学习用wireshark进行抓包分析

《学习用wireshark进行抓包分析》由会员分享，可在线阅读，更多相关《学习用wireshark进行抓包分析（6页珍藏版）》请在装配图网上搜索。

1、学习用 wireshark 进行抓包分析姓名：罗小嘉学号：2801305018首先，运行wireshark，打开capture interface选择有数据的网卡，点击start便开始进行 抓包。我们可以在 options 里面对包进行过滤。UC ftp二 I 二 JD&scfiptioriPPacletsS fldoptrr for sentric d&lup n洞 VFH Mptu.reunJocvnrStftit | Options | Iiet加匕.;6 Broodeen 602. Lg. Q因 Idh (NlcedsdFL!s Pnckct Scliedu.Lee)1SQ.1B8-L

2、.1O3 17343Stait Optianc.DeUiLs |# Brad NeOltiCTieEthernet Dn/ei (Wicrowfts Pactet Scheduler)UlftlcwviftStftit | Optionns flietAi LsHelp | Close首先，在确保我个人电脑没有 arp 攻击的情况下。关闭所有可能会请求网络的文件。在 点击start后在IE浏览器里面访问.hk后抓到如下数据包。W DOwli 酣ttloo0540 20um777湘 d5luz56w 盟器鹉1c 7b5p ? fi 6 6 d TQ 2 K. -I- A n 5 J- if 4

3、- b- 4 2-ra ? 33 aM W6 L .MDIQD 7B5 n 5h-r EA-匸rslz046 k i c 1. -!-诃*se首 o-fe- 932 夕ih.Lh=feiJtaarbra.iSnfratgexd口10. QKiZO；!1眈l BID?llS-ZSO.d.LISrird-srd query a w* gnopjccsn hk Stird-srd query A w* gooale. cot hkZ1b0LH!I93103隠3.-1W727B-9.S.S畑遊丄込DHS；sEundvd quar rAcpansn ttuu匸 A-g-oan-hk-chn. 1. go

4、agl n_ ecu a24b.3.M41-177S7Slbi.UEfi. 1-103罰一朗Sk 8工曲TCPpf DOfd S hrrp ,5YN 5aq-L Ulii65S35 LAi-d NSS-UwJT：-U T5ER-U : Ah_PEffl-ls1.257522192_：lhE：.i.ie5TCPhr tp glM EH, i：K 刊叮血CEwL Wl|-|S72dMSS-lSSu :JCK_FE?M-1 W-hproefd ? http AO：i 5eq-L Adc-1 Wl n-37229iS LenG1.Z3714319Z1.L.1D3啊.Z45TCP71E3793219E

5、LCe.L 103啊口衆日誉，弗HTTPGET / HHP/1,1R13393吐乩胡已却99TCPhti:p pront=d *： 5eq-L Adc-553 简n迥嗣9 Len-I.S&l-jSSTCPtcp :讦mm: of a raassiardjlifiJ pduiuTCPTCP 卞讳怕伉；时 a msiswm PDU1UEmS!厂lV：lc：.l.lLlj：閔一制SkS工曲TCPpPKifd i IfETEp :*EK SdQ-E 53 JM：k-27fiL VlFF-72Zfilfe LSf J-U1ZTCPTCP se/ien-t ef i re-sssErisled PCLi1

6、?1.3KU49啊訥別打网15Z.liSEiil.LHTTPHTFPA.1 ZQD W： CtEKt/lKnl)Ul,3KLdC.19Z L.L 103啊口衆訂，弗TCPprKrfd J httpMKSeQ-5 53 Ack-45?& fcdn-373?. Len-0IS2.1EJ7rii102.1.1-103品一詔SLS乩曲l-TTTPGEV /IffijgmSi/rUACjcq立pfip HTTPZ1-3.lb1D2.U. 1_103TCPn!csillri. , hrep jsyh =al helpeth盘i m1h-65535 leti-0 M55-146& Vis-S tev-j3

7、rsER-O s&-k_ferm-L5 1.257522呦胡気的-沟192.163.1-103TCPhttp ? proof dELAO； Seq-U Ad:-1 Win-5?20 Len-0 M5E-133D EACK_FEFH-1 ViE-bS 1.2575519Z.lM.L.iaaM.Z49. B-=i-WTCPpracfd w httpAlf：Eeq-1 ck-1 an-372ZW Len-D第一次握手：建立连接时，客户端A发送SYN包(SYN=j)到服务器B，并进入SYN_SEND 状态，等待服务器B确认。第二次握手：服务器B收到SYN包，必须确认客户A的SYN(ACK=j+l),同

8、时自己也发 送一个SYN包(SYN=k)，即SYN+ACK包，此时服务器B进入SYN_RECV状态。第三次握手：客户端A收到服务器B的SYN+ACK包，向服务器B发送确认包ACK(ACK=k+1)，此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。 完成三次握手，客户端与服务器开始传送数据。7 1.257952192-L&a. 1.103&6.245.85.95HTTPGET / HTTF/i.lS 1.53G39366.249.S9.99192.163.1. IDSTCPhi：Tp :- procjfd ACK 5eq=l Ack=5 53n=634B LEn=D

9、66.249.39.99192-1631.103TCPTCP setierrc of a reassembled PDu10 1.3BQ7&A隔249 刖99192.168.1.103TCPTCP segment of a reassembled PDU11 1.80817192.169.1.103術249 勢的TBproofd http ACK Seq-5 53 Ack-271 Win-37229i Len-01266-249.39.5192.1&a.l.lD3TCPtcp Eegrtienx of a reassettibl ed pdu66-249.89.99192.1&a.l.lD3H

10、TTPi-rrrp/l.i 2DO ok (reicT/hTrfll)14 1.5E146S192-L6atl.lD32-1 9. 39. 99TCPQ口oi=d hi：TP ACK Seq = 5 55 Ack=4S2S Wln=37229e Len=Q由我向服务器发送请求，服务器分析请求后，返回确认收到，我确认服务器的返回信息后，服务器开始发送我请求的数据。如下图afjs.asB.a.iosTCPffDCifd , iTETp ACM啰斜弱3； Ajd528订22嗚 Lifr-打15 1.102761tos.ifia.i.iesHTTPget Z1iiigas/nia_locrjS.htt

11、f.-1. iIS 2.20 5uS4Gfi-2+D.TCFnlCSlUnll：卜 he Tp ETfN SA4-U fl-llF-45 53 5 Lan-U 时5514桶衣M tsvY tssr-Xj szk_pepm-117 2.262532站BQ的W192.165.1.103TCPhTTp Poord JK Eeq-J52EI 皿-1077 -10-7956 Ln-010 Z.ZB2mHAQ日T洱19Z.15B. L.LO3TCPhrxp a niceHrfc SVH, 雀町 Seq-j Adc-1 8fi4n-572O Ls7 H55-Ueo SMiUPEP-l 岱i19 Z.ZB3Q

12、231SZ.105 l.LfflTCPMcellnk * http ACB： 5cq-l Acfc-1 梢n-沖M列 Lcn-1?ZD Z.ZB3243L賂1吗1 103HTTPGET /extern.,址京|E4屋rMAnlA21 2.207524ft. Sil.lba.lfiB.l.UOTCFtcpaT a r-adi.ssftriblad fj；22 2.203544rM_Z45!.ai.Mlbi.lfiB.l.UOTCFtcf siAiAiTL of ) FftaxsAiblad pcei23； 2.20356112.160.1.103GG-24D.a.TCFPfCCfd b iTCE

13、p AO- SA4-1L177 Jbdi-72SS -fl-ln-SJZaK L-i-Cl24 2.?9：2 5W.349. Q9 192nl0.1.13TCPTCP segnent spf .3 re,菇BhWd PfX.Z5 2胡讯靶19Z.1Q9.1.103TCPTCP segneiTt erf -s rmmmmbgd FIXJL昭珈1 L$3酬剖m誉，弗T-：Pfx-wfd a http *： Seq-10T 4d n1celinkA.LK 5eq-i Ack-7Q3 n-TieB Len-C31 Z. 40384-456.219.瓯 BB12.166.1.103TCPTCP seer

14、nent ofaed pdu32 E.4CMS4456.24?. B99lPZaieB-l.lQSTCPTCP secfnErn: ofaed PDU33 2.404881L92U168-1-1D366- 249.B9.99TCPInk heepack 5q=7G3 ACk=258a wirt=372296 Len=034 2.40513-；：.249.E&u991&2-166-1.103TCPtcp seenr ofd reassenbled pdu站 2.40550066.249.Bg.991SI2.16B. 1.103TCPtcp semenr ora reassembled pdu躬

15、2.405520L92.16S_l.lb3TCPnicelink httpACK 5eq-?Ci2 a.ck-5296 Win-3?22b Len-d37 2.4iJ5Xi266.24S. S&. 66lb2.16B-l.103TCP1匚口 SQTlG-nt 口卡m raasGombl c-d PDU菊2.40殆59怖249E$ 朝1,168,1,103TCPTCP eEnt ofa reassEHibl Ed PDU139 Z.40fl3TOlgZ.KiS-1,103丈心出裏阴ggTCPnice!ink hrrpAlk S=q-7Q3 Ark-30! iirr-3722 Len-040 2.

16、4Q575Q飾24孚EH 99152,166,1,103TCPTCP seriEnt ofa reasenibl ed pdu11 2.4072CCL66.249.瓯 99192165.1.103TCPTCP serfnenr ofa reassemtil ed pduJ2 2.407217192168-1.10366-2d&uB9.99TCPn1 heepackAck =10772 w1n=3722B& Len=13 24W：阴QiDL汕乩詔，弗193.1.1.103TCPTCP segneiTt of -s reisspihled FWdd 2, d-：5El刖24乩务，吝TCPTCP s

17、egraerrt of -a ressswibledFW45 2.4M1919E. 105.1.1Q3aa-24S.SA.-?9TCFrri-zelink 工 hexp ACK Seq-TQSAck-13332Rin-STZEK Lenij4c 2.435479asi2.ies.i.iaTCPtizp saiarn: of a 尸或広之汕ladPCCI47 2 d潺沖弱-3M0.辭.gl&2.ies.i.iosTCPnep saiafTC: qT aPCd? 2.dfl55ifiiBI-Zd9.S9.99192.1.1.103TCP segneirt & -s reisswibled TCP

18、5e7e!Tt of -3 ressswbledPIXIPDLij10 2 4前302GG.Zd9.SS 君19Z.LC-M. 1.10351 2.437t8albi.UE&.L.UOQnlCHillilli htTp AO SAQ-JOSAd沁苗贮vrin3J22iK Lift-寸52 2.4S(74-75GG_24.S9.naa.ics.i.ias：TCP SAiAiTt： fiT 皐AdPCCI乃 2.J&S12366.249.192.LS8.1.W5to3 seier： of d rss&iOieOFW3d 2.dllZ19E.LC-3.L.LQ366.249. i-?.?rricel

19、ink http ACK 5eq-T03Adf-Zlil：w1n-3TZZ Le055 2.d50ft刖24乩务，吝TCP segraeirt of -3 ressswibledFW皿.炜.l.SMTTP/l.a 2DD CK CEiT/d曲Siblpcj57 2.4205S 2.7US71lba.U.L.UOQ102.1.1.103EE-H弧 44 爼MO.曲.gnlcsilliik , help aoc saq-TOB a24252 win訂22臥 LSfF-eGET /CS1 ?v逐nna172 5-S. 2ri7.鸿呃2.27Lfi2.工7百盜才 YvfsnxH 3fcaKZOPS1c

20、M*s.1-l754 2.02415566.249.9919Q.169.1.IOSHTTP HTTP/1.1 204. Hu tOITCmT40 2.95JSL0L9 168.1.103H6.2J9 89. 99tcfc-jTd hrep k 5eq1779 *ck-10710 rtln-lTKSS Len-0这些包都是服务器在向我传送数据，包括PNG,TEXT等文件。其中的TCP segmen t of a reassembled PDU的意义是：主机响应一个查询或者命令时 如果要回应很多数据(信息)而这些数据超出了 TCP的最大MSS时，主机会通过发送多个数 据包来传送这些数据(注意：这些

21、包并未被分片)。对wireshark来说这些对相应同一个查询命令的数据包被标记了 “TCP segment of a reassembled PDU”。wireshark 根据 sequence number识别多个数据包是对同一个查询数据包的响应，这些数据包ACK number是相同的， 当然number的数值与查询数据包中的next sequence number也是一样的。61 S.2DT2JDIDTCPpTDOlTCP63 1157233 115u236.d-l&4 MS hup rst? ack rd 匚a httB広】Eq了/03 Ack-24 2 5? Win-C1 Len-DE

22、randard query respcrte. server FillureTCWP F5tnna.tion unreachable (Port unreachable)I上图为抓到的最后几个包。TCP的终止通过双方的四次握手实现。发起终止的一方执行主动关闭，响应的另一方执行被 动关闭。1. 发起方(client)更改状态为FIN_WAIT_1，关闭应用程序进程，发出一个TCP的FIN段;2. 接收方收到FIN段，返回一个带确认序号的ACK，同时向自己对应的进程发送一个文件 结束符EOF,同时更改状态为CLOSE_WAIT(server)，发起方接到ACK后状态更改为 FIN_WAIT_2(c

23、lien t)；3. 接收方关闭应用程序进程，更改状态为LAST_ACK(server)，并向对方发出一个TCP的FIN 段；4. 发起方接到FIN后状态更改为TIME_WAIT(client),并发出这个FIN的ACK确认。ACK 发送成功后(2MSL内)双方TCP状态变为CLOSED。我们不难看出上面的显示的结果的意思。根据TCP协议，主动发起关闭的一方，会进入 TIME_WAIT状态(TCP实现必须可靠地终止连接的两个方向(全双工关闭)，持续2*MSL(Max Segment Lifetime)，缺省为 240 秒.第一次挥手：客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送；

24、第二次挥手：服务器B收到这个FIN,它发回一个ACK，确认序号为收到的序号加1,和SYN 一样，一个FIN将占用一个序号；第三次挥手：服务器B关闭与客户端A的连接，发送一个FIN给客户端A； 第四次挥手：客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。但由收到的包发现并没有产生4次挥手。而出现的是如下的包8.207240192.16.1,103TCPproofd a http 口订，*CK 3eq-17?5 Ack-IDZL1?Len-O乳遥弓EE152.1SE.1.1D3ss. 24 6的.购TCPnlcel Ink hrrp ret, ack seq-70 acIc-242 5

25、2Leri-D这可能是由于在发送完数据前我过早的关闭了浏览器。现在任意的以一个包的结构为例对包结构进行分析。在这儿我选了如下一个DNS包。2 1. 01B593192.168.1 1033. B.8.3dns srandird query a. ww. qooqle. com-hk* Frame 2： 77 bTes on iwlre (616 blns), T7 byres Cdpiuradblisjp Ethernet II? 5rc: GemtekTe_5B:cb: 1 c (00:21:00:3B:c匚)，Dst : Tp-Link:T_3b:5D :bO (00:27:19:3 b

26、Inrerne匸 Protocolr src: 192,16s.1.103 C192.i&S-11O33r Dst: a,B.s.s Cs.s.s.0)user DdLagram prorocol s src port: 644 5 5 (54455) dsi Puri: dortiiln (53) b Donai n Name Systan (queryl现在对包的结构的各个部分分别分析。第一行。结构2,发送77字节的报文，抓到77字节的报文。具体内容如下j Prime 2 : 77 bytes on 対(616 bits), 77 bytes capturmd (616 bits)Arri

27、val rime: oct 2&, 2010 23：45：oi.6136S6000Epccn Tima: LI83LC7?01. jl3680DC secondsirn- util Id r un 卜m iuu、：_df_Lr 亡辺匕：1. j_S5 ?3uuuE-im= rplr a r nil prvinu pl ry=d f-rmp : 1 . 01 RicnOOC wpcmrlv -iin= si nee r ef=r 日i 二己 or first 干ane : 1.016 5 33 CO J seccndsFrehie Kumber: 2rcm2 Length : 77 tyrcc

28、：1SrE _enq7h: :/(o_t 3insFrans i ; mar kezl: Fi sal-r dTid i i iyiiLr -d : -didPrnt ncnl in fAirp： pt h :i n : i.Hncd dri 门 3 Rul c 7aiT己：udpIcc I rTriii RuIe EtrT-ici： uuiol分别说明了，包的到达时间，抓取间隔时间，包的标号，包的大小，是否标记、忽略等。 接下来d el her net lib src: GeimekTe_33:cb :1c (CiDs21：CiD：38：cb:丄 O. dsi : Tp-LlnkT_3b：5

29、D：bQ (oo：27：Lg；Hb:o：boj j Dest i nati n: Tp-LlnkT_3bz 50:bfl (00:27:15 ;3b : SOzbfl)Address： Tp-LinkT_3b:5D:bO COO:27:19:3b:5O:bOm Q a a . c .：.：.-ih bit: Indi vldual addrass CunlcasTj 0 a . u m - LG bit; G1 obally uni que address (Factory default)丄 SourcE : GemtekTe_3B: cb: 1匚 f00:21:00: 38 : cb: 1

30、 c)Address: GantekTE_3S：匚(do：21：do：3S:匚b:1cjt B a -0 a . u a. a a a. - = 1G bii: iridluldual address (un1cdij . 0. _s lg bit: G1 oba 11 y uni qua address (Factory default)Tvne: ip CoxosoqI以太网层。分别告知目的地和来源。这儿可以看出，destination为路由器分配的地址，source对应的 address 则为 gemtekte_38:cb:1c对于IP层j interneft Protocol, 5rc

31、: 15Z.1&8.1.1Q3 Ci?z. 168.1.103, Dst: 3.3. E. s Ce. 8.a. 3Version: 4Header 1ength: 2Q byt已5P Different! at ec! Services Field: 0x00 (DSCP Dx.00: Default j ECN: Dk00)Total L已ngth: 63iderulfIcarlon: axO2cd (?oa)Flags : 0x00rr dgment off&ei: 0Time to live: 2pr OTO口1： udp (17)卜 Header check sun: DxaEcb

32、correctSourest 192-165.1,103 152.163.1.103Destination: S.8.B.8 (B.8.3.S)vision： 4表示结构为4报头长为20字节无网络分区服务标志位为 0 采用 UDP 协议 报头检查正确。丿 user Datagram Protocol, sre Port: 644 55 C64455), Dst Port: domain C53) Source port: 644 5 j (&4丄55)Destiriition port: domaJn C53)Length: 43j Checksum: 0x404 5 validafior d

33、isaoledGood checksum: FalseFinrJ rhprki jm : - aKp用户的数据协议，从端口 64455到区域端口 53Checksum： 0x4045 表示确认失败丿 Domain Name System Cquery)REspnnsE in:qumryOesporse: Message is a query opcode: standard jumry dTrneated: Message i s rot truncage J ecursTcn desJr已日：3o cuery recu Z: reserved COMoi-actkertJcated data: ln;cceptableTransaczion ID: Cxf823 j F ags : ZixDlOC fstandard 0=.OOD J=冷= 0= Questions: 1Answer Rs : CAuthoriy RRs: 0AddJti oial rrs : C丿QuerT己swv/w. qooqle. ccm.hb: type g cl IN区域名系统（疑问）Response in： 3表示在frame 3中响应。交换地址的16进制表示为0xf823 对于标志flags，对应英文理解就是了，这儿不做衍叙。 其它的包可以按照相同方法进行分析。