

etherhost00:08:15:00:08:15

Ethernettype0x0806(ARP)

NoBroadcastandnoMulticast

NoARP

IPonly

IPaddress

IPXonly

TCPonly

UDPonly

TCPorUDPport80(HTTP)

HTTPTCPport(80)

etherproto0x0806

notbroadcastandnotmulticanotarp

ip

host

ipx

tcp

udp

port80

tcpporthttp

+b

Ⅲ

0KCancel

Help

Wireshark捕获筛选器设置

Wireshark显示筛选器

contains

th~

值(Frotocol)

预定义的值

Wireshark·捕获筛选器

范围(偏移：长度)

ispresent