Wireshark的数据包截获及协议分析Word文档下载推荐.docx

Wireshark的数据包截获及协议分析Word文档下载推荐.docx

《Wireshark的数据包截获及协议分析Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《Wireshark的数据包截获及协议分析Word文档下载推荐.docx（6页珍藏版）》请在冰豆网上搜索。

在库的高层是一个动态链接库（packet.dll）和一个静态链接库（wpcap.lib），这两个库的作用是将俘获应用程序同包俘获驱动程序相隔离，屏蔽低层的实现细节，避免在程序中直接使用系统调用或IOCTL命令，为应用程序提供系统独立的高层接口（API函数），从而在Windows9x、Windows2000/XP系统下,对驱动程序的系统调用都是相同的。

使用Winpcap，我们可以编写出用于网络协议实验分析、故障诊断、网络安全和监视等各种应用程序，这方面的一个典型例子就是可在Windows系统下运行的Wireshark，Wireshark和Winpcap都可从网上下载，通过Wireshark我们可以从网上拦截数据包并对数据包进行网络协议分析，下面介绍一个分析实例。

2数据包的截获与链路层协议分析

Wireshark安装完成后，单击它的Capture→Start菜单，打开俘获选项对话框，在这些选项中比较重要的是设置混杂模式（Promiscuousmode）选项，选中这个选项使得网卡并不检验数据帧的目的地址，从而它可以截获网上的任何帧，其他选项可用默认设置，再单击OK按钮即可进行数据包截获，

截获的数据帧分别在Wireshark的包列表（PacketList）、包细节（PacketDetails）和包字节（PacketBytes）三个窗口中显示。

依次显示了这三个窗口的部分内容，最上面的包列表窗口按俘获的顺序显示出帧的一般信息,如被俘获的时间、包的协议类型等。

当应用层的数据通过网络协议栈（如TCP/IP协议栈）到达物理层传输时，各层协议都要在数据包上封装一个报头，而中间的包细节窗口就从低层到高层显示出数据包的各层协议信息，在下面的包字节窗口上，则以十六进制和ASCII码显示了被截获数据包的详细内容。

1.数据链路层的分析

数据链路层一般采用以太网的IEEE802.3标准。

其中数据部分包括了更高层的协议内容，由于前导码被网络硬件用于接收信号的同步，因此Wireshark已从数据帧中去掉了前导码，在的包细节窗口中，显示出帧的头部信息，可以读出这个帧的目的物理地址为00:

90:

1a:

40:

2a:

d0,源物理地址为00:

e0:

4c:

82:

22:

6b。

帧类型是0x8864，它表示PPPOE会话，在ADSL宽带网接入中，数据链路层通常要包括这种在以太网上的点到点协议（PPPOE）。

包字节窗口中紧跟着高亮显示的帧头部就是帧的数据区和CRC校验码，并未显示帧数据区的全部。

3网络层协议的分析

网络层协议在TCP/IP中包括网间互联协议（IP）消息控制协议、（ICMP）路由信息协议、（RIP）等，它要实现地址解析及路由管理等功能，IP协由议中的数据报格式可以分析出版本号为4，即这个数据报为IPv4，报头长度20字节，服务类型00表示是普通数据包，数据报总长度886字节，标识为0x3e06，当数据报需要分片传送时，这个域用来指出接收到的数据片属于哪一个数据报，标志04表示该报文不分片，片偏移为0，生存时间128，协议域06表示上层协议是TCP，头部校验和0xcce3表示正确，源IP地址是220.166.24.211，目的IP地址为202.108.44.178，包字节窗口中的数据区显示了上层协议的TCP段内容。

4传输层协议的分析

TCP/IP的传输层协议包括用户数据报协议（UDP）、传输控制协议（TCP）等，TCP要在IP服务上提供可靠的、面向连接的字节流传输，它是以数据段（segment）的形式交换数据，忽略选项后的数据段格式从包细节窗口可看出，TCP源端口号1140，目的端口号80，其中80是HTTP协议的保留端口号，在包字节窗口中显示出序列号的实际值是0x000af00b，但它等于本次连接的初始序号加上报文第一个字节在整个数据流中的序号，因此包细节窗口显示了相对于建立连接的初始握手序列号的相对值1，图中的下一序列号847就意味着数据区长度是846字节。

同理确认号的相对值也为1，头部长度20字节，标志位0x0018指示ACK标志为1，表明确认号有效，PSH为1表示接收方将数据不做缓存，将接收到的数据立即传输给应用层。

窗口字段指示发送方想要接收的最大字节数为8484，这个域用于进行流量控制，校验和0x1168表明正确。

协议头部以后显示了本层协议的数据区。

5应用层协议的分析

TCP/IP的应用层协议通常包括文件传输协议（FTP）、简单邮件传输协议（SMTP）、超文本传输协议（HTTP）等等，使用Wireshark也可方便地对它们进行分析，例如对于HTTP协议，可查看客户端的GET、POST等请求方法、请求头内容、请求数据，服务器端应答的状态行、响应头、响应数据等，具体分析方法与上面类似，这里不再重复。

ASSIC

第0～32号及第127号（共34个）是控制字符或通讯专用字符，如控制符：

LF（换行）、CR（回车）、FF（换页）、DEL（删除）、BEL（振铃）等；

通讯专用字符：

SOH（文头）、EOT（文尾）、ACK（确认）等；

第33～126号（共94个）是字符，其中第48～57号为0～9十个阿拉伯数字；

65～90号为26个大写英文字母，97～122号为26个小写英文字母，其余为一些标点符号、运算符号等。

三次握手抓包过程分析

首先来一张三次握手经典图解

下面使用wireshark实际分析三次握手过程

1.打开wireshark，打开浏览器输入网址

2.停止捕获，红方块。

不停止的话后面一直抓一直抓......；

3.在封包列表中可以找到下图数据：

在图中可以看到，访问

下面进行三个数据包的详细分析。

首先对封包详细信息分析说明

选中一条TCP协议数据包，它的封包详细信息如下图：

第一次握手数据包，可以看到客户端发送一个TCP，标志位为SYN，序列号为0，代表客户端请求建立连接。

如下图：

第二次握手数据包，可以看到服务器发回确认包,标志位为SYN,ACK.将确认序号ACK设置为1.如下图：

第三次握手数据包，可以看到客户端再次发送确认包（ACK），标志位为ACK，将sequence+1.如下图：

（注：

可编辑下载，若有不当之处，请指正，谢谢!

）