udp抓包工具_Wireshark抓包分析简单入门

最新推荐文章于 2024-05-27 10:19:13 发布
最新推荐文章于 2024-05-27 10:19:13 发布
阅读量4.1k 收藏 5
点赞数 2
文章标签: udp抓包工具 wireshark tcp抓包分析 wireshark udp 抓包 wireshark 端口号过滤 wireshark 路由器 wireshark 过滤ip

    Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。在日常工作中抓包分析往往是解决根本问题的最有效手段。最近刚把《Wireshark网络分析就是这么简单》看完,写的很有意思,把一些心得和技巧分享一下。

IP TCP协议

    在正式开始抓包分析前先简单介绍下我们抓包中最常碰到的IP、TCP协议的头部信息。

63e268f7dbae84d14275007b10461e47.png

IP头部

•   版本号(4位):v4、v6

•   首部长度(4位):4比特是15,每1位代表4个字节32位一行,所以IP头部最长60个字节,固定长度20字节,选项最多40字节

•   TOS位(8位):前三位IP优先级中间四位表示TOS最后一位保留。中间四位各位被置1的意思:最小的延时、最大的吞吐量、最高的可靠性、最小的开销

•   总长度(16位):211=65535字节

•   标识(16位):标识一个数据包。

•   标志(3位):第一位DF第二位第三位保留。DF(Don't Fragment)置1表示中间路由器遇到要分片的数据包直接丢掉发送一个ICMP消息(这个消息在源端会显示一个M),MF(More Fragment)置1表示被分片数据包不是最后一个分片。

•   片偏移(13位):标识被分片数据包的顺序。

•   TTL(8位):防止路由环路时网络上出现过多数据包,每跳路由器-1。

•   协议位(8位):标识每个数据包下一个头部是什么,1为ICMP,TCP为6,17为UDP。

首部校验和(16位):校验头部完整性

e5418bb580ac345d4f9ae45e6e049752.png

•每个TCP包都会包含发送端口和接收端口,用来确定发端和收端的应用进程。五元组(源IP、目标IP、协议号、源端口、目的端口)唯一确定一个session。

•一个IP地址跟一个端口号称为一个插口对。

•序号是指数据部分第一个比特的序号。序号是一个32比特的无符号数。一个SYN包和一个FIN包分别消耗一个序号。

•确认序号是上次成功收到数据的序号+1。AB两端传输数据,A收到B传过来的上个数据包的序号为300,这个数据包的确认序号就是301,表示我下一个想收的数据包是序号为301 的数据包。确认序号指的是期待的收到下个数据包的序号。只有ACK标志位置1才有效。

•ACK包不占用任何序号,除了建立连接的第一个SYN包,其余包的ACK标志位都被置1。

•TCP为应用层提供全双工服务。连接每一端必须对两个方向维护序号。

•TCP没有选择性确认或者否认的功能。

•TCP的首部长度跟IP的类似都是4位表示TCP头部长度最长只能有60个字节,标准长度20字节,剩下40个字节在选项 。

•TCP有6个标志位,可以同时多个置1。

•window size是每一方都会提供的,这是一个流量控制技术。由数据接收方确定,这个字段是告诉发送方可以发送多少数据而未经确认。(接收方流控)

•校验和强制,覆盖TCP头部和数据,计算方法跟UDP一样要加伪首部计算。

•紧急指针, 仅当URG位为1的时候才有效。计算方法是把序号加上这个位置的序号表示紧急数据的最后一字节。起始在哪只有应用程序知道。

•最长报文段大小MSS(常见可选项),指明每次能接收的最大报文段大小。指数据部分不含TCP头部,UCP头部。

•数据也是可选的。TCP包可以不发数据

开始抓包

   Wireshark是一款免费软件,可以在官网https://www.wireshark.org/ download.html 下载相应版本进行安装。在拿到一个网络包时,我们总希望它尽可能小。因为操作一个大包相当费时,有时甚至会死机。所以抓包时应该尽量只抓必要的部分。可以通过以下设置对包的长度进行过滤,按下图配置则表示只抓取每个数据包前200个字节。

38b9a522d8a191c61d6a7c643667fbd9.png

2c60ef55cca8e6746816617a374249b6.png

      Wireshark的默认设置堪称友好,但是在不同场景下通常需要对时间显示格式进行调整。

2b85ea719126b316c0720a2ac7a80cea.png

过滤

     很多时候,解决问题的过程就是层层过滤,直至找到关键包。Wireshark提供了强大的过滤功能,方便我们可以快速找到相关的报文,要说过滤的作用与技巧,就算专门写一本小册子都不为过,这里只是列出了一些常用的过滤表达式以及示例。

过滤ip地址为163.177.93.254且tcp端口号等于443的数据包:

1bba252f552c13b2af8a57ccbcf024fe.png

追踪该数据包的完整tcp会话:

296ec52469e1b9ef8c66979de391675e.png

过滤IP:

IP源地址:ip.src ==192.168.1.1

IP目的地址:ip.dst== 192.168.1.1

IP地址(包括源和目的):ip.addr== 192.168.1.1

过滤端口:

TCP端口:tcp.port==80

TCP目的端口:tcp.dstport == 80

TCP源端口:tcp.srcport == 80

UDP端口:udp.port eq 15000

TCP 1-80之间的端口:tcp.port >= 1 and tcp.port <= 80

过滤协议:

http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

过滤MAC地址:

源MAC地址:eth.src==A0:00:00:04:C5:84

目的MAC地址:eth.dst==A0:00:00:04:C5:84

MAC地址(包括源和目的):eth.addr==A0:00:00:04:C5:84

过滤包长度:

整个UDP数据包:udp.length==20

TCP数据包中的IP数据包:tcp.len>=20

整个IP数据包:ip.len==20

整个数据包:frame.len==20

自动分析

    Wireshark有强大的统计分析功能,可以帮助分析人员快速统计出一些基本信息。比如点击分析-->专家信息,就可以看到数据包的中的一些不同级别的信息统计,包含重传次数、链接建立次数、网络错误等,在分析网络性能时这个功能很有作用。

7447b08b16b39105a39379b4b7de30bb.png

    Wireshark做为一个强大的工具箱,可以通过其强大的过滤及分析功能辅助我们进行问题分析。但是能否解决问题还需依赖于我们自身对相关协议的熟悉程度。新手上路,共勉!

weixin_39632728
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark抓包分析怎么看进程_wireshark抓包数据怎么看?wireshark数据分析教程
weixin_39883705的博客
12-20 4158
对于软件技术人员来说,对wireshark都很熟悉。因为它可以用来抓取各种网络的封包,并且将它们的信息详细地展示出来。不过,使用wireshark的人,得对网络协议有一定的了解,不然会看不懂wireshark抓包数据。那么,wireshark抓包数据怎么看?本文来具体讲解wireshark抓包数据的查看、分析方法,帮助大家更清楚了解自己的网络数据是否出现了问题。wireshark数据分析教程1.首...
Wireshark抓包TCP/UDP/ARP/DNS/DHCP/HTTP)
2302_80585579的博客
02-02 5565
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在任何时候,一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
(烦恼风)tcpudp原理抓包分析
qq_64575971的博客
02-03 2081
使用科来查看TCP数据包结构 1)使用科来分析系统,抓取自己网卡的数据 2)打开任意网页,然后去查看抓取的数据包,认识TCP 数据包结构
基于 Wireshark 分析 UDP 协议
最新发布
Flag少侠的博客
05-27 5531
UDP(User Datagram Protocol,用户数据报协议)是一种无连接的传输层协议,常用于传输即时数据,如音频、视频和实时游戏数据等。UDP 的特点如下:1. 无连接性:UDP 不需要在发送数据之前建立连接,也不需要维护连接状态,因此发送端和接收端之间的交互非常简单。2. 面向报文:UDP 将应用程序交给它的数据报直接封装成 UDP 数据报,然后发送给接收端。每个 UDP 数据报都是一个独立的实体,与其他数据报无关,这意味着发送端和接收端无法保证数据的可靠性、顺序性和重复性。
Wireshark抓包:详解udp协议
清菡的博客
04-19 1万+
通过wireshark这个抓包工具抓取udp协议的报文进行详细的分析。dns默认是基于udp协议的。 访问一个域名的过程中,其实就是会做一个域名解析。域名解析用到的就是dns协议(应用层协议)。下面就触发dns的流量,抓取报文看下udp协议的实现:ping一个域名,解析成ip地址,这个过程就会调用dns协议。下面就是抓包抓到的dns协议:首先发了个这样的域名请求,然后网关...
http抓包实战 pdf_网络协议HTTP 协议(抓包实战和网络分层)
weixin_39822923的博客
12-01 491
这篇文章主要介绍一下Wireshark抓包工具获取到的HTTP协议相关的数据,然后对这些数据进行简单分析,主要目的是更深入的理解HTTP协议,然后了解一下网络为什么要分层,OSI模型和TCP/IP模型的区别。1.HTTP 协议抓包实战1.1 打开Wireshark工具,选中正在使用的网卡以太网4(以自己电脑实际使用为准),点击捕获,然后选择选项:1.2 在新窗口中...
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 3570
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包分析包的能力,简单理解为tshark是wireshark的CLI版本,但Linux端抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
Wireshark抓包入门到精通.zip
12-16
本教程将引领你从零开始,逐步掌握Wireshark的使用技巧,助你成为网络抓包分析的大师。 首先,了解Wireshark的基础概念至关重要。Wireshark通过捕获网络上的数据包并显示其详细信息,帮助我们理解网络通信的过程。...
Pdf书籍_抓包工具Ethereal使用入门(图)
10-14
抓包工具Ethereal使用入门》是一本深入解析网络数据包分析的PDF电子书籍,主要针对Ethereal这一强大的网络分析工具进行详尽的介绍。Ethereal,现更名为Wireshark,是网络诊断、协议开发和教育领域广泛使用的开源...
一个学习模仿WireShark抓包软件
04-26
本文将介绍一款名为“WireWhale”的学习模仿WireShark抓包软件,帮助读者深入理解网络通信的底层细节,并掌握流量监测和攻击检测的能力。 一、WireShark与WireWhale概述 WireShark起源于1998年的Ethereal项目,...
xcap抓包软件
08-07
在信息技术领域,网络抓包工具是进行网络分析、故障排查、安全检测等工作的必备利器。Xcap,作为一款经典的抓包软件,因其强大的功能和易用性,深受广大IT从业者喜爱。本篇将详细介绍Xcap的特性、使用方法以及与...
Wireshark 和win10pcap抓包工具
01-10
Wireshark 和win10pcap抓包工具
Wireshark入门培训PPT课件.ppt
10-16
Wireshark的菜单功能包括文件操作(打开、保存捕获信息)、编辑(查找、标记封包)、查看(定制视图、颜色规则)、转到特定包、捕获(设置捕捉过滤器)、分析(解码、流跟随)、统计(各种分析图表和统计信息)、...
wireshark抓包教程详解
热门推荐
lixinkuan的博客
02-17 12万+
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。过滤器包含两种类型,一种是抓包过滤器,就是抓取前设置过滤规则。另外一种是显示过滤器,就是在数据包分析时进行过...
TCPDump工具使用与UDP数据包分析
要啥啥不行,偷懒第一名
10-24 4471
1、了解网络数据包分析工具TCPDump使用; 2、熟悉UDP数据包结构 预备知识 Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是必不可少的。 tcpdump是一个用于截取网络分组,并输出分组内容的工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需...
Wireshark抓包实验
weixin_46584792的博客
12-23 1870
目录1.数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程2.网络层实作一 熟悉 IP 包结构实作二 IP 包的分段与重组实作三 考察 TTL 事件3.传输层实作一 熟悉TCP UDP段结构实作二 分析TCP建立和释放连接4.应用层实作一 了解DNS解析实作二 了解HTTP的请求和应答5.总结 1.数据链路层 实作一 熟悉 Ethernet 帧结构 使用Wireshark进行任意抓包,熟悉 Ethernet 帧的结构,如:目的 MAC
Wireshark网络抓包
天天向上
07-03 3565
研究各个网络协议以及本地远程抓包分析,少不了或同类工具。 这里对3种场景做个简单抓包。首先设置Wireshark过滤器,开始捕获。 然后打开PC(本地IP:192.168.0.102)的浏览器,访问一个自己练手的的中医药信息网站:http://124.223.54.92:8116/,并搜索“神医喜来乐”, 如上搜索到一些相关结果,再来查看Wireshark捕获的内容, 只能看到浏览器->服务器的单向请求(No=64,左侧箭头代表src->dst即客户端192.168.0.102->服务端124.223
Wireshark实战分析UDP协议
半月旋空
11-25 2万+
(1)什么是UDP协议?         UDP(User  Datagram    Protocol )用户数据报协议。是OSI七层模型中一种无连接的传输层协议,提供面向事物的简单的不可靠信息传输服务。UDP协议就是一种无连接的网络协议,该协议用来支持那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。 (2)UDP的特点?
wireshark抓包过虑规则
全力付出
03-14 1万+
wireshark抓包过虑规则简介 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料 安装下载地址:https://www.wireshark.org/download.html规则描述 规则 说明 备注 http.request.uri 过滤出所有uri http.reque
Wireshark抓包工具过滤分析技巧详解
"这篇文档是关于抓包工具的使用技巧集锦,主要涵盖了如何通过过滤表达式...这份文档对于网络分析人员和IT从业者来说是一份宝贵的参考资料,它详细介绍了抓包工具的高级使用技巧,有助于提升网络诊断和问题排查的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值