使用WireShark捕獲和分析數(shù)據(jù)包

Wireshark的優(yōu)勢：

-安裝方便。

-簡單易用的界面。

-提供豐富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊，Wireshark這個新名字也就應(yīng)運而生了。

一：安裝并運行wireshark開始捕獲數(shù)據(jù)包，如圖所示點擊第二行的start開始捕獲數(shù)據(jù)包。

二：幾分鐘后就捕獲到許多的數(shù)據(jù)包了，主界面如圖所示：

如上圖所示，可看到很多捕獲的數(shù)據(jù)。

***列是捕獲數(shù)據(jù)的編號；

第二列是捕獲數(shù)據(jù)的相對時間，從開始捕獲算為0.000秒；

第三列是源地址，第四列是目的地址；

第四列是數(shù)據(jù)包的信息。

選中***個數(shù)據(jù)幀，然后從整體上看看Wireshark的窗口，主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表；中間部分是數(shù)據(jù)幀的描述信息；下面部分是幀里面的數(shù)據(jù)。

三：開始分析數(shù)據(jù)

在下圖中Filter后面的編輯框中輸入：arp（注意是小寫），然后回車或者點擊“Apply”按鈕

現(xiàn)在只有ARP協(xié)議了，其他的協(xié)議數(shù)據(jù)包都被過濾掉了。注意到中間部分的三行前面都有一個“+”，點擊它，這一行就會被展開。如下圖所示：

現(xiàn)在展開***行。看到的結(jié)果如下：

在上圖中我們看到這個幀的一些基本信息：

幀的編號：15（捕獲時的編號）

幀的大?。?0字節(jié)。再加上四個字節(jié)的CRC計算在里面，就剛好滿足最小64字節(jié)的要求。

幀被捕獲的日期和時間：Dec2，2008……

幀距離前一個幀的捕獲時間差：0.136438000……

幀距離***個幀的捕獲時間差：4.704371000……

幀裝載的協(xié)議：ARP

現(xiàn)在展開第二行：

我們可以看到：

目的地址（Destination）：ff:ff:ff:ff:ff:ff（這是個MAC地址，這個MAC地址是一個廣播地址，就是局域網(wǎng)中的所有計算機都會接收這個數(shù)據(jù)幀）

源地址（Source）：Elitegro_2d:e7:db（00:0d:87:2d:e7:db）

幀中封裝的協(xié)議類型：0x0806，這個是ARP協(xié)議的類型編號。

Trailer：是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。

展開第三行：

地址解析協(xié)議

硬件類型：以太網(wǎng)

協(xié)議類型：IP

硬件大?。?

協(xié)議大?。?

發(fā)送方MAC地址

發(fā)送方IP地址

目的MAC地址

目的IP地址

【編輯推薦】

1. Wireshark：網(wǎng)絡(luò)嗅探工具
2. 巧妙運用Wireshark嗅探網(wǎng)絡(luò)通信
3. linux下wireshark安裝和使用
4. wireshark添加一個基礎(chǔ)的RDP解析器的方法