利用Wireshark截取数据包,并对数据包进行解析

利用Wireshark截取ICMP数据包,并对数据包进行解析

wireshark安装文件下载地址:http://yunpan.cn/QiHGK5sPtWRyN
(提取码:0bbc)

安装步骤:

解压文件之后,在\wireshark-win32-1.4.9中文版\文件夹中找到安装文件,双击即可安装。

安装完成之后,双击wireshark图标即可启动,界面如下:

抓包步骤:

1、点击开始按钮列出可以抓包的接口:

2、点击选项可以配置抓包参数:

3、配置完成点击开始,即可开始抓包:

4、点击停止完成抓包。

抓包界面分析:

抓包结果整个窗口被分成三部分:

1、最上面为数据包列表,用来显示截获的每个数据包的总结性信息;

2、中间为协议树,用来显示选定的数据包所属的协议信息;

3、最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。

数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口:58459,目的端口:54062)。

协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet
II)、IP地址(Internet
protocol)、UDP端口号(user datagram
protocol)以及UDP协议的具体内容(data)。

分析ICMP协议数据包

实验原理: 
ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。

实验步骤:

点击开始抓包,为了抓取使用ICMP的包,我们要设置过滤条件,点击“选项”:

再点击“抓包过滤”按钮:

因此初始状态下没有只抓取ICMP协议包的过滤条件,因此我们点击新建按钮:

在过滤名字和过滤条件中分别输入“ICMP
only”(自定义),“icmp”,点击确定:

这是可以看到抓包过滤按钮后面的文本框出现了ICMP字样,说明过滤条件设置成功:

点击开始,发现现在抓取不到任何包:

打开命令行窗口,执行命令:ping www.baidu.com:

这时可以看到数据包抓取页面抓取到了8包,与命令行显示的已发送和已接受的包的数量是一致的:

选择任意一个包查看详细信息:

可以看到ICMP报文的格式为:

在这个试验中,可以发现,icmp的报文就只有两种,请求和应答:

请求:

应答:

这两个报文的type不一样,8代表请求,0代表应答;code都为0,表示为回显应答;标示符和序列号都是一样的,表示这两个报文是配对的

TCP

协议,所以此次实验选取

FTP

DHCP数据包分析           

使用DHCP获取IP地址:

(1)打开命令窗口,启动Wireshark。

(2)输入“ipconfig  /release”。这条命令会释放主机目前的IP地址,此时,主机IP地址会变为0.0.0.0

(3)然后输入“ipconfig  /renew”命令。这条命令让主机获得一个网络配置,包括新的IP地址。

(4)等待,直到“ipconfig  /renew”终止。然后再次输入“ipconfig  /renew” 命令。

(5)当第二个命令“ipconfig  /renew” 终止时,输入命令“ipconfig /release” 释放原来的已经分配的IP地址

(6)停止分组俘获。如下图:

五.实验分析

由截图可知,本机发起DHCP
Discover包,用来寻找DHCP服务器,源ip是0.0.0.0,因为刚开始还不知道,目的地址是255.255.255.255的广播地址,广播到整个网段。

Message type为1表明是请求包,由客户端发出。

Hardware address
length为6表示本机的网络硬件地址长度为6bytes

Hops为0表示跳数,此处为0 表示没有经过网关。

此字段表示DHCP报文类型:

此字段表示DHCP客户端的报文类型。

这是UDP上的DHCP,本机发起的端口是68,目标端口是67.

2.提供

DHCP服务器收到客户端发的DHCP
Discover之后,会在自己的地址池中拿出一个没有分配的地址以及配套的参数(如:掩码、DNS、网关、域名、租期……),然后以一个DHCP
Offer包发送出去。

此时源IP是DHCP服务器的IP,目的IP是255.255.255.255的广播。这时候本机还无法获得IP,所以DHCP服务器只能用广播来回应。

此截图表明通过UDP传输,客户端端口号68,服务器是67。

Message type为2表明是回复包。

Hops为1不标明经过了一个中继。

表明给客户端的IP地址,但是现在还没有确认。

这是中断的地址,就是网关

DHCP服务器地址

3.选择

客户端收到这个DHCP Offer后,会再发出一个DHCP
Request给服务器来申请这个Offer中包含的地址。
这个时候,客户端还没有正式拿到地址,所以还需要向DHCP服务器申请。

此时客户端的源IP还是0.0.0.0,目的IP还是255.255.255.255。

将这些都广播出去,告诉其他DHCP服务器和分配给本机的服务器。

4.确认

被客户机选择的DHCP服务器在收到DHCPREQUEST广播后,会广播返回给客户机一个DHCPACK消息包,表明已经接受客户机的选择,并将这一IP地址的合法租用以及其他的配置信息都放入该广播包发给客户机。

服务,

本次抓包过程将采用显示过滤器的方法来过滤数据包。

利用Wireshark截取数据包,并对数据包进行解析,布布扣,bubuko.com

时间: 2024-10-27 09:31:51

利用Wireshark截取数据包,并对数据包进行解析的相关文章

Wireshark抓包分析---分析数据包

Wireshark数据抓包教程之认识捕获分析数据包 认识Wireshark捕获数据包 当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了.Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范,显示在Packet Details面板中.为了帮助用户能够清楚的分析数据,本节将介绍识别数据包的方法. 在Wireshark中关于数据包的叫法有三个术语,分别是帧.包.段.下面通过分析一个数据包,来介绍这三个术语.在Wireshark中捕获

wireshark捕获/过滤指定ip地址数据包

转载 转载请注明出处:6san.com 原文地址: http://www.6san.com/630/ wireshark捕获/过滤指定ip地址数据包 使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包.wireshark捕获/显示过滤使用方法见:"wireshark过滤器" 显示过滤:wireshark过滤经过指定ip的数据包 显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用. ip.addr ==1

如何在Windows系统上用抓包软件Wireshark截获iPhone等网络通讯数据

http://www.jb51.net/os/windows/189090.html 今天给大家介绍一种如何在Windows操作系统上使用著名的抓包工具软件Wireshark来截获iPhone.iPad等iOS设备或Android设备的网络通讯数据的方法 不管是iPhone的iOS还是Android系统上开发的应用App基本上都会需要使用网络通讯来传输数据.开发者有的时候可能会需要通过抓包的方式来了解应用具体在传输些什么数据,以及数据是否正确.今天给大家介绍一种如何在Windows操作系统上使用

Wireshark数据包分析之数据包信息解读

*此篇博客仅作为个人笔记和学习参考 数据包概况 Frame:物理层的数据帧概况;EthernetⅡ:数据链路层以太网帧头部信息;Internet Protocol Version 4:互联网层IP包头部;Transmission Control Protocol:传输层的数据段头部信息Hypertext Transfer Protocol:应用层的信息,这里的是HTTP; 物理层的数据帧概况 Frame 29: 213 bytes on wire (1704 bits), 213 bytes c

Java利用POI导入导出Excel中的数据

     首先谈一下今天发生的一件开心的事,本着一颗android的心我被分配到了PB组,身在曹营心在汉啊!好吧,今天要记录和分享的是Java利用POI导入导出Excel中的数据.下面POI包的下载地址http://poi.apache.org/download.html,有兴趣的朋友也可以去看看其中的API.      下面分享一下在对POI进行基本操作时觉得需要注意的两点:       1.POI中针对xlsx/xls是需要create different Workbook instance

Wireshark过滤规则之:IP数据包过滤

Wireshark捕获经过指定ip的数据包 捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境. host 192.168.0.1 //抓取192.168.0.1 收到和发出的所有数据包src host 192.168.0.1 //源地址,192.168.0.1发出的所有数据包dst host 192.168.0.1 //目标地址,192.168.0.1收到的所有数据包 src host hostname

利用XtraBackup给MYSQL热备(基于数据文件)

利用XtraBackup给MYSQL热备(基于数据文件) By JRoBot on 2013 年 11 月 26 日 | Leave a response 利用XtraBackup给MYSQL热备(基于数据文件)利用 XtraBackup 快速配置主从服务器这XtraBackup 个主要包含2个命令 xtrabackup 和 innobackupex 第一个是他的主程序 另外个他自己封装的脚本一般用脚本来完成备份这是工作笔记 比较凌乱 凑合着看吧 获取XtraBackup 获取XtraBacku

利用python爬取58同城简历数据

最近接到一个工作,需要获取58同城上面的简历信息(http://gz.58.com/qzyewu/).最开始想到是用python里面的scrapy框架制作爬虫.但是在制作的时候,发现内容不能被存储在本地变量 response 中.当我通过shell载入网页后,虽然内容能被储存在response中,用xpath对我需要的数据进行获取时,返回的都是空值.考虑到数据都在源码中,于是我使用python里的beautifulSoup通过下载源码的方式去获取数据,然后插入到数据库. 需要的python包ur

Jquery Mobile实例--利用优酷JSON接口读取视频数据

本文将介绍,如何利用JqueryMobile调用优酷API JSON接口显示视频数据. (1)注册用户接口. 首页,到 http://open.youku.com 注册一个账户,并通过验证.然后找到API接口 (http://open.youku.com/docs/tech_doc.html) 可以看到优酷提供不少API,本文将演示“通过视频关键词”接口. 点击进去后,会发现client_id和keyword是必填的,因此,未来构造的URL应该类似 https://openapi.youku.c