《抓包软件的使用》由会员分享,可在线阅读,更多相关《抓包软件的使用(45页珍藏版)》请在金锄头文库上搜索。
1、抓包软件的使用课程内容概述使用须知软件使用实用案例本章小结概述 为什么要使用抓包软件? 在网络出现故障时,通常会检查网络设备的状态如 :配置是否正确、协议运行是否正常、数据帧/包的 发送和接收是否有异常等等。使用show/debug即 可 但对于网络中正在传输的数据的具体状况,show 和debug则无能为力 在实际网络中,互联的设备通常属于不同的厂家或 者部门,对方设备通常不会开放权限 此外,使用抓包软件可以使我们更好的学习和理解 各种协议、功能概述 常见的抓包软件有哪些? Sniffer Etherpeek TCPDump Ethereal/Wireshark 概述 WireShark的主
2、要特点 软件开源,没有版权问题 捕获信息实施查看 储存捕获信息灵活,不受存储容量限制等 支持协议丰富,可兼容其他常见的抓包软件格式 课程内容概述使用须知软件使用实用案例本章小结使用须知 软件的获取 WireShark软件请自行去官方网站下载并安装( www.wireshark.org ),目前最新的版本是 v0.99.7。 由于安装过程非常简单,此处就不在赘述。使用须知 需要硬件支持 Wireshark本身可以支持的协议种类非常丰富,但 由于常见的PC工作平台只有以太网接口,导致我们 只能捕获并分析以太网环境中的相关信息 Wireshark等抓包软件捕获的内容,只是经过指定 以太网接口的数据信
3、息 常见的以太网组网设备有HUB和Switch等两种,使 用时有所不同。使用须知 需要硬件支持(续) HUB 由于其工作原理为“广播”。所以,Wireshark主 机只要连接到同一个HUB(冲突域)中,就能获 取到所有的网络信息。 在HUB组网时,Wireshark不仅能够捕获到自己网 卡上的数据收发情况,而且同时能捕获到其他主 机之间的通信状况使用须知 需要硬件支持(续) Switch 由于Switch是一种带宽独享的设备,图中PC1与 PC2的数据交互,除“广播信息”外,不会发送 到wireshark主机。此时,Wireshark主机只能捕 获到自己网卡上的数据收发使用须知 需要硬件支持(
4、续) 按需使用 目前以太网组网几乎已经清一色的变成交换机, 如果此时如果要使用Wireshark来捕获其他主机之 间的通信,必须对交换机进行配置,使得正常通 信的端口之间数据也能“复制”到捕获端口 如果局域网是由HUB组成的,那使用起来就比较 简单。但需要注意的是:由于传统的HUB端口带 宽多为10M,如果以太网数据流量较大,请慎用 ,以免对网络造成影响使用须知 端口镜像 Mirror 这是一个交换机监控、管理中常用的一个功能。 需要指定源端口和目的端口,源端口所有的收/发 信息都会被复制到目的端口。 mirror session 1 source interface both | tx |
5、rx mirror session 1 destination interface *被镜像端口可以同时指定多个使用须知 端口镜像(续) Show mirror session课程内容概述使用须知软件使用实用案例本章小结软件使用 软件使用 WireShark的软件功能是非常强大的,所有的功 能细节有成百上千,但我们常用的功能无外乎如 下几种: 捕获 查看 过滤 编辑软件使用 软件使用捕获 WireShark开始捕获前需要进行必要的设置: 1、Captureinterface中指定相应的网卡 2、同时也可以进入Options选项中自定义参数软件使用 软件使用捕获(续) 确认相关的网卡之后,wir
6、eshark会自动开始抓包 使用工具栏前5个按钮可以控制其“开始”“结束 ”软件使用 软件使用查看 Wireshark的查看与捕获是同一窗口。输出内容中 分为三个区域: 数据包列表、当前包的协议信息、十六进制详情软件使用 软件使用查看(续) 数据包列表 数据捕获时,是以帧/包为单位的,每个单位在 list中就是一个条目,按照时间先后排列显示 每个list条目中包含地址、协议类型等简要信息 当前窗口中默认显示最近更新的帧/包的信息 不同的帧/包可以自定义不同的颜色,方便阅读软件使用 软件使用查看(续) 当前帧/包的详细协议信息 对于当前选中的帧/包,会按照OSI七层模型的顺 序,以目录的形式详细
7、显示该帧/包的详细情况 wireshark会对每个展开项做出解释,包括协议 、参数等等;要读懂这些信息,必须要求对相关 原理有详尽理解和掌握软件使用 软件使用查看(续) 十六进制详情 这部分内容相当于是,当前选中的帧/包的物理 层信息,可读性较差软件使用 软件使用查看(续) 阅读列表信息,可以从各个帧/包的先后顺序中, 看出协议的工作原理,甚至进行故障的初步定位 当前帧/包的详细协议信息,是对列表信息的细化 ,可用于疑似故障的进一步定位。实际上使用 Wireshark等抓包软件的大部分工作都是在这里 十六进制代码制度性比较差,但可以用来比较两 个帧/包是否完全相同软件使用 软件使用过滤 过滤F
8、ilter 捕获执行的时候,信息量通常非常大;其中真正 有用的信息确很少,此时就有必要加入Filter功能 来减少干扰信息 在使用Filter功能时,可以先设定Filter再进行抓包 ;也可以先抓包,再进行filter过滤软件使用 软件使用过滤(续) 先过滤再捕获 可以有效减少捕获信息的数量,有利于实时观察 ;同时,也有利于减少Wireshark主机的存储空间 占用 但这种方式可能会遗漏一些潜在的重要信息 先捕获再过滤 好处是可以确保捕获到所有的数据信息 缺点是wireshark的存储空间可能会很快被耗尽; 同时由于大量干扰信息的存在,对于阅读很不利 根据实际需要来选择过滤的方式软件使用 软件
9、使用过滤(续) 要打开过滤功能,无论是哪种方式,可直接在 Wireshark主界面的Filter栏中直接填写 不同于其他的抓包软件,Wireshark的Filter是使 用表达式来编写的,虽然入手较困难,但应用起 来非常灵活,功能很强大,推荐使用 这些表达式的主要分为两部分: 常见函数 逻辑关系软件使用 软件使用过滤规则 常见函数 eth 只显示以太网帧 eth.addr = AA:BB:CC:DD:EE:FF 只显示源或目的MAC地址为的以太网帧 eth.src / eth.dst =AA:BB:CC:DD:EE:FF 与eth.addr类似,可以具体指定源、目的地址软件使用 软件使用过滤规
10、则(续) 常见函数 ip 只显示IP包 ip.addr = A.B.C.D 只显示源或目的地址为的IP包 ip.src / ip.dst = A.B.C.D 与ip.addr类似,可以具体指定源、目的地址 ip.host = 相比于ip.addr,可以支持域名软件使用 软件使用过滤规则(续) 常见函数 tcp 只显示TCP报文 tcp.port = Number 只显示源或目的端口为的TCP报文 tcp.srcport / tcp.dstport = Number 与tcp.port类似,可以具体指定源、目的端口udp的函数与tcp的类同软件使用 软件使用过滤规则(续) 常见函数 http 只
11、显示http的报文,tcp.dstport = 80 telnet 只显示telnet的报文,tcp.dstport = 23 dhcp 只显示DHCP的报文 arp 只显示ARP的报文 软件使用 软件使用过滤规则(续) 逻辑关系 某些函数需要指定参数的,可以按照下面的符号 来确立关系,分别为等于、不等于、大于/小于、 不小于/不大于= != / = / =软件使用 软件使用过滤规则(续) 逻辑关系 有些时候,过滤需要多个函数来联合定义,不同 的函数之间可以使用如下的关系来定义,分别是 与、否、或,当然“括号”是用于辅助的and not | ()软件使用 软件使用过滤规则(续) 举例 eth.
12、addr = 11:22:33:44:55:66 ip.src = 1.2.3.4 and ip.dst = 4.3.2.1 not arp and !(udp.port = 53) tcp.port = 69 | udp.port = 69看看这些Filtre分别是什么含义?软件使用 软件使用过滤规则 要打开过滤功能,无论是哪种方式,可直接在 Wireshark主界面的Filter栏中直接填写 不同于其他的抓包软件,Wireshark的Filter是使 用表达式来编写的,虽然入手较困难,但应用起 来非常灵活,功能很强大,推荐使用 这些表达式的主要分为两部分: 常见函数 逻辑关系软件使用 软件
13、使用编辑 前面介绍的内容都是如何捕获网络上现成的数据 ,而“编辑”是指按照特定的要求来制造一个/组 报文。并通过以太网接口发送到网络上 编辑功能通常用于测试网络设备对某种特殊数据 报文的反应 大多数的数据报文结构非常复杂,其中包含了大 量的参数域,对于初学者而言,要凭空编辑一个 指定的报文,难度非常高 通常我们先捕获一个类似的数据帧/包,然后再根 据需要对其进行修改软件使用 软件使用编辑(续) Wireshark暂时还不支持数据帧/包的编辑功能, 需要时可以使用其他的收费软件,如:Sniffer、 Etherpek等 大多数的抓包分析应用中,捕获、查看、过滤功 能足矣课程内容概述使用须知软件使
14、用实用案例本章小结实用案例 数据包比较 某企业进行宽带接入组网,使用的核心技术是 NAT,但在进行静态端口映射的时候发现,外网 的用户根本无法访问内网服务器,同时,路由器 配置和其他状态来说都是正常的 可以使用Wireshark分别在路由器内网和外网进行 抓包,观察路由器是否正常接收到数据,并且通 过比对,判断路由器是否正常处理实用案例 协议流程跟踪 某用户使用路由器充当DHCP服务器,但链接并 设置完成之后发现,用户根本就无法“自动获取 IP地址”,可以将Wireshark接入网络中,跟踪 DHCP报文的交互流程,与协议原理比对之后可 以判断问题在哪里实用案例 过滤设置 在前面的两个实验中,
15、分别使用合适的Filtre,减 少捕获信息的量,提高信息的可读性实用案例 长时间/大量抓包 某网络在运行时总是出现奇怪现象,每隔两天左 右就会出现网速很慢的情况。 由于时间没有明显规律,所以只能持续抓包;且 需要捕获的数据也没有规律,无法应用Filter;且 抓取的所有信息都要保存下来,只用内存空间显 然是不够的。实用案例 长时间/大量抓包(续) 在CaptureOptions中,可以设定存储成多个 文件,可以根据文件大小,也可以根据时间来设 定 不影响结果的前提下,应尽可能的使用Filter功能 来减小数据量实用案例 思考 有一台设置好可以访问internet网络的PC主机, 正常开机后。用户使用Foxmail接收了邮件,请分 析一下该过程中,PC主机先后与哪些设备发生了 联系,同时分别是些什么报文? 把你的分析结果写下来。 使用Wireshark进行捕获,然后与你的分析结果比 对一下,是否相同?课程内容概述使用须知软件使用实用案例本章小结本章小结 小结 Wireshark是一个抓包工具,在功能上与Sniffer、 Etherpeek没有本质差别 本文介绍的捕获、查看、过滤为重点内容,必须 完全掌握 工具是死的,人是活的。学会使用
