文档库 最新最全的文档下载
当前位置:文档库 › 抓包

抓包

抓包
抓包

上机实验报告

实验名称OmniPeek的安装方法和使用

院系软件学院专业网络工程班级姓名学号日期

实验目的

协议分析是网络工程师必须掌握的技能,本实验使用Omnipeek软件(推荐)对捕获的网络数据包进行分析;熟悉基本协议的报文格式、了解协议的工作机制(指的是报文之间的交互)。

实验准备

实验前我根据老师的要求查询了OmniPeek的相关资料,了解到OmniPeek提供统一分析除错网络之管理介面,OmniPeek 让网络之管理者能透过统一之介面同时分析多个网段之网络状况,更进而分析底层之网络状况,以快速辨识问题的功能。

实验内容1.准备工作

1.打开IE(或其他浏览器),菜单栏中的【工具】 【Internet选项】,点击“删除文件”、“删除cookie”、“清除历史记录”。启动数据包分析软件,并设置好相应参数,如图1,2,3。

图1

图2

成绩

图3

2.启动IE(或其他浏览器),在地址栏键入一个URL地址(例如:https://www.wendangku.net/doc/4a16937177.html,、https://www.wendangku.net/doc/4a16937177.html,)。此时不要按下回车键;

3.启动OmniPeek开始抓包,如图4,5;

图4

图5

4.切换到浏览器按下回车键,开始访问指定的网页,如图6。

图6

2.分析数据

1.帧、UDP

图1

表1 帧

Destination: 00:26:B9:38:97:39 目的的适配器的MAC地址为

00:26:B9:38:97:39

Source: 00:E0:4C:61:08:9C 传输该帧到LAN上的适配器的MAC

地址为00:E0:4C:61:08:9C

协议标识域Protocol Type: 0x0800

表明封装协议是IP协议

IP

表2 UDP

Source Port: 51821 源端口:51821

Destination Port: 53 目的端口:53

Length: 44 分包长度:44

UDP Checksum: 0xBDE9 校验和:0xBDE9

2.TCP

图2第一次握手

结果分析:

客户端发送了第一个报文,报文包括了源端口号和目的端口号,目标端口号为80,所以客户请求的是HTTP服务,报文中SYN的序列号是1143539900,第一个报文中不包括ACK,TCP Flags为no ACK,客户端口号为65535。

图3第二次握手

结果分析:

服务器发送了第二个报文,并且附带了SYN,ACK,ack序列号为上一个报文的114353900+1=114353901,服务器端也定义了客户端大小为65535.

图4第三次握手

结果分析:

它使用ACK标志和确认字段来确认第二个报文,第三个报文的ACK值为第二个报文ISN值1172861759+1=1172861760。

图5 DNS查询报文

结果分析:

DNS查询报文中源端口号为51821,目的端口号为53,DNS Flags为0x0100为DNS的标志字段,其中QR域是Query,证明是DNS查询报文,Opcode域为Standerd Query证明是标准DNS查询,Question字段为1,其他字段为0,表明问题数是1,回答数,权威数,附加数都为0。

图6 DNS响应报文

结果分析:

DNS响应报文中,DNS Flags为0x9180为DNS的标志字段,其中QR域是Response,证明是DNS响应报文,Question字段为1,表明问题数是1,其他字段表明回答数是2,权威数是6,附加数都为6。

图7 HTTP请求报文

结果分析:

如图,可以看出,当一个浏览器请求一个对象时,使用GET方法(HTTP Command GET),URL字段是表明本报文URL请求的对象地址;HTTP Version表明浏览器版本是HTTP /1.1;HOST字段定义目标主机是https://www.wendangku.net/doc/4a16937177.html,;Connection为Keep-Active表示浏览器告诉服务器保活。

图8 HTTP响应报文

结果分析:

如图,可以看出,当一个浏览器响应时的各个字段值,HTTP Version字段表明浏览器版本是HTTP /1.1,HTTP Status字段表明状态码;HTTP Reason 字段是OK,表明响应状态信息一切正常即服务器已经找到并正在发送请求的对象,Connection为Keep-Active表示浏览器告诉服务器保活。

图9 ARP请求报文

结果分析:

由图可知,Hardware字段为1,说明应用的网络类型是以太网;协议类型是0x0806证明是IPV4 协议;Operation 为1 ARP Request ,表明是ARP请求报文。

图10 ARP响应报文

结果分析:

由图可知,Hardware字段为1,说明应用的网络类型是以太网;协议类型是0x0806证明是IPV4 协议;Operation 为1 ARP Responese ,表明是ARP响应报文,发送端物理地址是本机MAC地址,IP地址也是本机IP地址,目标地址想要ping 的地址是192.168.109.58。

图11 ICMP请求报文

结果分析:

由图可知,ICMP Type字段值为8,表示是ICMP请求报文;ICMP Code字段为0,表示NET Unreachable;ICMP Chechsum字段表示仅为ICMP头检测。

图12 ICMP响应报文

结果分析:

由图可知,ICMP Type字段值为0,表示是ICMP响应报文;ICMP Code字段为0,表示NET Unreachable;ICMP Chechsum字段表示仅为ICMP头检测;ICMP Date 表示数据域包括的值。

7.IP

图13 IP报文

结果分析:

由图可知,Version字段为4,表明版本号是4即IPV4,Time To Live字段表明更新时间是128秒,这是ping对方主机的报文中的ip字段,所以源IP地址是本机IP,目标IP是对方IP地址。

实验结论

本次实验的内容是掌握Ommnipeek抓包工具,Ommnipeek 提供统一分析除错网络之管理介面,OmniPeek 让网络之管理者能透过统一之介面同时分析多个网段之网络状况,更进而分析底层之网络状况,以快速辨识问题的功能。

通过本次实验中使用的Ommnipeek,我分析了多种报文格式,以前只是上课学习一些关于报文的知识,它的一些字段都只是看过,并没有仔细研究,这次实验,我抓获了很多包,有HTTP,ARP,DNS,ICMP,TCP等,通过分析和查阅相关资料,我学会了各个数据包字段的含义,并且加深了以前的学习。在实验过程中也遇到了很多的问题,比如在抓取TCP三次握手的数据包时,同国内寻找SYN等号码,才能找到正确的包,虽然过程很辛苦但是还是被成功的找到了,并且认真的分析了它的各个字段含义,加深理解TCP的三次握手;还遇到一些小的问题,通过老师的耐心讲解,和同学的互相帮助,这些小问题都得到了解决,通过这次试验,我学会了很多,相信对以后的学习也有了很大的帮助。

wireshark抓包分析报告TCP和UDP

计 算 机 网 络Wireshark抓包分析报告

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)

1. 使用wireshark获取完整的UDP报文 打开wireshark,设置监听网卡后,使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon,抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容,UDP作为一种面向无连接服务的运输协议,其报文格式相当简单。第一行中,Source port:64318是源端口号。第二行中,Destination port:53是目的端口号。第三行中,Length:34表示UDP报文段的长度为34字节。第四行中,Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符,其后的4f0e表示16进制表示的检验和,把它们换成二进制表示为:0100 1111 0000 1110. 从wireshark的抓包数据看出,我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时,它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程,主机端的UDP为此报文添加首部字段,并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手,以保证数据的可靠传输,同样访问我的腾讯微博主页,使用wireshark抓取的TCP报文,可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手

wireshark抓包教程

Wireshark图解教程(简介、抓包、过滤器)配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的 数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、 邮箱、msn、账号等的密码!! Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.wendangku.net/doc/4a16937177.html,”网站时的截图。 1.MENUS(菜单) 2.SHORTCUTS(快捷方式) 3.DISPLAY FILTER(显示过滤器) 4.PACKET LIST PANE(封包列表) 5.PACKET DETAILS PANE(封包详细信息) 6.DISSECTOR PANE(16进制数据) 7.MISCELLANOUS(杂项)

1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: -"File"(文件)-"Edit"(编辑)-"View"(查看)-"Go"(转到)-"Capture"(捕获)-"Analyze"(分析)-"Statistics"(统计) -"Help"(帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKET LIST PANE(封包列表)

网络协议分析——抓包分析

计算机网络技术及应用实验报告

第一部分是菜单和工具栏,Ethereal提供的所有功能都可以在这一部分中找到。 第二部分是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的IP地址、所属的协议类型,以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示,帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析:

源端口 目的端口序号 确认号 首部长度窗口大小值

运输层: 源端口:占2个字节。00 50(0000 0000 1001 0000) 目的端口:占2个字节。C0 d6(1100 0000 1101) 序号:占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号:占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110)首部长度:共20个字节:50(0101 0001) 窗口大小值:00 10(0000 0000 0001 00000) 网络层: 不同的服务字段:20 (0010 0000)

总的长度:00 28(0000 0000 0010 10000) 识别:81 28(1000 0001 0010 10000) 片段抵消:40 00(0100 0000 0000 0000) 生存时间:34 (0011 0100) 协议: 06(0000 0110)

69 5b(0110 1001 0101 1011) 首部来源:dd b4 15 f1(1101 1101 1011 0100 0001 0101 1110 0001) 目的地:70 04 f8 82 (0110 0000 0000 0100 1111 1000 1000 0010) 点对点协议:00 21 (0000 0000 0010 0001)

抓包分析的方法

抓包分析的方法: 1. 先按照下面的方法将抓到的包的TIME STAMP 打开。 Ethereal →view →time display format →Date and time of day 2. 假定在一定的时间段里抓到三个包A1.cap,A2.cap,A 3.cap,则在合并包的时候按照从后往前 的时间顺序,打开A3.cap 再在菜单中选 FILE ->merge-->选择相应路径,选定A2.cap 选定 merge packet chronological 并将其另存为32.cap 3. 按照2的方法,将收集到的多个包组合成为一个全包AB.CAP 。 4.打开全包AB.CAP, 如需分析H248信令,则按照如下流程过虑 i.在里边先过虑:megaco.termid=="tdm/410" ,这里的终端标识 tdm/410请依照自己节点的相应标识输入; ii.从出来的信令里找到context ID CCC 和主叫侧rtp 端口号X1X1X1X1 被叫侧rtp 端口X2X2X2X3再修改 过虑条件为megaco.termid=="tdm/410" or megaco.context==CCC 这样再过虑出来的megaco 信令另存后就是比较全的信令流程; 如需看是否有丢包,以及AG 和TG 等的打包时间等,还需进行RTP 的分析,则继续按照如下条件过虑: iii .再修改过虑条件为 UDP.port==X1X1X1X1 or UDP.port==X2X2X2X2 这样过虑出来的包都是rtp 流,再如下操作: Analyze →decode as-→(选中decode) transport 里UDP 选both →再在右面的筐里选RTP. 如图所示: 再进行如附件的操作: statistics →RTP — stream analyse 经过虑后可以看到前向和后向的rtp 的相关信息,里边有是丢包情况的统计信息,Delta 是打包时长等。 如需听听RTP 语音流是什么内容,则再按照如下操作: 选 SA VE PAYLOAD →选择存储路径->format 选Both ----→channels 选both ,并将其存为 HHH.au 这样得到的hhh.au 文件就可以用Adobe Audition 工具打开即可听到其中的话音内容。

实验一 wireshark抓包工具使用

实验一wireshark抓包工具使用[实验目的] 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能 通过学习,进一步理解协议及网络体系结构思想 [实验原理] Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 主要应用: 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 [实验内容] 下载WIRESHARK,学习工具的使用和功能。

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的 形式可以很方便的展现数据分布情况。

网络协议分析——抓包分析

计算机网络技术及应用实验报告开课实验室:南徐学院网络实验室

第一部分是菜单和工具栏,Ethereal提供的所有功能都可以在这一部分中找到。第二部分是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的IP地址、所属的协议类型,以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示,帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析:

源端口 目的端口序号 确认号 首部长度窗口大小值

运输层: 源端口:占2个字节。00 50(0000 0000 1001 0000) 目的端口:占2个字节。C0 d6(1100 0000 1101) 序号:占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号:占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110) 首部长度:共20个字节:50(0101 0001) 窗口大小值:00 10(0000 0000 0001 00000) 网络层: 不同的服务字段:20 (0010 0000)

总的长度:00 28(0000 0000 0010 10000) 识别:81 28(1000 0001 0010 10000) 片段抵消:40 00(0100 0000 0000 0000) 生存时间:34 (0011 0100) 协议: 06(0000 0110)

网络准入控制系统、局域网接入控制软件使用方法

网络准入控制系统、局域网接入控制软件使用方法 大势至网络准入控制系统(百度自己搜索下载吧)是一款面向企事业单位的局域网网络安全防护系统,可以防止蹭网、禁止非单位电脑接入局域网、进行IP和MAC绑定、禁止局域网代理、防止网络嗅探等。具体设置如下: 安装步骤 首先运行LANProtector.exe,安装主程序,直接点击下一步直至完成即可;然后运行winpcap.exe,安装抓包程序,同样直接下一步; 如果有加密狗,则需要安装加密狗驱动(试用版无需安装)。 配置方法 依次点击开始-程序-大势至网络准入控制系统,初次使用需要配置网段,点击软件左上角“配置网段”,如果您只有一个网段选择“配置单网段”,然后选择当前上网所用网卡,最后点击确定。

图:添加单网段 如果您有多个网段,则您需要选择“配置多网段”,然后添加各个网段对应的IP 段即可。如下图所示:

添加多网段 添加完毕之后,点击“确定”,然后点击“启动管理”即可,点击后面的”停止监控“即可实时停止控制。 (三)功能说明 1、黑名单与白名单 点击“启动管理”后,即可扫描到所有主机,同时扫描到的主机默认都在黑名单显示,您可以按住shift键全选,然后点击下面的“移至白名单”即可将所有主机移动到白名单,反之您也可以将单个或部分主机选中后点击“移至黑名单”即可移动到黑名单。如下图所示: 2、隔离选项

可选择“禁止黑白名单互访”和“禁止黑名单访问外网”。其中“禁止黑白名单互访”不仅可以阻止黑名单电脑访问白名单电脑,而且还可以阻止白名单电脑主动访问黑名单电脑,从而实现双向隔离;而“禁止黑名单电脑访问外网”是禁止黑名单电脑访问互联网。 3、隔离强度 这里可以选择:高、中、弱等三个选项,分别代表软件的隔离强度。 4、IP变更时自动隔离 勾选后,一旦白名单电脑修改IP地址,则自动会将其放入黑名单并自动隔离,以此实现禁止电脑修改IP地址的目的。 5、静态绑定IP和MAC 勾选“静态绑定IP和MAC”并点击“管理”,弹出“IP和MAC静态绑定表”,如果点击“从白名单获取”,则系统自动获取当前白名单电脑的IP和MAC地址,也可点击“手工添加绑定”并自行输入要绑定的IP地址和MAC地址,最后点击“保存配置”即可。

802.11数据抓包分析

802.11抓包分析 1.实验目的 分析802.11协议,了解802.11的帧格式 2.实验环境及工具 操作系统:ubuntu 实验工具:WireShark 3.实验原理 (1)802.11MAC层数据帧格式: Bytes 2 2 6 6 6 2 0-2312 4 Bits 2 2 4 1 1 1 1 1 1 1 1 Version:表明版本类型,现在所有帧里面这个字段都是0 Type:指明数据帧类型,是管理帧,数据帧还是控制帧,00表示管理帧,01表示控制帧,10表示数据帧 Subtype:指明帧的子类型 ,Data=0000,Data+CF-ACK=0001,Data+CF-Poll=0010, Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101, CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoS Data=1000, Qos Data+CF-ACK=1001,QoS Data+CF-Poll=1010, QoS Data+CF-ACK+CF-Poll=1011,QoS Null =1100, QoS CF-ACK=1101,QoS CF-Poll=1110,QoS Data+CF-ACK+CF-Poll=1111 To DS/From DS:这两个数据帧表明数据包的发送方向,分四种情况: 若数据包To DS为0,From DS为0,表明该数据包在网络主机间传输 若数据包To DS为0,From DS为1,表明该数据帧来自AP 若数据包To DS为1,From DS为0,表明该数据帧发送往AP 若数据包To DS为1,From DS为1,表明该数据帧是从AP发送往AP More flag.:置1表明后面还有更多段

WFilter局域网监控软件

WFilter局域网监控软件 ————监控局域网内一切网络行为 局域网网络行为监控介绍 WFilter是为企业量身定做的上网行为管理系统。可对局域网内所有电脑使用互联网的情况进行有效的管理和控制。 安装监控软件,可以做到: ?监控、备份局域网内所有网站浏览、邮件内容、聊天内容、文件传输内容等信息,供需要时查询。 ?可以禁止指定网站、指定邮箱,禁止聊天软件以及文件传输的使用,避免员工对外泄漏公司机密商业资料,造成公司损失。 ?可以禁止使用P2P下载软件、流媒体及在线播放软件、网络游戏、股票软件等,大幅度提升员工上网办事效率。 ?可以对每个员工设置不同的上网级别,规定每个员工的网络使用权限等。 ?实时的在线聊天,在线文件监控,流量监控,使用者一眼就可以掌握网络使用概况。 ?详尽的员工上网统计报表,可供管理部门作为对员工的考评依据。 界面截图

WFilter局域网监控软件功能简介 ?监控、备份局域网内电脑的上网记录。 o监控局域网内QQ、MSN、ICQ、AIM、YAHOO的聊天内容以及上下线记录。 o记录网站浏览历史以及通过论坛发贴、web邮件、通过网页上传的文件等等。 o记录收发邮件的邮箱,主题,正文内容,并记录附件内容。 o记录通过web、FTP、MSN、QQ、Yahoo、ICQ、AIM等的文件传输。 ?对上网内容进行过滤和封堵。 o禁止聊天:禁止MSN,QQ等30多种聊天软件;并且可以限制登陆的ID 号。 o禁止收发邮件:禁止收发邮件;并且可以限制允许使用的邮箱。 o网站过滤:基于网站所属分类进行限制,内置50多种分类,可以满足各种管理需要。 o禁止文件传输:禁止各种文件上传,下载。

【小技巧】wireshark定位抓包与定位查看

【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。 目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图:

计算机网络抓包报告

西安邮电大学 《计算机网络技术与应用》 课内实验报告书 院系名称:管理工程学院 实验题目:Wireshark抓包分析实验 学生姓名: 专业名称:信息管理与信息系统 班级: 学号: 时间: 2013年06月26日

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (6) 2.1 TCP请求报文的抓取 (7) 2.2 TCP连接允许报文的抓取 (8) 2.3 客户机确认连接报文的抓取 (9) 3. 实验心得及总结 (10)

1使用wireshark获取完整的UDP报文安装Wireshark,简单描述安装步骤。

打开wireshark,选择接口选项列表。或单击“Capture”,配置“option”选项。 打开Wireshark,其界面如下图: 单击capture,配置option:

抓得的UDP 报文如图1所示。 图1 UDP报文 分析以上的报文内容,UDP作为一种面向无连接服务的运输协议,其报文格式相当简单。第一行中,Source port:64318是源端口号。第二行中,Destination port:53是目的端口号。第三行中,Length:34表示UDP报文段的长度为34字节。第四行中,Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符,其后的4f0e表示16进制表示的检验和,把它们换成二进制表示为:0100 1111 0000 1110. 从wireshark的抓包数据看出,我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时,它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程,主机端的UDP为此报文添加首部字段,并将其发出。 2. 使用wireshark抓取TCP报文 建立TCP连接的三次握手 建立TCP连接需要经历三次握手,以保证数据的可靠传输,同样访问我的腾

网络层数据包抓包分析

网络层数据包抓包分析 一.实验内容 (1)使用Wireshark软件抓取指定IP包。 (2)对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤 (1)打开Wireshark软件,关闭已有的联网程序(防止抓取过多的包),开始抓包; (2)打开浏览器,输入https://www.wendangku.net/doc/4a16937177.html,/网页打开后停止抓包。 (3)如果抓到的数据包还是比较多,可以在Wireshark的过滤器(filter)中输入http,按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。 (4)在过滤的结果中选择第一个包括http get请求的帧,该帧用

于向https://www.wendangku.net/doc/4a16937177.html,/网站服务器发出http get请求 (5)选中该帧后,点开该帧首部封装明细区中Internet Protocol 前的”+”号,显示该帧所在的IP包的头部信息和数据区: (6)数据区目前以16进制表示,可以在数据区右键菜单中选择“Bits View”以2进制表示:

(注意:数据区蓝色选中的数据是IP包的数据,其余数据是封装该IP包的其他层的数据) 回答以下问题: 1、该IP包的“版本”字段值为_0100_(2进制表示),该值代表该IP包的协议版本为: √IPv4 □IPv6 2、该IP包的“报头长度”字段值为__01000101__(2进制表示),该值代表该IP包的报头长度为__20bytes__字节。 3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示),该值代表该IP包的总长度为__238__字节,可以推断出该IP包的数据区长度为__218__字节。 4、该IP包的“生存周期”字段值为__01000000__ (2进制表示),该值代表该IP包最多还可以经过___64__个路由器 5、该IP包的“协议”字段值为__00000110__ (2进制表示) ,该值代表该IP包的上层封装协议为__TCP__。 6、该IP包的“源IP地址”字段值为__11000000 10101000

以太网常用抓包工具介绍_464713

v1.0 可编辑可修改 i RTUB_105_C1 以太网常用抓包工具介绍 课程目标: 课程目标1:了解常见抓包软件 课程目标2:掌握根据需要选择使用抓包软件并分析报文

v1.0 可编辑可修改 目录 第1章以太网常用抓包工具介绍.............................................................................................................. 1-1 1.1 摘要 ................................................................................................................................................ 1-1 1.2 简介 ................................................................................................................................................ 1-1 1.3 抓包工具介绍 ................................................................................................................................ 1-2 1.4 Sniffer使用教程 .......................................................................................................................... 1-3 1.4.1 概述 ..................................................................................................................................... 1-3 1.4.2 功能简介 ............................................................................................................................. 1-3 1.4.3 报文捕获解析 ..................................................................................................................... 1-4 1.4.4 设置捕获条件 ..................................................................................................................... 1-8 1.4.5 报文放送 ........................................................................................................................... 1-10 1.4.6 网络监视功能 ................................................................................................................... 1-12 1.4.7 数据报文解码详解 ........................................................................................................... 1-14 1.5 ethreal的使用方法 .................................................................................................................... 1-28 1.5.1 ethreal使用-入门 ......................................................................................................... 1-28 1.5.2 ethereal使用-capture选项 ......................................................................................... 1-30 1.5.3 ethereal的抓包过滤器 ................................................................................................... 1-31 1.6 EtherPeekNX ................................................................................................................................ 1-35 1.6.1 过滤条件设置 ................................................................................................................... 1-35 1.6.2 设置多个过滤条件 ........................................................................................................... 1-41 1.6.3 保存数据包 ....................................................................................................................... 1-45 1.6.4 分析数据包 ....................................................................................................................... 1-47 1.6.5 扩展功能 ............................................................................................................................. 1-1 1.6.6 简单分析问题的功能 ......................................................................................................... 1-5 1.6.7 部分解码功能 ..................................................................................................................... 1-9 1.6.8 案例 ..................................................................................................................................... 1-1 1.7 SpyNet ............................................................................................................................................ 1-1 1.7.1 使用简介 ............................................................................................................................. 1-1 1.7.2 使用步骤: ......................................................................................................................... 1-2 i

实验二 网络抓包及协议分析实验

实验二网络抓包及协议分析实验 一.实验目的: 1.了解抓包与协议分析软件的简单使用方法。 2.了解并验证网络上数据包的基本结构。 二.实验环境 1.硬件:PC、配备网卡,局域网环境。 2.软件:Windows 2000或者XP操作系统、winpcap、analyzer。 三.实验内容 利用Ethereal软件抓取网络上的数据包,并作相应分析。 四.实验范例 (1)安装 Etheral的安装非常简单,只要按照提示安装即可。 (2)运行 双击桌面的Ethereal,显示“The Ethereal Network Analyzer”的主界面,菜单的功能是:(3)设置规则 这里有两种方式可以设置规则: ●使用interface 1)选择Capture—>interfaces,将显示该主机的所有网络接口和所有流经的数据包,单击“Capture”按钮,及执行捕获。 2)如果要修改捕获过程中的参数,可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中,可以进一步设置捕获条件: ●Interface——确定所选择的网络接口 ●Limit each packet to N bytes——指定所捕获包的字节数。 选择该项是为了节省空间,只捕获包头,在包头中已经拥有要分析的信息。 ●Capture packet in promiscuous mode——设置成混杂模式。 在该模式下,可以记录所有的分组,包括目的地址非本机的分组。 ●Capture Filter——指定过滤规则 有关过滤规则请查阅以下使用Filter方式中的内容。 ●Capture files——指定捕获结果存放位置 ●Update list of packets in real time——实时更新分组

Wireshark抓包实例分析

Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一.实验目的 1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际,知行合一的学术精神。 二.实验原理 1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。 2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。 3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。 三.实验环境 1.系统环境:Windows 7 Build 7100 2.浏览器:IE8 3.Wireshark:V 1.1.2 4.Winpcap:V 4.0.2 四.实验步骤 1.Wireshark简介 Wireshark(原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的

相关知识……当然,有的人也会用它来寻找一些敏感信息。 值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1:计算机是如何连接到网络的? 一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。如图所示: 图一:网络连接时的部分数据包 如图,首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本,包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。 让我们来看一下数据包的传送过程:

无线网卡抓包

无线网卡抓包(Windows) 无线网卡抓包(Windows) 对于一般的用户而言,破解邻居的无线局域网密码有一定的困难,当然,使用搜索也可以搜到具体的方法与步骤。我也是初学者,以下是我整理出来的东西。有兴趣的可以看一下。 以下所使用的方法都是在Xp平台上测试的。 事先得说明,使用破解的先决条件是你必须要有要有一张airodump软件所支持的网卡,所支持网卡可以上网查一下 (https://www.wendangku.net/doc/4a16937177.html,/support/downloads/drivers) 常用可支持网卡: ATHEROS 5212A、BROADCOM 430XMP、Cisco AIR-CB21AG、NEC WL54SC TP-LINK系列:TL-WN550G TL-WN551G TL-WN510G TLWN610G TL-WN650G TL-WN65G 芯片系列:AR5001, AR5002, AR5004, AR5005 and AR5006 1.打开Network Stumbler软件查看信号所在频道,如图为频道:11(这个是我们抓包前要知道的)

2.打开airodump进行抓包,图片以下->后面参数分别是9 s ->9(相应无线网卡前的序号) ->a(输入o或者a选择网卡模式) ->11(无线信号的频道) ->03(抓包生成文件名,可以随便输入) ->N(是否只检测WEP加密数据包) 回车确定进行抓包

破解难度,如果密码很简单的话,5W就可以破解出了。)

然后会在目录下生成两个文件分别为03.CAP和03.TXT

03.CAP是要破解KEY的数据,03.TXT是抓包一些数据。

IP抓包分析

IP抓包实验 一.数据截图 二.分析 这个IP协议报文我是在访问一个网站时抓到的。 从截图中我们可以看到IP的版本号(Version)为4,即IPV4协议。首部长度(Head length)为20字节。服务类型(differentiated services field)为0000,说明是一般服务。数据报总长度(total length)为56 。标识(identification)为0x4a28(18984),由信源机产生,每次自动加1,当IP数据报被分片时,每个数据分片仍然沿用该分片所属的IP数据报的标识符,信宿机根据该标识符完成数据报重组。标志(FLAGS)为0x04,表示不允许分片(DON'T FRAGMENT),标志用于是否允许分片以及是否是最后一片。片位移(fragment

offset)为0,表示本片数据在它所属数据报数据区中的偏移量,是信宿机进行各分片的重组提供顺序依据。生存时间(time to live)为64,用来解决循环路径问题,数据报没经过一个路由器,TTL减1,当TTL减为0时,如果仍未到达信宿机,便丢弃该数据报。协议标识(protocol)为0x06,表示被封装的协议为TCP。首部校验和(head checksum)为0xf5f4,表示首部数据完整。源主机(客户机)地址为192.168.0.103,目的主机(服务器)地址为220.181.92.222。 0806580121 刘敏 2011年1月9日

妈妈新开了个淘宝店,欢迎前来捧场 妈妈的淘宝点开了快半年了,主要卖的是毛绒玩具、坐垫、抱枕之类的,感觉妈妈还是很用心的,花了不少功夫,所以我也来出自己的一份力,帮忙宣传一下。 并且妈妈总是去五亭龙挑最好的玩具整理、发货,质量绝对有保证。另外我家就在扬州五亭龙玩具城旁边,货源丰富,质量可靠,价格便宜。 欢迎大家来逛逛【扬州五亭龙玩具总动员】https://www.wendangku.net/doc/4a16937177.html,

相关文档
相关文档 最新文档