1、 了解并会初步使用Wireshark,能在所用电脑上抓包;
2、 应用Wireshark分析Ethernet帧以及高级协议,从而能够加深对TCP/IP协议上的参与通信的网络数据包结构以及通信方式有进一步的了解;。
3、查看一个抓到的包容,如Em的内ail内容、登陆密码、FTP登陆密码等。
预备知识
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
打开Wireshark,选择capture ->options
点击start后开始抓包如下图
捕捉Ethernet II帧
捕捉TCP报文段
TCP报文段的首部格式如下图所示:
捕捉到的TCP帧如下图所示:
由上图可知,在这个TCP帧中,源端口Source port为hsrpv6(2029),目的端口Destination port为microsoft-ds(445)。本报文的序号Sequence number为0,首部长度Header length为32 bytes,即没有可变部分。确认Acknowledgement为1(只有Acknowledgement为1时,表示Acknowledgement number是有意义的),推送push为0;其他标志位:复位Reset、紧急Urgent、终止Fin均为0;同步Syn为1。
捕捉IP数据包
IP数据包格式如下
捕捉到的IP帧如下图
由上图可知,这个IP帧的版本Version为4,即IPV4。首部长度Header length为20 bytes。源地址Src(IP地址)为192.168.1.19,目的地址Dst(IP地址)为192.168.1.133。总长度Total Length为48 bytes,即可变部分为38。标识Identification为0x06da(1754)。片偏移Fragment offset为0,表示本片是原分组中的第一片。生存时间Time to live为128,说明这个数据报还可以再路由器之间转发128次。Protocol:TCP(6) 表示里面封闭的报文是TCP
捕捉特定内容
捕捉内容:ping
步骤:(1)打开“开始”“运行”,输入cmd,回车,打开命令提示符
(2)在Wireshark软件上点击开始捕捉命令
(3)在命令提示符中输入ping命令
捕抓本机
(4)找到包含ping信息的帧
(5)在该帧中找到request和reply的内容,1是虚拟机request的内容 2是192.168.1.104reply的内容