Web:使用wireshark抓取网络报文并分析

最新推荐文章于 2024-08-23 19:49:49 发布
最新推荐文章于 2024-08-23 19:49:49 发布
阅读量3.7k 收藏 39
点赞数 5
分类专栏: Web 文章标签: Web wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiminghd2861/article/details/105024793
版权

Wireshark

Wireshark(Ethereal)是一个免费的网络报文分析软件。网络报文分析软件的功能是抓取网络报文,并逐层显示报文中各字段取值。网络报文分析软件有个形象的名字“嗅探工具”,像一只猎狗,忠实地守候在接口旁,抓获进出该进口的报文,分析其中携带的信息,判断是否有异常,是网络故障原因分析的一个有力工具。网络报文分析软件曾经非常昂贵,Ethereal/wireshark 开源软件的出现改变了这种情况。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal/wireshark 是目前世界使用最广泛的网络报文分析软件之一。

Wireshark网络分析器的官网是:https://www.wireshark.org/,目前,Wireshark的稳定发行版本为3.2.2

软件的基本应用

双击软件的图标,软件运行后,会显示如下的客户端界面。界面主要包含三个区域,从上到下,分别是工具区、捕获过滤器和网卡列表。在网卡列表中双击其中的一个网络设备即可开始捕获网络分组,又或单击选择一个网络设备,然后再点击工具区中的最左侧的蓝色斜三角图标,也可开始捕获网络分组。如果想停止捕获网络分组,再点击工具区上的红色正方形图标即可。
在这里插入图片描述
如下为捕获到的结果,结果主要分为三个区域,最上方是请求和响应列表,每一条记录表示一次请求或响应的交互。中间是对选中的“交互”进行解析后的结果。最下方是原始的数据格式。
在这里插入图片描述

注意事项

  • 要学会使用Wireshark中的过滤器,毕竟要在大量的网络分组中寻找到自己要找的分组是非常费时费力的。下面介绍几个过滤规则:1、tcp,选出TCP协议的分组;2、http,选出HTTP协议的分组;3、ip.src ==192.168.1.102,选出源地址为192.168.1.102的分组;4、ip.src==47.95.164.112 or ip.dst==47.95.164.112,选出源地址和目标地址均为47.95.164.112的分组;5、tcp.flags.syn==1,选出TCP同步位报文段。
  • 分组列表的面板中显示的信息包括:编号,时间,源地址,目标地址,协议,长度,以及分组信息。 可以看到不同的协议用了不同的颜色显示,当然也可以在视图-->着色规则中修改显示颜色的规则。
  • OSI七层模型分别为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层;TCP/IP五层模型分别为:物理层、数据链路层、网络层、传输层和应用层。
  • 在界面中间显示的是分组详细信息,在其中,可查看分组在每一层协议中对应的字段信息。在分组信息中,每一行内容会分别与TCP/IP网络模型的五层对应:Frame: 物理层的数据帧概况 -->物理层】,Ethernet II: 数据链路层以太网帧头部信息 -->【数据链路层】,Internet Protocol Version 4: 互联网层IP包头部信息–>【网络层】,Transmission Control Protocol: 传输层的数据段头部信息,此处是TCP–>【传输层】,Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议–>【应用层】

Wireshark的使用用例

1、查看本机的网络适配器列表

点击:捕获–>选项,即可打开“捕获接口”界面,如下为本机的网络适配器列表。
在这里插入图片描述
展开适配器,可得到其地址,如下所示
在这里插入图片描述

记录一次TCP三报文握手过程

先在命令行窗口中输入ipconfig命令以查看IP地址。如下图所示,本机连接的是WiFi,其IPv4地址为:192.168.8.102。
在这里插入图片描述
TCP的连接建立就是一次握手,在TCP的连接建立过程中,也即在一次握手中,客户端(A)和服务器(B)之间交换了三个报文,这三个报文分别是:【A-->B】连接请求报文段(SYN=1,seq=x(x一般为0))、【B-->A】同步确认报文段(SYN=1,ACK=1,seq=y(y也一般为0),ack=x+1)、【A-->B】确认报文段(ACK=1,seq=x+1,ack=y+1)。如下为用三报文握手建立TCP连接的示意图。
在这里插入图片描述
以CSDN网站为例,其网址为:https://www.csdn.net/。在Wireshark开始捕获分组后,再在浏览器中输入CSDN的网址,让其转至CSDN首页。Wireshark在这一过程中抓到了许多分组,通过分析这些分组可知,本机的IP地址为:192.169.8.102,CSDN的IP地址为:47.95.164.112。

如下为在一次握手中,交换的第一个报文,这个报文叫连接请求报文,由于其首部的同步位SYN=1,所以也叫同步报文段。通过这个报文可知,同步位SYN=1,序号seq=0,源IP地址是本机,目的IP地址是CSDN。
在这里插入图片描述
如下为在一次握手中,交换的第二个报文,这个报文叫同步确认报文段。通过这个报文可知,同步位SYN=1,确认位ACK=1,序号seq=0,确认号ack=1,源IP地址是CSDN,目的IP地址是本机。
在这里插入图片描述
如下为在一次握手中,交换的第三个报文,这个报文叫确认报文段。通过这个报文可知,确认位ACK=1,序号seq=1,确认号ack=1,源IP地址是本机,目的IP地址是CSDN。
在这里插入图片描述

参考

https://blog.csdn.net/budding0828/article/details/86560467?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task
https://www.cnblogs.com/bylijian/p/8565601.html
https://www.cnblogs.com/Chilam007/p/6973990.html

微步_ym
关注
专栏目录
wireshark报文
12-16
http://topic.csdn.net/u/20111216/00/84a8dcbe-c241-4595-82cf-1e05b20abb26.html 帖子的相关报文
wireshark如何抓取本机包
weixin_33724570的博客
06-06 1144
  在进行通信开发的过程中,我们往往会把本机既作为客户端又作为服务器端来调试代码,使得本机自己和自己通信。但是wireshark此时是无法抓取到数据包的,需要通过简单的设置才可以。          具体方法如下: 方法一:         1.以管理员身份运行cmd         2.route add 本机ip mask 255.255.255.255 网关ip         如...
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
Python_0011的博客
07-25 3201
w 保存的文件路径及文件名称;强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。Wireshark中流量图工具,就可以帮助完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。@网 络 工 程 师 俱 乐 部。
wireshark抓包:报文信息
qq_43148894的博客
09-01 8918
使用wires hark抓包 色彩规则: 黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应) Bad TCP:TCP解析错误,通常为重传、乱序、丢包、重复响应 HSRP State Change:HSRP(热备份协议),表示状态非active和standby Spanning Tree Topology Change:生成树协议状态为0x80,拓扑发生变化 OSPF State Change:OSPF的msg类型不是hello ICMP errors:ICMP协议错误,协议type字段值错误
通过Wireshark抓包分析PROFINET网络通讯报文之二
最新发布
gongkongzhuanjia的博客
08-23 725
在系统启动之前,控制器会对网络中的所有PROFINET设备进行寻址,在寻址完成之后进行主从站的配置写入,当我们使用工程工具将工程配置下载到控制器与网络内所连接的从站设备时,主从站设备开始尝试通讯连接,在建立连接之前一般存在三个步骤:“检查名称”、“检查IP”与“设置IP”,三个步骤依次进行。在建立连接时,基于从工程工具下载的组态数据,控制器会先发出“DCPIdentify.req”报文检查所组态的名称是否存在,如果具有所请求名称的相应IO现场设备做出回应,则进行下一步骤,如图-
一款http报文分析工具--fiddler
11-09
http报文分析工具,位于客户端和服务器之间,可用于编程调试
使用wireshark 抓取并解密https分析报告
07-16
### 使用Wireshark抓取并解密HTTPS分析报告 #### 实验工具 - 操作系统:Windows - Wireshark版本:2.2.1.0 #### 原理分析 ##### 2.1 HTTPS协议分析 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的HTTP...
wireshark计算机网络实验报告.doc
05-14
在计算机网络实验中,Wireshark被用来抓取分析网络中的数据包,以理解网络通信的过程。以下是对各实验内容的详细解释: 1. **ARP包的抓取**: ARP(Address Resolution Protocol)是将IP地址转换为物理(MAC)...
Web安全班作业 | WireShark抓包ARP报文分析并实施ARP中间人攻击
Ms08067安全实验室
09-15 2759
文章来源|MS08067 SRC漏洞实战班课后作业本文作者:某学员A(SRC漏洞实战班1期学员)按老师要求尝试完成布置的作业如下:一、使用WireShark抓包,根据实际数据包,分析ARP...
使用 Wireshark 进行计算机网络协议分析
weixin_51087836的博客
12-25 7520
文章目录实验前准备一、Wireshark抓包示例二、Wireshark实作1、数据链路层实作一 熟悉Ethernet帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程2、网络层实作一 熟悉 IP 包结构实作二 IP 包的分段与重组实作三 考察 TTL 事件3、传输层实作一 熟悉 TCP 和 UDP 段结构实作二 分析 TCP 建立和释放连接4、应用层实作一 了解 DNS 解析实作二 了解 HTTP 的请求和应答 实验前准备 本部分实验用到的是抓包和协议分析软件——Wiresha
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
热门推荐
杨秀璋的专栏
09-20 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了虚拟机VMware+Kali安装入门及Sqlmap基本用法,这篇文章将分享Wireshark安装入门,并讲解一个抓取网站用户名和密码的案例。 Wireshark作为网络分析的最佳利器之一,非常推荐网络安全初学者学习。作者作为网络安全的小白,分享一些自学教程供大家学习,后续也将深入学习网络安全和系统安全相关知识并分享相关实验。希望对初学者有帮助,大神请飘过,谢谢各位看官!
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
wireshark报文打包下载
10-31
本打包下载包含常见的所以报文,可帮助实际学习中使用
Wireshark - 使用WireShark进行报文分析简明教程
04-23
Wireshark - 使用WireShark进行报文分析简明教程,根据实际的项目过程操作过程,实际操作例子。
使用wireshark网络报文(抓包)并分析其中数据
好记性不如烂笔头
12-11 1万+
如何使用wireshark网络报文(抓包) 网络下载好wireshark打开软件按下开始进行抓包 抓好后如图,这是筛好只要本机IP的。 筛选方法如下,在想筛的内容单击,然后右击,点击作为过滤器应用,点到“选中” ...
通过WEB启动本地Wireshark远程抓包
07-21 1226
通过WEB启动本地应用程序业务需求:在分布式环境中,每台执行机需要分别开启远程抓包功能,前台界面通过Wireshark自动抓取某台执行机的报文,以便分析业务之间的报文交互。前台界面嵌入Wireshark,点击抓包是自动启动抓包。 需求分析:通过查阅资料,Web启动本地应用程序主要有两种方式:一、通过ActiveX控件启动本地应用程序二、通过自定义URL协议启动本地应用程序但是ActiveX方式只有I
httpservletrequest 设置请求头_通过fiddler的Filters功能,可以更精准快速的找到请求报文...
weixin_39788960的博客
11-30 732
Filters是fiddler中用于过滤请求报文的一个功能。当我们使用fiddler去抓取报文的时候,有很多数据报文并非是我们想要的 。我们就可以通过Filters设置过滤到无用的数据包。功能入口以下是Filters入口,通过勾选Filters前的复选框,设置过滤条件,要使过滤条件生效,需点击Actions-Run Filterset now。设置过滤功能介绍设置过滤条件有很多,但通常会用到如下三...
报文 wireshark_wireshark(一)
weixin_39564368的博客
01-15 354
一、简介Wireshark是一个网络封包分析软件。其功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。wireshark的优点支持的协议种类丰富:超过850种协议,从基础的IP/DHCP到专用的AppleTalk/BitTorrent等;用户友好度:图形化界面,不同协议的彩色高亮,用图形展示数据;价格:开源...
wire shark抓包内容解析
pan_1214_的博客
09-09 3148
4. Interface:数据包捕获的网络接口信息,包括接口名和描述;后面的描述是网络接口的名称或标识符,通常用于唯一标识计算机上的不同网络接口,每个网络接口都可以由一个类似这样的标识符;5.Time delta from previous captured frame:与前一个捕获的数据包相比,该数据包的时间差,也就是两个数据包之间的时间间隔;5. id 0:这是网络接口的标识符或索引,在多个网络接口情况下,每个接口都会有一个唯一的标识符或索引,以便在配置和管理网络时进行识别;
请完成以下任务:用wireshark抓取网络数据报文,并分析报文各字段的含义和内容,代表性的网络协议包括 Ethernet,IP,ICMP,TCP,UDP
07-09
抓取网络数据报文分析各个字段的含义和内容是一个具体的操作过程,我无法直接在这里为你完成这个任务。但是,我可以提供一个大致的步骤供你参考: 1. 下载并安装Wireshark:你可以从Wireshark官方网站(https://www.wireshark.org/)下载适合你操作系统的版本,并按照安装指南进行安装。 2. 打开Wireshark并选择网络接口:打开Wireshark后,选择你要抓取数据的网络接口,例如Wi-Fi或以太网。 3. 开始抓取数据报文:点击“开始”按钮开始抓取数据报文Wireshark将开始监听选定的网络接口,并显示抓取到的数据报文。 4. 过滤报文Wireshark可以捕获网络中的大量数据报文,你可以使用过滤器来筛选出特定协议的报文。例如,你可以使用过滤器"eth.type == 0x0800"来显示只包含IPv4协议的报文。 5. 分析报文字段:在Wireshark中选择一个报文后,可以展开查看各个字段的详细信息。针对不同的协议,你可以查看各个协议头部的字段,如以太网帧头部、IP头部、ICMP头部、TCP头部和UDP头部等。 6. 解释字段含义和内容:根据各个字段的名称和值,你可以根据各个协议的规范说明来解释字段的含义和内容。Wireshark提供了字段的详细解释和描述,帮助你理解每个字段的作用。 通过以上步骤,你可以使用Wireshark抓取网络数据报文,并分析各个协议的字段含义和内容。请注意,这是一个高级的网络分析任务,需要一定的网络知识和经验。在实际操作中,请确保遵守相关法律法规和网络使用规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值