思科,华为网工必备-wireshark抓包工具的安装与使用方法

已于 2022-02-16 10:48:36 修改
阅读量5.5k 收藏 16
点赞数 1
分类专栏: 思科认证 华为认证 it 文章标签: 网络 linux 思科 网络工程师 华为
于 2022-02-16 10:45:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spccie/article/details/122958577
版权
it 同时被 3 个专栏收录
397 篇文章 7 订阅
订阅专栏
思科认证
54 篇文章 13 订阅
订阅专栏
华为认证
41 篇文章 14 订阅
订阅专栏

上期的结尾我们用wireshark抓包看了一下vrrp的协议报文,好多小伙伴对wireshark抓包很感兴趣,那今天我们就来聊聊wireshark

  • wireshark的下载与安装

wireshark是一款免费的数据包分析软件,可以通过Wireshark · Download访问官方网站进行下载安装,支持windows、linux、macos等多种平台。wireshark功能强大,安装方便,掌握了wirshark的使用方法不但可以在学习中帮我们更直观深入的了解网络协议的工作原理,更能在以后的工作中帮助我们披荆斩棘排除故障,另外如果对usb、蓝牙抓包也感兴趣的小伙伴可以在安装时勾选上全部的可选安装软件,以获得更丰富的功能。

  • 开始抓包

当你打开wireshark会出现网卡列表(如下图)通常可以先将网卡连接在要抓包设备的交换机上以捕获数据包,想要捕获哪个网卡的数据包直接双击就可以了,简单方便(这里我使用我的无线网卡进行演示)。

开始抓包后,因为网络中的数据量可能十分庞大,在捕获到我们想要的数据包之后,就可以点击左上角的停止捕获按钮让wireshark停止捕获,三个按钮依次为开始、停止、重新捕获。

接下来我们来看数据包列表

No代表序号

也就是第几个被捕获的数据包

time表示相对捕获时间
source代表的是数据包的源地址

destination表示数据包的目的地址

protocol是解析出数据包的协议类型

info是摘要的数据包信息

根据以上这些信息我们可以选择我们想要的数据包进行查看分析,这里我们选择一个http包进行举例

点开数据包后可以发现,上面有几个折叠的信息,越靠近上面的就越靠近物理层,越靠近下面的则越靠近应用层我们依次点开看看都能获取到哪些信息

首先展开看到的是物理层的信息,包括物理接口的相关信息,帧的长度,以及帧是不是被丢弃的状态。

接下来展开的是二层的信息,包括以太网帧的封装类型,这里是以太二,以及源mac地址和目标mac地址,由于wireshark是一个自带分析功能的抓包工具,它可以帮助标出相关有用的字段,比如图中就标出了mac地址是一个单播地址(mac地址的第8位为单播/组播位,置0为单播,置1为组播),这种功能在抓包的时候非常直观方便,当然也可以在下面的十六进制区自己找到相应的字段进行分析。

接下来是三层信息,包括了ip版本(ipv4)、头部长度、DS Field、头部校验和、以及我们通常第一眼回去看的源目ip地址和TTL字段。

再来是传输层信息,这里我们比较关注的信息主要有传输层的协议、源目端口、段的大小、序列号(seq Number)以及标志位信息、payload大小等。图中展示的包可以看出,传输层协议为TCP、源端口为80证明是一个http相关的包,tcp段长度为53bytes,以及标志位ACK置位(这里如果要找是谁的ack,可以将seq号减一进行查找,就知道这个ACK是对哪个数据包进行的回复)

接下来的上层协议作为网络工程师通常我们是不太关心的,但有时候有需求也可以打开分析一下,如这里我们看到http返回了一个200,我们就可以知道这个包是正常响应的包,关于上层应用的抓包在有些项目中我们需要做防火墙或者服务器的时候就可能会需要了,幸运的是wireshark对相关的功能也都是支持的。

那么基本的操作我们知道了,但是在复杂的网络环境中,想在这么多数据包中找到我们想要看到的数据包,有时候简直就像是大海捞针一样,那有没有什么方法可以快速的找到我们需要的数据包,或者是有哪些操作对我们的抓包分析有帮助呢?

Wireshark常用过滤方式

地址过滤:ip.addr 用于显示出符合相应ip地址的数据包,同时有ip.src和ip.dst用于更详细的指定是要源IP符合还是目的IP符合。同理eth.addr用于显示出符合相应mac地址的数据包,eth.src和eth.dst用于更详细的指定我们具体要的是源mac还是目的mac。

协议过滤:假如我们想抓一个特殊的端口,那么可以使用tcp.port或udp.port进行相关的过滤,如果想过滤某一种协议也可以直接输入协议名,如想过滤出ospf的报文,就可以直接在过滤器中输入ospf即可。

常用逻辑符号:and代表与,or代表或,not代表非,eq即equal可以理解为等号

了解了以上常用的一些过滤方式,接下来我们来试着练习一下,建议同学们也跟着动手操作,以便快速的掌握这项技能

首先我们试着过滤出源ip为192.168.10.243,且目的mac为f8:48:fd:fc:2e:00的数据包

接下来,我们利用dns的端口号排除其中的dns报文

接下来我们添加上所有的广播报文

经过上面的练习,我们熟悉了对地址、协议、逻辑运算符的使用,接下来我们试着对网络内的报文按照一定的特征进行一次抓取

首先我们要从中过滤出ospf的包

然后我们要找到所有与二类lsa相关的报文

我们打开一个LSU报文可以看到其中是有二类LSA的才被过滤器留下,其余的报文则全部被过滤掉,方便我们更快的找到我们想要的数据包进行对比。

看完今天的分享相信一些小伙伴们已经跃跃欲试准备亲自动手试试看了,想知道wireshark还有哪些更有趣的用法吗,点赞收藏防走丢,后续我们会继续分享更多知识干货。

ie-lab网络实验室ccie认证之家
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
网工知识角|掌握MPLS协议从这五个方面入手
09-01 307
例如,MPLS VPN 的底层技术为 MPLS,它需要复杂的配置和运维,需要高精度的时钟同步,对网络设备的要求比较高;MPLS VPN 技术可以用于构建企业全网 VPN,通过建立专用网络隧道,实现异地办公、数据传输、语音、视频等多种业务的安全、高效传输,极大地提高了企业的业务效率。总之,MPLS VPN 是一种高效、安全、灵活的网络技术,可以为企业、ISP 等用户提供以标签为基础的 VPN 服务,为用户间的通信建立起可靠的连接,实现了高效的数据传输和安全的通信。三、MPLS VPN的应用有哪些?
博客
网络地址转换NAT-动态NAT的使用范围和配置-思科EI,华为数通
08-25 1555
当具有私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址一对一的转化。一般是我们公司内网中有设备需要去访问我们公网,我们就必须要做一个NAT地址转换,把我们私网的IP地址转换成我们公网的IP地址,这时,就需要使用动态NAT了,使用地址池中的公网地址进行IP地址转换,去访问我们的公网,下文是一个例子。是可以使用的地址,作为我们的地址池进行绑定,并给出可以上网的网段信息,可以使用访问控制列表进行过滤。,划出一段地址池,根据拓扑中给出的信息是从。
博客
OSPF在广播类型的网络拓扑中DR和BDR的选举
08-15 1544
按照要求配置,首先正常配置OSPF的基础命令,保证在修改DR和 BDR之前全网互通,配置完成之后再去测试连通性,全部测试完毕之后,修改我们的DR和BDR,查看我们修改之后的DR和BDR设备是否成功达到我们的要求。DR、BDR是终身制,不能被抢占的,这一知识点也是比较奇怪的,我们上面说了DR/BDR是选取出来的,理论上在一个LAN上,应该是优先级最大的路由器被选取为DR的。这时,为了满足要求,让R2成为10.1.1.0 网段的DR,可以修改R2的router-id,改为22.22.22.22。
博客
IELAB-网络工程师的路由答疑10问(2)
08-08 371
DV 型路由协议一般交互的是路由信息,而LS 型路由协议比较特殊,交互的是LSA或者LSP,最终,交互形成LSDB,也就是数据库。路由协议最后比较重要的内容就是我们所说的环路防护和更新安全,一般路由协议都支持MD5的认证方式,以及环路防护的原则,DV型路由协议中水平分割、LS型路由协议通过本身的算法计算出一个无环的树形结构,产生最终的计算结果。因此,对于每一种路由协议而言,如何计算路由信息,采取何种方式进行计算,也就是路由协议采取的算法、度量所选取的参数以及如何计算,就十分钟重要了。
博客
IELAB-网络工程师的路由答疑10问(1)
08-04 305
首先,网络层的作用之一是进行了网络划分,而IP地址的构成也分为网络位以及主机位,网络位的不同,就好比在互联网进行的行政区域划分一样。那么,路由是什么呢?事实上,将数据从数据源转发到目标网络的过程,或者将数据在不同网络中传递的过程,就可以称之为路由。静态路由,通过管理员手工指定的路径,通常来讲,叫做”千金难买我愿意”,不过有节操的管理员,一般都会根据实际情况去部署,而不会随意书写。将数据转发到目标网络的方式,指定从本地某个接口转发出去,或者通过某个下一跳到达目标网络,也就是常说的出接口,下一跳,两种方式。
博客
昨晚技术交流群“炸了”,论搞技术的网络工程师究竟能有多严谨?
06-09 578
昨日在IELAB网络实验室学习交流群中发生了一场“激烈”的争论,原本是同往常一样的答题领红包活动,同学对答案产生了异议,从而和Summer赵老师在群里进行了沟通交流,具体是什么情况呢?再次不死心,使用Bing国际版查询了下,国外也一样两种说法都有,在此也就不贴出来了。能够互相说服的方法,我认为有以下两种方式:一,有没有大神能找到一些开源的交换机程序代码查看一下代码逻辑,二,想法发抓包出来看。终于做完了,花了两个小时左右的时间,更多的时间都花在了查ACCESS接口能不能加TAG上面了。
博客
8个华为设备常用的Python脚本,你都会配置使用吗? -HCIE HCIP HCIA
04-24 967
华为设备可以使用Python脚本用于自动化网络管理和监控,可以帮助网络工程师优化并提高工作效率。、使用脚本配置用户名和密码登录华为设备。、使用脚本可查看本设备的ARP缓存表。、使用脚本可查看设备CPU的使用率。、使用脚本可查看设备端口带宽利用率。、使用脚本可查看设备的VLAN信息。、使用脚本可查看设备的MAC地址表。、使用脚本可查看对应接口的信息。、使用脚本可查看设备接口状态。
博客
网络设备割接—七大步骤
04-18 2503
如果发现问题,需要立即采取相应的应对措施,以确保割接过程的安全和稳定,遇到状况外的情况下,可以选择回退操作,至少需要保证不影响业务和设备的正常运行。在任务中,需要考虑到割接过程中可能出现的问题和风险,并制定相应的应对措施,也需要确定割接的人员、时间和地点。在确定割接方案之前,这些内容是我们需要去了解的,可以有效的帮助到网络工程师了解网络的整体架构,以及哪些设备需要进行割接。需要把操作记录完成,可以帮助其他操作人员了解网络设备和系统的情况,以及割接过程的细节和结果。初步定义需要割接的设备和范围。
博客
网工必知—什么是堡垒机?-CCIE
04-11 1106
堡垒机是一种安全性很高的远程管理方式。它可以帮助企业有效避免内部人员的恶意操作,保障企业的信息安全。
博客
18个基础命令教你轻松拿捏华为设备的各种状态!(下) -HCIE 华为网络工程师
04-03 893
10、display memory-usage process vrp 用来查看当前VRP进程内存占用率的统计信息 命令格式 display memory-usage process vrp [ slave ] 使用示例 <Huawei> display memory-usage process vrp Memory utilization statistics at 2013-07-10 09:55:20 729 ms The current memory of
博客
18个基础命令教你轻松拿捏华为设备的各种状态!-HCIA HCIP
03-27 1227
1、display cpu-usage: 用来查看设备CPU占用率的统计信息 命令格式 <Huawei>display cpu-usage ? configuration Cpu usage configration slot Slot <cr> Please press ENTER to execute command 使用示例 <HUAWEI> display cpu-usage CPU
博客
经常使用思科设备,这十个命令一定是“最常见的熟客”!
03-20 675
当你需要在路由器交换机设备上直接查看抓包信息时,可以使用debug命令,例如,查看OSPF发送的报文信息,可以通过debug ip ospf packet进行查看,由于打开之后会有很多报文出现,所以可以使用no debug命令或undebug all命令关闭此功能。”命令时,我们可以通过它来查询后续的命令,因为我们不可能记住所有的命令,有时候只能记住某个命令的开头,那么这个时候“?”命令就非常好用了。我们在调试思科设备时,会使用各种各样的命令去调试配置,但在每一种命令中,哪些命令使用最频繁你知道吗?
博客
100个网络运维工作者必须知道的小知识!(下)
03-13 561
然而,随着越来越多的设备连接到它,它将无法有效地管理通过它的流量。对于A类,有126个可能的网络和16,777,214个主机对于B类,有16,384个可能的网络和65,534个主机对于C类,有2,097,152个可能的网络和254个主机。相反,将LAN连接到中转网络的网关创建了一个使用IPSec协议来保护通过它的所有通信的虚拟隧道。这样做的主要目的是在一台服务器发生故障的情况下,集群中的下一个服务器将继续进行所有处理。另一个缺点是,当需要在网络的特定部分进行调整和重新配置时,整个网络也必须被暂时关闭。
博客
100个网络运维工作者必须知道的小知识!(上)
03-10 921
这些确保内部网络之间不存在任何冲突,同时私有IP地址的范围同样可重复使用于多个内部网络,因为它们不会“看到”彼此。您可以为计算机分配限制,例如允许访问的资源,或者可以浏览互联网的某一天的特定时间。这是因为互联网上的主机只能看到提供地址转换的计算机上的外部接口的公共IP地址,而不是内部网络上的私有IP地址。不知道正确的IP地址,甚至无法识别网络的物理位置。数据封装是在通过网络传输信息之前将信息分解成更小的可管理块的过程。是一个Windows实用程序,可用于跟踪从路由器到目标网络的数据采集的路由。
博客
网络工程师测试命令排行榜,快来看一看吧! -ccie网络工程师
02-10 730
网络上出现路由环路时,使用Ping命令只能看到超时,而使用Tracert就可以明确看到或发现路由环路等问题,在追踪某IP地址时,如果多次出现相同的地址,即可认为出现了路由环路;比如你想跟踪某一IP地址,想看到具体的跟踪路径地址,就可以使用 Tracert 进行查看,当网络反应慢或该节点被隐藏时,返回的数值就是请求超时。如果超时那么肯定是网络有问题(除被过滤ping的情况),如果延迟太高,网络情况也是有一些问题存在的,所以当出现网络故障的时候,我们就可以用ping命令来进行简单查看。
博客
20个网络工程师必学基础知识点【第二集】
12-28 903
防火墙(Firewall)是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。IP地址一共分为5类,A、B、C、D、E类的类别字段分别是二进制数0、10、110、1110、1111,通过网络号码字段的前几个比特就可以判断IP地址属于哪一类,这是区分各类地址最简单的方法。E类地址专门用于特殊的实验目的。不知道正确的 IP 地址,甚至无法识别网络的物理位置。
博客
20个网络工程师必学基础知识点【第一集】-就在IELAB
12-26 1253
子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩,它用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。局域网就是局部地区形成的一个区域网络,其特点就是分布地区范围有限,可大可小,大到一栋建筑楼 与相邻建筑之间的连接,小到可以是办公室之间的联系。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。路由器(Router)是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
博客
常用的网络号端口大全,网工必备-EICCIE,SPCCIE
12-19 1521
入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。说明:这是一种仅仅发送字符的服务。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。
博客
常用的模拟器全集 网工必备-网络工程师(思科,华为)
12-06 2232
1 gns3GNS3是想要通过CCNA,CCNP等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟的网络虚拟软件。2 enspENSP是华为提供的网络仿真工具平台,让用户在没有真实设备的情况下能够模拟演练,学习网络技术。3 EVEEVE是仿真虚拟环境,能够模拟华为、思科等厂商设备,可以重现和改进真实网络架构,从而要求并计划正确的设计来验证解决方案4 Cisco Packet TracerCisco Packet Tracer 是Cisco公司发布的一个辅助学习工具,为初学者去设计、配置、排除网络故
博客
Linux基础必备的100 个命令,你都知道吗?
12-06 3554
Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。 命令功能说明线上查询及帮助命令man查看命令帮助,命令的词典,更复杂的还有 info,但不常用。help查看 Linux 内置命令的帮助,比如 cd 命令。文件和目录操作命令ls全拼 list,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值