第 1 章介绍
1.1. 什么是Wireshark
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级)
过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。
1.1.1. 主要应用
下面是Wireshark一些应用的举例:
?网络管理员用来解决网络问题
?网络安全工程师用来检测安全隐患
?开发人员用来测试协议执行情况
?用来学习网络协议
除了上面提到的,Wireshark还可以用在其它许多场合。
1.1.
2. 特性
?支持UNIX和Windows平台
?在接口实时捕捉包
?能详细显示包的详细协议信息
?可以打开/保存捕捉的包
?可以导入导出其他捕捉程序支持的包数据格式
?可以通过多种方式过滤包
?多种方式查找包
?通过过滤以多种色彩显示包
?创建多种统计分析
?…还有许多
不管怎么说,要想真正了解它的强大,您还得使用它才行
图 1.1. Wireshark捕捉包并允许您检视其内
1.1.3. 捕捉多种网络接口
Wireshark 可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。想了解支持的所有网络接口类型,可以在我们的网站上找到https://www.doczj.com/doc/012007172.html,/CaptureSetup/NetworkMedia.
1.1.4. 支持多种其它程序捕捉的文件
Wireshark可以打开多种网络分析软件捕捉的包,详见???
1.1.5. 支持多格式输出
Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见???
1.1.6. 对多种协议解码提供支持
可以支持许多协议的解码(在Wireshark中可能被称为解剖)???
1.1.7. 开源软件
Wireshark是开源软件项目,用GPL协议发行。您可以免费在任意数量的机器上使用它,不用担心授权和付费问题,所有的源代码在GPL框架下都可以免费使用。因为以上原因,人们可以很容易在Wireshark上添加新的协议,或者将其作为插件整合到您的程序里,这种应用十分广泛。
1.1.8. Wireshark不能做的事
Wireshark不能提供如下功能
?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情(名称解析除外,但您也可以禁止解析)。
1.2. 系通需求
想要安装运行Wireshark需要具备的软硬件条件...
1.2.1. 一般说明
?给出的值只是最小需求,在大多数网络中可以正常使用,但不排除某些情况下不能使用。[4]
?在繁忙的网络中捕捉包将很容塞满您的硬盘!举个简单的例子:在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据!在此类网络中拥有高速的CPU,大量的内存和足够的磁盘空间是十分有必要的。
?如果Wireshark运行时内存不足将会导致异常终止。可以在
https://www.doczj.com/doc/012007172.html,/KnownBugs/OutOfMemory察看详细介绍以及解决办法。
?Wireshark作为对处理器时间敏感任务,在多处理器/多线程系统环境工作不会比单独处理器有更快的速度,例如过滤包就是在一个处理器下线程运行,除了以下情况例外:在捕捉包时“实时更新包列表”,此时捕捉包将会运行在一个处理下,显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5]
1.2.2. Microsoft Windows
?Windows 2000,XP Home版,XP Pro版,XP Tablet PC,XP Media Center, Server 2003 or Vista(推荐在XP下使用)
?32-bit奔腾处理器或同等规格的处理器(建议频率:400MHz或更高),64-bit处理器在WoW64仿真环境下-见一般说明
?128MB系统内存(建议256Mbytes或更高)
?75MB可用磁盘空间(如果想保存捕捉文件,需要更多空间) 800*600(建议1280*1024或更高)分辨率最少65536(16bit)色,(256色旧设备安装时需要选择”legacy GTK1”)
?网卡需求:
o以太网:windows支持的任何以太网卡都可以
o无线局域网卡:见MicroLogix support list, 不捕捉802.11包头和无数据桢。
o其它接口见:https://www.doczj.com/doc/012007172.html,/CaptureSetup/NetworkMedia
说明
?基于以下三点原因,将不会对旧版Windows提供支持:没有任何开发人员正在使用那些操作系统,这将使支持变得更加困难,Wireshark运行所依赖的库文件(如GTK,WinPCap等)也放弃对它们的支持。同样,微软也放弃了对它们的技术支持。
?Windows 95,98和ME不能运行Wireshark。已知的最后一个可以运行在以上平台的版本是Ethereal0.99.0(需要安装WinPCap3.1),你依然可以使用从: https://www.doczj.com/doc/012007172.html,/download.html获得。顺便提一下:微软于2006年1月11日停止对98/ME支持。
?Windows NT 4.0今后将无法运行Wireshark.最有一个已知版本是Wireshark0.99.4(需安装自带的WinPCap3.1),你依然可以从:https://www.doczj.com/doc/012007172.html,/wireshark/wireshark-setup-0.99.4.exe得到它。顺便提一下:微软于2005年12月31日停止对NT 4.0的支持。
?Windows CE 及嵌入版windows(NT/XP)不被支持。
?64-bit处理器运行Wireshark需要在32bit仿真环境下(称作WoW64),最低需要安装WinPCap4.0。
?支持多显示(不知道是显示其还是监视器)安装,但会遇到一些不可预料的问题。
1.2.3. Unix/Linux
Wireshark目前可以运行在许多UNIX平台,系统可以对照上面Windows下的指标。二进制包最少在以下平台可用:?APPle Mac OSX
?Debian GNU/Linux
?FreeBSD
?NetBSD
?OpenPKG
?Red Hat Fedora/Enterprise Linux
?rPath Linux
?Sun Solaris/i386
?Sun Solaris/Sparc
如果二进制包在您的平台无法使用,你可以下载源文件并尝试编译它。希望您能发送邮件到
wireshark-dev[AT]https://www.doczj.com/doc/012007172.html, .分享您的经验。
1.3. 从哪里可以得到Wireshark
你可以从我们的网站下载最新版本的Wireshark https://www.doczj.com/doc/012007172.html,/download.html.网站上您可以选择适合您的镜像站点。
Wireshark通常在4-8周内发布一次新版本
如果您想获得Wireshark发布的消息通知,你可以订阅Wireshark-announce邮件列表。详见第 1.6.4 节“邮件列表”
1.4. Wiresahrk简史[6]
1997年以后,Gerald Combs 需要一个工具追踪网络问题并想学习网络知识。所以他开始开发Ethereal (Wireshark 项目以前的名称) 以解决以上的两个需要。
Ethereal是第一版,经过数次开发,停顿,1998年,经过这么长的时间,补丁,Bug报告,以及许多的鼓励,0.2.0版诞生了。Ethereal就是以这种方式成功的。
此后不久,Gilbert Ramirez发现它的潜力,并为其提供了底层分析
1998年10月,Guy Harris正寻找一种比TcpView更好的工具,他开始为Ethereal进行改进,并提供分析。
998年以后,正在进行TCP/IP教学的Richard Sharpe 关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行,新协议支持应该很方便被添加。所以他开始从事Ethereal的分析及改进。
从那以后,帮助Ethereal的人越来越多,他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器,并为团队提供了改进回馈。
2006年项目Moved House(这句不知道怎么翻译)并重新命名为:Wireshark.
1.5. Wireshark开发维护
Wireshark最初由Gerald Combs开发。目前由Wireshark team进行进一步开发和维护。Wireshark team是一个由修补bug提高Wireshark功能的独立成员组成的松散组织。
有大量的成员为Wireshark提供协议分析。同时我们也希望这些活动能持续机芯。通过查看Wireshark帮助菜单下的About,你可以找到为Wireshark提供代码的人员名单,或者你也可以通过Wireshark 网站的authors页面找到。
Wireshark 是开源软件项目,发布遵循GNU General Public Licence (GPL协议),所有源代码可以在GPL框架下免费使用。欢迎您修改Wireshark以便适合您的需要,如果您可以提供您的改进给Wireshark team ,我们将不胜感激。
为Wireshark Team 提供您的改进建议,有以下益处:
?如果其他人发现您提供的改进十分有用会肯定它们的价值,您将会得知你曾像Wireshark team 一样帮助过他人
?The developers of Wireshark might improve your changes even more, as there's always room for improvement. Or they may implement some advanced things on top of your code, which can be useful for yourself too.
?The maintainers and developers of Wireshark will maintain your code as well, fixing it when API changes or other changes are made, and generally keeping it in tune with what is happening with Wireshark.
So if Wireshark is updated (which is done often), you can get a new Wireshark version from the website and your changes will already be included without any effort for you.
Wireshar 源代码和二进制kits (二进制工具包?)可以根据自己的平台对应下载,网站是:
https://www.doczj.com/doc/012007172.html,/download.html.
1.6. 汇报问题和获得帮助
如果您在使用中碰到了问题,或者您需要Wireshark的帮助,有以下几种可能让您有兴趣的方法(当然,还包括这本书)。
1.6.1. 网站
通过访问https://www.doczj.com/doc/012007172.html,你将会发现关于Wireshark许多有用的信息。
1.6.
2. 百科全书
Wireshark Wiki (https://www.doczj.com/doc/012007172.html,)提供广泛的跟Wireshark以及捕捉包有关信息。你将会发现一些没有被包括在本书内信息,例如:wiki上有解释如何在交换网络捕捉包,同时我们正努力建立协议参考,等等。
最好的事情是,如果对某些知识有独到见解(比如您精通某种协议),您可以通过浏览器编辑它。
1.6.3. FAQ
最经常被问到的问题“Frequently Asked Questions”提供一个经常被问到的问题以及答案的列表。
Read The FAQ
在您发送任何邮件到邮件列表之前,确信您已经阅读了FAQ,因为这里面很可能已经提供了您想问的问题,答案。这将大大节约您的时间(记住,有很多人提交了大量的邮件)。
1.6.4. 邮件列表
下面的几个几个邮件列表,分别属于不同的主题:
Wireshark-users
这是一个Wireshark用户的列表,大家提交关于安装和使用Wireshark的问题,其它人(非常有用)提供的答案。(译者注:其他人当然也是指用户?)
wireshark-announce
这是一个关于程序发布信息的列表,通常每4-8周出现一次。
wireshark-dev
这是一个关于Wireshark开发的邮件列表,如果开始开发协议分析,可以从加入该列表
你可以通过网站https://www.doczj.com/doc/012007172.html,订阅每个邮件列表.简单点击网站左手边的邮件列表链接就可以。邮件同样在网站上可以看到存档。
提示
你可以搜索存档看看有没有人问过跟你一样的问题,或许您的问题已经有了答案。这样您就不必提交邮件以等待别人答复您了。
1.6.5. 报告问题
注意
在您提交任何问题之前,请确定您安装的是最新版本的Wireshark。
当您提交问题的时候,如果您提供如下信息将会对解决问题很有帮助。
1.Wireshark的版本,及其依赖的库的版本,如GTK+,等等。你可以通过Wireshark –v命令获得版本号。(估
计是UNIX/Linux平台)。
2.运行Wireshark的平台信息。
3.关于问题的详细描述。
4.如果您得到错误或者警告信息,拷贝错误信息的文本(以及在此之前或之后的文本,如果有的话),这样其他
人可能会发现发生问题的地方。请不要发送诸如:“I got a warning while doing x”[7],因为这样看起来不是个好主意。
不要发送大文件
不要发送过大的文件(>100KB)到邮件列表,在邮件中附加一个能提供足够数据的记事本就可以。大文件会让很多邮件列表里的那些对您的问题不感兴趣的用户感到恼怒。如果需要,你可以单独发送那些数据给对您问题真正感兴趣,要求您发送数据的人。
不要发送机密信息!
如果您发送捕捉数据到邮件列表,请确定它们不包含敏感或者机密信息,比如密码或者诸如此类的。
1.6.6. 在UNIX/Linux平台追踪软件错误
如果您发送捕捉数据到邮件列表,请确定它们不包含敏感或者机密信息,比如密码或者诸如此类的。
你可以通过如下命令获得追踪信息:
$ gdb `whereis wireshark | cut -f2 -d: | cut -d' ' -f2` core >&bt.txt
backtrace
^D
$
注意
在逐字输入第一行的字符![8]
注意
追踪是一个GDB命令。你可以在输完第一上以后输入它,但是会没有相应,^D命令(CTL+D)将会退出GDB命令。以上命令让你在当前目录得到一个名为bt.txt的文本文件,它包含您的bug报告。
注意
如果您缺少GDB,您必须检查您的操作系统的调试器。
你可以发送追踪邮件到wireshark-dev[AT]https://www.doczj.com/doc/012007172.html,邮件列表
1.6.7. 在Windows平台追踪软件错误
Windows下无法包含符号文件(.pdb),它们非常大。因此不太可能创建十分有意义的追踪文件。你将汇报软件错误就像前面描述的其他问题一样。(这句不尽人意)
[3] 译者注:因为不是入侵检测之用,所以不会将入侵检测和普通通信区别对待,但是都会体现在网络包里面,如果您有足够的经验,或许能通过监视网络包发现入侵检测
[4] 译者注:原文“The values below are the minimum requirements and only "rules of thumb" for use on a moderately used network”,其中”rules of thumb”中译名应该是拇指规则,但网上关于拇指规则解释莫衷一是,大致意思是说:大多数情况下适用,但并非所有情况。这里翻译的有点别扭
[5] 译者注:我对这句话的理解是,正如播放电影一样,高性能的处理器只会增强显示效果,您并不需要将原来30分钟的影片10分钟之内看完。当然,对减少延时还是有作用的。但是感觉这句有点阅读困难,可能翻译的有点问题.
[6] 本段因为有很多协议,程序开发方面的术语,翻译得比较糟糕
[7] 译者注:那句话的意思是,我在XX时碰到一个警告信息
[8] 译者注:原文是:"Type the characters in the first line verbatim! Those are back-tics there!",Those are back-tics there!不知道是什么意思,back-tics=后勤抽搐?熟悉Linux的或许知道
第 2 章编译/安装Wireshark
2.1. 须知
万事皆有开头,Wireshark也同样如此。要想使用Wireshark,你必须:
?获得一个适合您操作系统的二进制包,或者
?获得源文件为您的操作系统编译。
目前,只有两到三种Linux发行版可以传送Wireshark,而且通常传输的都是过时的版本。至今尚未有UNIX版本可以传输Wireshark . Windows的任何版本都不能传输Wireshark.基于以上原因,你需要知道从哪能得到最新版本的Wireshark以及如何安装它。
本章节向您展示如何获得源文件和二进制包,如何根据你的需要编译Wireshark源文件。
以下是通常的步骤:
1.下载需要的相关包,例如:源文件或者二进制发行版。
2.将源文件编译成二进制包(如果您下载的是源文件的话)。这样做做可以整合编译和/或安装其他需要的包。
3.安装二进制包到最终目标位置。
2.2. 获得源
你可以从Wireshark网站https://www.doczj.com/doc/012007172.html,.同时获取源文件和二进制发行版。选择您需要下载的链接,然后选择源文件或二进制发行包所在的镜像站点(尽可能离你近一点的站点)。
下载所有需要的文件!
一般来说,除非您已经下载Wireshark,如果您想编译Wireshark源文件,您可能需要下载多个包。这些在后面章节会提到。
注意
当你发现在网站上有多个二进制发行版可用,您应该选择适合您平台的版本,他们同时通常会有多个版本紧跟在当前版本后面,那些通常时拥有那些平台的用户编译的。
基于以上原因,您可能想自己下载源文件自己编译,因为这样相对方便一点。
2.3. 在UNIX下安装之前
在编译或者安装二进制发行版之前,您必须确定已经安装如下包:
1.GTK+, The GIMP Tool Kit.
您将会同样需要Glib.它们都可以从https://www.doczj.com/doc/012007172.html,获得。
2.Libpcap , Wireshark用来捕捉包的工具
您可以从https://www.doczj.com/doc/012007172.html,获得。
根据您操作系统的不同,您或许能够安装二进制包,如RPMs.或许您需要获得源文件并编译它。
如果您已经下载了GTK+源文件,例 2.1 “从源文件编译GTK+”提供的指令对您编译有所帮助。
例 2.1. 从源文件编译GTK+
gzip -dc gtk+-1.2.10.tar.gz | tar xvf -
./configure
make install
注意
您可能需要修改例 2.1 “从源文件编译GTK+”中提供的版本号成对应您下载的GTK+版本。如果GTK的目录发生变更,您同样需要修改它。,tar xvf 显示您需要修改的目录。
注意
如果您使用Linux,或者安装了GUN tar,您可以使用tar zxvfgtk+-1.2.10.tar.gz命令。同样也可能使用gunzip –c或者gzcat而不是许多UNIX中的gzip –dc
注意
如果您在windows中下载了gtk+ 或者其他文件。您的文件可能名称为:gtk+-1_2_8_tar.gz
如果在执行例 2.1 “从源文件编译GTK+”中的指令时有错误发生的话,你可以咨询GTK+网站。
如果您已经下载了libpcap源,一般指令如例 2.2 “编译、安装libpcap”显示的那样会帮您完成编译。同样,如果您的操作系统不支持tcpdump,您可以从tcpdump网站下载安装它。
例 2.2. 编译、安装libpcap
gzip -dc libpcap-0.9.4.tar.Z | tar xvf -
cd libpcap-0.9.4
./configure
make
make install
注意
Libpcap的目录需要根据您的版本进行修改。tar xvf命令显示您解压缩的目录。
RedHat 6.x及其以上版本环境下(包括基于它的发行版,如Mandrake),您可以直接运行RPM安装所有的包。大多数情况下的Linux需要安装GTK+和Glib.反过来说,你可能需要安装所有包的定制版。安装命令可以参考例 2.3 “在RedHat Linux 6.2或者基于该版本得发行版下安装需要的RPM包”。如果您还没有安装,您可能需要安装需要的RPMs。
例 2.3. 在RedHat Linux 6.2或者基于该版本得发行版下安装需要的RPM包
cd /mnt/cdrom/RedHat/RPMS
rpm -ivh glib-1.2.6-3.i386.rpm
rpm -ivh glib-devel-1.2.6-3.i386.rpm
rpm -ivh gtk+-1.2.6-7.i386.rpm
rpm -ivh gtk+-devel-1.2.6-7.i386.rpm
rpm -ivh libpcap-0.4-19.i386.rpm
注意
如果您使用RedHat 6.2之后的版本,需要的RMPs包可能已经变化。您需要使用正确的RMPs包。
在Debian下您可以使用apt-ge命令。apt-get 将会为您完成所有的操作。参见例 2.4 “在Deban下安装Deb”
例 2.4. 在Deban下安装Deb
apt-get install wireshark-dev
2.4. 在UNIX下编译Wireshark
如果在Unix操作系统下可以用如下步骤编译Wireshark源代码:
1.如果使用Linux则解压gzip'd tar文件,如果您使用UNIX,则解压GUN tar文件。对于Linux命令如下:
tar zxvf wireshark-0.99.5-tar.gz
对于 UNIX版本,命令如下
gzip -d wireshark-0.99.5-tar.gz
tar xvf wireshark-0.99.5-tar
注意
使用管道命令行 gzip –dc Wireshark-0.99.5-tar.gz|tar xvf 同样可以[9]
注意
如果您在Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。
2.将当前目录设置成源文件的目录。
3.配置您的源文件以编译成适合您的Unix的版本。命令如下:
./configure
如果找个步骤提示错误,您需要修正错误,然后重新configure.解决编译错误可以参考第 2.6 节“解决UNIX 下安装过程中的问题”
4.使用make命令将源文件编译成二进制包,例如:
make
5.安装您编译好的二进制包到最终目标,使用如下命令:
make install
一旦您使用make install安装了Wireshark,您就可以通过输入Wireshark命令来运行它了。
2.5. 在UNIX下安装二进制包
一般来说,在您的UNIX下安装二进制发行包使用的方式根据您的UNIX的版本类型而各有不同。例如AIX下,您可以使用smit安装,Tru64 UNIX您可以使用 setld 命令。
2.5.1. 在Linux或类似环境下安装RPM包
使用如下命令安装Wireshark RPM包
rpm -ivh wireshark-0.99.5.i386.rpm
如果因为缺少Wireshark依赖的软件而导致安装错误,请先安装依赖的软件,然后再尝试安装。REDHAT下依赖的软件请参考例 2.3 “在RedHat Linux 6.2或者基于该版本得发行版下安装需要的RPM包”
2.5.2. 在Debian环境下安装Deb包
使用下列命令在Debian下安装Wireshark
apt-get install Wireshark
apt-get 会为您完成所有的相关操作
2.5.
3. 在Gentoo Linux环境下安装Portage
使用如下命令在Gentoo Linux下安装wireshark以及所有的需要的附加文件
USE="adns gtk ipv6 portaudio snmp ssl kerberos threads selinux" emerge wireshark
2.5.4. 在FreeBSD环境下安装包
使用如下命令在FreeBSD下安装Wireshark
pkg_add -r wireshark
pkg_add会为您完成所有的相关操作
2.6. 解决UNIX下安装过程中的问题[10]
安装过程中可能会遇到一些错误信息。这里给出一些错误的解决办法:
如果configure那一步发生错误。你需要找出错误的原因,您可以检查日志文件config.log(在源文件目录下),看看都发生了哪些错误。有价值的信息通常在最后几行。
一般原因是因为您缺少GTK+环境,或者您的GTK+版本过低。configure错误的另一个原因是因为因为缺少libpcap(这就是前面提到的捕捉包的工具)。
另外一个常见问题是很多用户抱怨最后编译、链接过程需要等待太长时间。这通常是因为使用老式的sed命令(比如solaris下传输)。自从libtool脚本使用sed命令建立最终链接命令,常常会导致不可知的错误。您可以通过下载最新版本的sed解决该问题https://www.doczj.com/doc/012007172.html,/GNU/sed.html.
如果您无法检测出错误原因。发送邮件到wireshark-dev说明您的问题。当然,邮件里要附上config.log以及其他您认为对解决问题有帮助的东西,例如make过程的追踪。
2.7. 在Windows下编译源
在Windows平台下,我们建议最好是使用二进制包直接安装,除非您是从事Wireshark开发的。如果想了解关于Windows下编译安装Wireshark,请查看我们的开发WIKI网站https://www.doczj.com/doc/012007172.html,/Development来了解最新的开发方面的文档。
2.8. 在Windows下安装Wireshark
本节将探讨在Windows下安装Wireshark二进制包。
2.8.1. 安装Wireshark
您获得的Wireshark二进制安装包可能名称类似Wireshark-setup-x.y.z.exe. Wireshark安装包包含WinPcap,所以您不需要单独下载安装它。
您只需要在https://www.doczj.com/doc/012007172.html,/download.html#releases下载Wireshark安装包并执行它即可。除了普通的安装之外,还有几个组件供挑选安装。
提示:尽量保持默认设置
如果您不了解设置的作用的话。
选择组件[11]
Wireshark(包括GTK1和GTK2接口无法同时安装):
如果您使用GTK2的GUI界面遇到问题可以尝试GTK1,在Windows下256色(8bit)显示模式无法运行GTK2.但是某些高级分析统计功能在GTK1下可能无法实现。
?Wireshark GTK1-Wireshark 是一个GUI网络分析工具
?Wireshark GTK2-Wireshark 是一个GUI网络分析工具(建议使用GTK2 GUI模组工具)
?GTK-Wimp-GTKWimp是诗歌GTK2窗口模拟(看起来感觉像原生windows32程序,推荐使用)
?TSshark-TShark 是一个命令行的网络分析工具
插件/扩展(Wireshark,TShark分析引擎):
?Dissector Plugins-分析插件:带有扩展分析的插件
?Tree Statistics Plugins-树状统计插件:统计工具扩展
?Mate - Meta Analysis and Tracing Engine (experimental):可配置的显示过滤引擎,参考https://www.doczj.com/doc/012007172.html,/Mate.
?SNMP MIBs: SNMP,MIBS的详细分析。
Tools/工具(处理捕捉文件的附加命令行工具
User’s Guide-用户手册-本地安装的用户手册。如果不安装用户手册,帮助菜单的大部分按钮的结果可能就是访问internet.
?Editcap - Editcap is a program that reads a capture file and writes some or all of the packets into another capture file. /Editcap是一个读取捕捉文件的程序,还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。(文件合并or插入?)?Text2Pcap - Text2pcap is a program that reads in an ASCII hex dump and writes the data into a libpcap-style capture file./Tex2pcap是一个读取ASCII hex,写入数据到libpcap个文件的程序。
?Mergecap - Mergecap is a program that combines multiple saved capture files into a single output file. / Mergecap是一个可以将多个播捉文件合并为一个的程序。
?Capinfos - Capinfos is a program that provides information on capture files. /Capinfos是一个显示捕捉文件信息的程序。
“Ad ditional Tasks”页
?Start Menu Shortcuts-开始菜单快捷方式-增加一些快捷方式到开始菜单
?Desktop Icon-桌面图标-增加Wireshark图标到桌面
?Quick Launch Icon-快速启动图标-增加一个Wireshark图标到快速启动工具栏
?Associate file extensions to Wireshark-Wireshark文件关联-将捕捉包默认打开方式关联到Wireshark Install WinPcap?”页
Wireshark安装包里包含了最新版的WinPcap安装包。
如果您没有安装WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。
?Currently installed WinPcap version-当前安装的WinPcap版本
?Install WinPcap x.x -如果当前安装的版本低于Wireshark自带的,该选项将会是默认值。
?Start WinPcap service "NPF" at startup -将WinPcap的服务NPF在启动时运行-这样其它非管理员用户就同样可以捕捉包了。
更多关于WinPcap的信息:
?Wireshark 相关https://www.doczj.com/doc/012007172.html,/WinPcap
?WinPcap官方网站:https://www.doczj.com/doc/012007172.html,
安装命令选项
您可以直接在命令行运行安装包,不加任何参数,这样会显示常用的参数以供交互安装。在个别应用中,可以选择一些参数定制安装:
?/NCRC禁止CRC校检
?/S静默模式安装或卸载Wireshark.注意:静默模式安装时不会安装WinPcap!
?/desktopicon安装桌面图标,/desktopicon=yes表示安装图标,反之则不是,适合静默模式。
?/quicklaunchicon将图标安装到快速启动工具栏,=yes-安装到工具栏,=no-不安装,不填按默认设置。
?/D设置默认安装目录($INSTDIR),首选安装目录和安装目录注册表键值,该选项必须设置到最后。即使路径包含空格
例 2.5.
wireshark-setup-0.99.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\Program Files\Foo
2.8.2. 手动安装WinPcap
注意
事先声明,Wireshark安装时会谨慎对待WinPcap的安装,所以您通常不必担心WinPcap。
下面的WinPcap仅适合您需要尝试未包括在Wireshark内的不同版本WinPcap。例如一个新版本的WinPcap发布了,您需要安装它。
单独的WinPcap版本(包括alpha or beta版)可以在下面地址下载到
?WinPcap官方网站:https://www.doczj.com/doc/012007172.html,
?https://www.doczj.com/doc/012007172.html, 镜像站点: https://www.doczj.com/doc/012007172.html,/security/packet-capture/winpcap
在下载页面您将会发现WinPcap的安装包名称通常类似于”auto-installer”。它们可以在NT4.0/2000/XP/vista下安装。
2.8.
3. 更新Wireshark
有时候您可能想将您的WinPcap更新到最新版本,如果您订阅了Wireshark通知邮件,您将会获得Wireshark新版本发布的通知,见第 1.6.4 节“邮件列表”
。
新版诞生通常需要8-12周。更新Wireshark就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动,也不会更改过去的默认设置
2.8.4. 更新WinPcap
WinPcap的更新不是十分频繁,通常一年左右。新版本出现的时候您会收到WinPcap的通知。更新WinPcap后需要重新启动。
警告
在安装新版WinPcap之前,如果您已经安装了旧版WinPcap,您必须先卸载它。最近版本的WinPcap安装时会自己卸载旧版。
2.8.5. 卸载Wireshark
你可以用常见方式卸载Wireshark,使用添加/删除程序,选择”Wireshark”选项开始卸载即可。
Wireshark卸载过程中会提供一些选项供您选择卸载哪些部分,默认是卸载核心组件,但保留个人设置和WinPcap. WinPcap默认不会被卸载,因为其他类似Wireshark的程序有可能同样适用WinPcap
2.8.6. 卸载WinPcap
你可以单独卸载WinPcap,在添加/删除程序选择”WinPcap”卸载它。
注意
卸载WinPcap之后您将不能使用Wireshark捕捉包。
在卸载完成之后最好重新启动计算机。
[9] 译者注:看到别人翻译Pipelin之类的,似乎就是叫管道,不知道是否准确
[10] 译者注:本人不熟悉UNIX/LINUX,这一段翻译的有点云里雾里,可能大家通过这部分想安装Wireshark会适得其反,那就对不住了。下面个人说一下UNIX/LINUX下安装方法。 UNIX/LINUX下安装时,有两种安装方式,1是下载源码包自己编译,这种方式的好处是因为下载源码包是单一的,可以自行加以修改,编译就是适合自己平台的了。 2、是利用已经做好的发行包直接安装,这种方法的好处是只要下载到跟自己平台对应的就可以,但缺点也在这里,不是每个平台都能找到合适的。不管是编译安装,还是使用发行包安装,都需要有一些有些基本基本支持。比如Linux下的GTK+支持,捕捉包时需要用的libpcap. 这一点可以参考第 2.3 节“在UNIX下安装之前”。编译的一般步骤是解压,编译,安装(tar zxvf Wireshark-0.99.5-tar.gz;make;make install).直接安装则是根据各自平台安装的特点。
[11] 涉及到过多的名次,软件又没有中文版,这里及以后尽量不翻译名称
第 3 章用户界面
3.1. 须知
现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍:?Wireshark的用户界面如何使用
?如何捕捉包
?如何查看包
?如何过滤包
?……以及其他的一些工作。
3.2. 启动Wireshark
你可以使用Shell命令行或者资源管理器启动Wireshark.
提示
开始Wireshark时您可以指定适当的参数。参见第 9.2 节“从命令行启动Wireshark”
注意
在后面的章节中,将会出现大量的截图,因为Wireshark运行在多个平台,并且支持多个GUI
Toolkit(GTK1.x/2x),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别,也不会导致理解上的困难。
3.3. 主窗口
先来看看图 3.1 “主窗口界面”,大多数打开捕捉包以后的界面都是这样子(如何捕捉/打开包文件随后提到)。图 3.1. 主窗口界面
和大多数图形界面程序一样,Wireshark主窗口由如下部分组成:
1.菜单(见第 3.4 节“主菜单”)用于开始操作。
2.主工具栏(见第
3.13 节“"Main"工具栏”)提供快速访问菜单中经常用到的项目的功能。
3.Fiter toolbar/过滤工具栏(见第 3.14 节“"Filter"工具栏”)提供处理当前显示过滤得方法。(见6.3:”浏
览时进行过滤”)
4.Packet List面板(见第 3.15 节“"Pcaket List"面板”)显示打开文件的每个包的摘要。点击面板中的单
独条目,包的其他情况将会显示在另外两个面板中。
5.Packet detail面板(见第 3.16 节“"Packet Details"面板”)显示您在Packet list面板中选择的包德更
多详情。
6.Packet bytes面板(见第 3.17 节“"Packet Byte"面板”)显示您在Packet list面板选择的包的数据,以
及在Packet details面板高亮显示的字段。
7.状态栏(见第 3.18 节“状态栏”)显示当前程序状态以及捕捉数据的更多详情。
注意
主界面的三个面版以及各组成部分可以自定义组织方式。见第 9.5 节“首选项”
3.3.1. 主窗口概述
Packet list和Detail 面版控制可以通过快捷键进行。表 3.1 “导航快捷键”显示了相关的快捷键列表。表 3.5 “"GO"菜单项”有关于快捷键的更多介绍
表 3.1. 导航快捷键
另外,在主窗口键入任何字符都会填充到filter里面。
3.4. 主菜单
Wireshark主菜单位于Wireshark窗口的最上方。图 3.2 “主菜单”提供了菜单的基本界面。
图 3.2. 主菜单
主菜单包括以下几个项目:
File
包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark 项.见第 3.5 节“"File"菜单”
Edit
包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)见第 3.6 节“"Edit"菜单”
View
控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点,……见第 3.7 节“"View"菜单”
GO
包含到指定包的功能。见第 3.8 节“"Go"菜单”
Capture
允许您开始或停止捕捉、编辑过滤器。见第 3.9 节“"Capture"菜单”
Analyze
包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。见第 3.10 节“"Analyze"
菜单”
Statistics
包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。见第 3.11 节
“"Statistics"菜单”
Help
包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”等等。见第 3.12 节“"Help"菜单”
本章链接介绍菜单的一般情况,更详细的介绍会出现在后续章节。
提示
你可以直接点击访问菜单项,也可以使用热键,热键显示在菜单文字描述部分。例如:您可以使用CTR+K打开捕捉对话框。
3.5. "File"菜单
WireSharkFile菜单包含的项目如表表 3.2 “File菜单介绍”所示
图 3.3. File菜单
表 3.2. File菜单介绍
3.6. "Edit"菜单
Wireshark的"Edit"菜单包含的项目见表 3.3 “Edit菜单项”图 3.4. "Edit"菜单
表 3.3. Edit菜单项
3.7. "View"菜单
表 3.4 “"View"菜单项”显示了Wireshar View菜单的选项图 3.5. "View"菜单
表 3.4. "View"菜单项
3.8. "Go"菜单
Wireshark "GO"菜单的内容见表 3.5 “"GO"菜单项”图 3.6. "GO"菜单
表 3.5. "GO"菜单项
3.9. "Capture"菜单
"Capture"菜单的各项说明见表 3.6 “"Capture"菜单项”图 3.7. "Capture"菜单
计 算 机 网 络Wireshark抓包分析报告
目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)
1. 使用wireshark获取完整的UDP报文 打开wireshark,设置监听网卡后,使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon,抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容,UDP作为一种面向无连接服务的运输协议,其报文格式相当简单。第一行中,Source port:64318是源端口号。第二行中,Destination port:53是目的端口号。第三行中,Length:34表示UDP报文段的长度为34字节。第四行中,Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符,其后的4f0e表示16进制表示的检验和,把它们换成二进制表示为:0100 1111 0000 1110. 从wireshark的抓包数据看出,我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时,它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程,主机端的UDP为此报文添加首部字段,并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手,以保证数据的可靠传输,同样访问我的腾讯微博主页,使用wireshark抓取的TCP报文,可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手
杭州迪普科技有限公司wireshark抓包应用指导说明书
修订记录
目录 1 WIRESHARK介绍 (5) 2 功能介绍 (5) 3 图形界面抓报文 (5) 3.1 选择网卡抓报文 (5) 3.2 显示报文抓取时间 (7) 3.3 WIRESHARK界面布局 (8) 3.4 报文过滤条件 (9) 3.4.1 常用过滤条件 (10) 3.4.2 WIRESHARK EXPRESSION (11) 3.4.3 高级过滤条件 (11) 3.4.4 WIRESHARK CAPTURE FILTER (14) 4 命令行抓报文 (15) 4.1 选择网卡 (15) 4.2 命令行过滤条件 (17) 4.3 常用过滤条件 (17) 5 批量转换报文格式 (18)
1Wireshark介绍 Wireshark 是开源网络包分析工具,支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark (https://www.doczj.com/doc/012007172.html,/download.html 。Wireshark通常在4-8周内发布一次新版本 2功能介绍 Wireshark支持图形和命令行两种抓报文方式 3图形界面抓报文 3.1选择网卡抓报文 第一步打开wireshark抓包软件,点击“Capture-->Interfaces”,如图3-1
图3-1选择网卡 第二步选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3 图3-2启动抓包
Wireshark图解教程(简介、抓包、过滤器)配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的 数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、 邮箱、msn、账号等的密码!! Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.doczj.com/doc/012007172.html,”网站时的截图。 1.MENUS(菜单) 2.SHORTCUTS(快捷方式) 3.DISPLAY FILTER(显示过滤器) 4.PACKET LIST PANE(封包列表) 5.PACKET DETAILS PANE(封包详细信息) 6.DISSECTOR PANE(16进制数据) 7.MISCELLANOUS(杂项)
1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: -"File"(文件)-"Edit"(编辑)-"View"(查看)-"Go"(转到)-"Capture"(捕获)-"Analyze"(分析)-"Statistics"(统计) -"Help"(帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKET LIST PANE(封包列表)
Wireshark抓包分析实验 若惜年 一、实验目的: 1.学习安装使用wireshark软件,能在电脑上抓包。 2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。 二、实验内容: 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文: IP报文分析: 从图中可以看出: IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符:0xd74b 标志:0x02 比特偏移:0 寿命:48 上层协议:TCP 首部校验和:0x5c12 源IP地址为:119.75.222.18 目的IP为:192.168.1.108
从图中可以看出: 源端口号:1891 目的端口号:8000 udp报文长度为:28 检验和:0x58d7 数据长度:20 bytes UDP协议是一种无需建立连接的协议,它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。
第一次握手: 从图中看出: 源端口号:56770 目的端口号:80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。
第二次握手: 从图中看出: 源端口号是:80 目的端口号为:56770 序列号为:0 ack为:1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。
第三次握手: 从图中看出: 源端口:56770 目的端口:80 序列号为:1 ACK为:1 首部长为:20bytes Acknowledgement为1表示包含确认的报文 所以,看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。
Wireshark的抓包及过滤规则实验 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。 Wireshark的优势: - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。 Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 实验一抓ARP包 一:安装并运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。 二:几分钟后就捕获到许多的数据包了,主界面如图所示:
如上图所示,可看到很多捕获的数据。 第一列是捕获数据的编号; 第二列是捕获数据的相对时间,从开始捕获算为0.000秒; 第三列是源地址,第四列是目的地址; 第五列是数据包的信息。 选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据 三:开始分析数据 在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮
截图(替换掉该图) 现在只有ARP协议了,其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。如下图所示: 截图(替换掉该图) 现在展开第一行。看到的结果如下: 截图(替换掉该图)
第一次实验:利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一,实验目的: 通过本次实验,学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能,熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二,实验环境: 操作系统为Windows 7,抓包工具为Wireshark. 三,实验原理: ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 四,验步骤: 1.确定目标地址:选择https://www.doczj.com/doc/012007172.html,作为目标地址。 2.配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp,如图 1- 1
图 1-1 3.启动抓包:点击【start】开始抓包,在命令提示符下键入ping https://www.doczj.com/doc/012007172.html,, 如图 1-2
图 1-2 停止抓包后,截取的数据如图 1-3 图 1-3 4,分析数据包:选取一个数据包进行分析,如图1- 4
图1-4 每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下: (1)诊断报文(类型:8,代码0;类型:0代码:0); (2)目的不可达报文(类型:3,代码0-15); (3)重定向报文(类型:5,代码:0--4); (4)超时报文(类型:11,代码:0--1); (5)信息报文(类型:12--18)。
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.doczj.com/doc/012007172.html,抓到的包与访问https://www.doczj.com/doc/012007172.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping https://www.doczj.com/doc/012007172.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing https://www.doczj.com/doc/012007172.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问https://www.doczj.com/doc/012007172.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问https://www.doczj.com/doc/012007172.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问https://www.doczj.com/doc/012007172.html, 的IP地址,DNS服务器210.45.176.18给出https://www.doczj.com/doc/012007172.html,的IP地址为210.45.176.3
Wireshark的捕捉过滤器和显示过滤器 Wireshark两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍: 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是: - 选择capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便 在今后的捕捉中继续使用这个过滤器。 - 点击开始(Start)进行捕捉。
语法: 例子:tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用"src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。Host(s): 可能的值:net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。
【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。 目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图:
用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧: 1、帧的解释 链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释: Frame 18:所抓帧的序号是11,大小是409字节 Ethernet :以太网,有线局域网技术,属链路层 Inernet Protocol:即IP协议,也称网际协议,属网络层 Transmisson Control Protocol:即TCP协议,也称传输控 制协议。属传输层 Hypertext transfer protocol:即http协议,也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。
2、分析上图中的http请求报文 报文分析: 请求行: GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现,报文里有对请求行字段的相关解释。该报文请求的是一个对象,该对象是图像。 首部行: Accept: */* Referer: https://www.doczj.com/doc/012007172.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码,文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理,浏览器的类型是Netscape浏览器;括号内 是相关解释 Host: https://www.doczj.com/doc/012007172.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一.实验目的 1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际,知行合一的学术精神。 二.实验原理 1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。 2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。 3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。 三.实验环境 1.系统环境:Windows 7 Build 7100 2.浏览器:IE8 3.Wireshark:V 1.1.2 4.Winpcap:V 4.0.2 四.实验步骤 1.Wireshark简介 Wireshark(原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的
相关知识……当然,有的人也会用它来寻找一些敏感信息。 值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1:计算机是如何连接到网络的? 一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。如图所示: 图一:网络连接时的部分数据包 如图,首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本,包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。 让我们来看一下数据包的传送过程:
实验一wireshark抓包工具使用[实验目的] 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能 通过学习,进一步理解协议及网络体系结构思想 [实验原理] Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 主要应用: 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 [实验内容] 下载WIRESHARK,学习工具的使用和功能。
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的 形式可以很方便的展现数据分布情况。
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTT PS,但是不能解密HTTPS,所以wireshark 看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark. Wireshark(网络嗅探抓包工具) v1.4.9 中文版(包含中文手册+主界面的操作菜单) 评分: 2.5 类别:远程监控大小:22M 语言:中文 查看详细信息>> wireshark 开始抓包 开始界面
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),用于过滤 2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项) 使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 过滤器有两种, 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。比如"Filter 102", Filter栏上就多了个"Filter 102" 的按钮。 过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP,只显示TCP协议。 2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。 5. 逻辑运算符为 AND/ OR
步骤1: 找到wireshark的安装路径:D:\Program Files (x86)\Wireshark,命令行切换到该目录下。 步骤2: 使用命令tshark.exe -D 查看网卡编号。 如: D:\Program Files (x86)\Wireshark>tshark.exe -D 1. \Device\NPF_{1E587492-BC16-4C6A-9B05-4665D9A08CDB} (Sinfor VPN virtual network adapter) 2. \Device\NPF_{CFB4DD68-8F62-4405-B22C-A731C551E37C} (Hillstone Virtual Network Adapter) 3. \Device\NPF_{6F9CDFD3-4D0C-4A20-A456-F7B41A4231CC} (Qualcomm Atheros Ar81xx series PCI-E Ethernet Controller) 4. \Device\NPF_{18A02C30-5D47-488A-9D1B-D21BFB150D6D} (Microsoft) D:\Program Files (x86)\Wireshark> 步骤3: 使用命令tshark.exe -i 网卡编号【抓包条件】-w 【具体写入文件】 如: D:\Program Files (x86)\Wireshark>tshark.exe -i 4 port 80 -c 100 -w c:/100.pcap Capturing on Microsoft 100 D:\Program Files (x86)\Wireshark>
Wireshark教程 一、界面 二、认识数据包 网络的7层次结构:物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况: 数据链路层以太网帧头部信息 MAC地址:是网卡的物理地址 前3组是表示生产厂家、后3组是厂家对网卡的编号 IP地址是我们定义的,可以随便更改 ARP协议就是用来对二者进行转换的
互联网层IP包头部信息 其它内容 三、过滤器设置 过滤器的区别 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢? 两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。 显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。 显示过滤器 snmp || dns || icmp//显示SNMP或DNS或ICMP封包。 ip.addr == 10.1.1.1//显示来源或目的IP地址为10.1.1.1的封包。 ip.src==172.16.1.102 //显示来源是172.16.1.102的数据包 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。 ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。 tcp.port == 25//显示来源或目的TCP端口号为25的封包。 tcp.dstport == 25//显示目的TCP端口号为25的封包。 tcp.flags//显示包含TCP标志的封包。 tcp.flags.syn == 0x02//显示包含TCP SYN标志的封包。 可以从上面看过滤器设置的规则 通过这里的背景可以判断使用的语法是否正确:红色背景表示语法错误,绿色背景表示正确并且可以运行,黄色背景表示语法正确,但是可能没有结果。 1、使用字段名来过滤 在过滤器中输入:http.request.method==”GET” ,将显示使用GET方法获取数据的所有包
实验一 Wireshark使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用; 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。三、预备知识 要深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器,是一个开源免费软件,可以从https://www.doczj.com/doc/012007172.html,下载。 运行Wireshark程序时,其图形用户界面如图2所示。最初,各窗口中并无数据显示。Wireshark的界面主要有五个组成部分: 命令和菜单 协议筛选框 捕获分组 列表 选定分组 首部明细 分组内容 左:十六进制 右:ASCII码 图1
●命令菜单(command menus):命令菜单位于窗口的最顶部,是标准的下拉式菜单。 ●协议筛选框(display filter specification):在该处填写某种协议的名称,Wireshark 据此对分组列表窗口中的分组进行过滤,只显示你需要的分组。 ●捕获分组列表(listing of captured packets):按行显示已被捕获的分组内容,其中包括:分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名,可以使分组列表按指定列排序。其中,协议类型是发送或接收分组的最高层协议的类型。 ●分组首部明细(details of selected packet header):显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息,需要查看哪层信息,双击对应层次或单击该层最前面的“+”即可。 ●分组内容窗口(packet content):分别以十六进制(左)和ASCII码(右)两种格式显示被捕获帧的完整内容。 四、实验步骤 1.启动Web浏览器(如IE); 2.启动Wireshark; 3.开始分组捕获:单击工具栏的按钮,出现如图3所示对话框,[options]按钮可以进行系统参数设置,在绝大部分实验中,使用系统的默认设置即可。当计算机具有多个网卡时,选择其中发送或接收分组的网络接口(本例中,第一块网卡为虚拟网卡,第二块为以太网卡)。单击“Start”开始进行分组捕获;
PPPOE建立过程抓包分析 准备工作: 1.开启wireshark,设置过滤条件pppoed or pppoes,点击apply应用 2.点击PPPoE宽带进行连接(至于如何创建连接什么的自己百度去) 3.连接完成,即可进行抓包分析了。 PPPOE建立过程抓包分析 一、发现阶段Discovery 1.PADI:客户机以广播的形式发送PADI数据包,请求建立链路。
2.PADO:访问集中器AC收到请求后会以单播的方式发送一个PADO数据包对客户机做出应答。 3.PADR:客户机收到PADO后,选择其中一个AC,然后客户机根据选中的AC的MAC 地址向AC单播发送一个PADR数据包,表示请求该AC作为服务器。 4.PADS:AC收到客户机发送的PADR数据包后,会创建一个唯一的会话ID,并单播一个PADS数据包给客户机作为响应。
二、会话阶段PPP 1.协商阶段:客户机和AC要互相发送LCP Request给对方,来确认发送的最大传输单元、是否认证和采用何种认证方式的协商。 (1)确定采用认证方式 (2)确定最大传输单元 2.认证阶段:双方通过LCP确定好认证方式后,就立刻进行认证,认证完成后才可以进
行之后的网络层的协商。该过程可以抓包到PPPOE拨号的用户名及加密后的密码。 3.IPCP协商阶段:双方协商IP服务阶段的一些要求,已决定双方都能接收的约定。双方的协议是通过报文中的Option进行协商的,每一个Option都是一个需要协商的问题。则个过程一般协商多次。最后双方都需要答复Configure_ACK的同意报文。 (1)客户机同意报文 A.AC发起申请Request B.客户机确认,发起ACK报文 (2)AC同意报文(该过程可能需要很多次协商,下面只列举失败和成功各一次): A.客户机发起申请Request
wireshark怎么抓包、wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark 了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark. wireshark 开始抓包 开始界面 wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包
Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),用于过滤 2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏,杂项) 使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
网络抓包工具Wireshark介绍及使用方法 Wireshark 主界面的操作菜单 File 打开文件 Open 打开文件 Open Recent 打开近期访问过的文件 Merge… 将几个文件合并为一个文件 Close 关闭此文件 Save As… 保存为… File Set 文件属性 Export 文件输出 Print… 打印输出 Quit 关闭 Edit编辑 Find Packet… 搜索数据包 Find Next 搜索下一个 Find Previous 搜索前一个 Mark Packet (toggle) 对数据包做标记(标定)Find Next Mark 搜索下一个标记的包 Find Previous Mark 搜索前一个标记的包 Mark All Packets 对所有包做标记 Unmark All Packets 去除所有包的标记 Set Time Reference (toggle) 设置参考时间(标定)Find Next Reference 搜索下一个参考点 Find Previous Reference 搜索前一个参考点Preferences 参数选择 View 视图 Main Toolbar 主工具栏
Filter Toolbar 过滤器工具栏 Wireless Toolbar 无线工具栏 Statusbar 运行状况工具栏 Packet List 数据包列表 Packet Details 数据包细节 Packet Bytes 数据包字节 Time Display Format 时间显示格式 Name resolution 名字解析(转换:域名/IP地址,厂商名/MAC地址,端口号/端口名)Colorize Packet List 颜色标识的数据包列表 Auto Scroll in Live Capture 现场捕获时实时滚动 Zoom In 放大显示 Zoom Out 缩小显示 Normal Size 正常大小 Resize All Columns 改变所有列大小 Expand Sub trees 扩展开数据包内封装协议的子树结构 Expand All 全部扩展开 Collapse All 全部折叠收缩 Coloring Rules… 对不同类型的数据包用不同颜色标识的规则 Show Packet in New Window 将数据包显示在一个新的窗口 Reload 将数据文件重新加 Go 运行 Back 向后运行 Forward 向前运行 Go to packet… 转移到某数据包 Go to Corresponding Packet 转到相应的数据包 Previous Packet 前一个数据包 Next Packet 下一个数据包 First Packet 第一个数据包 Last Packet 最后一个数据包
TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。 TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答SYN,ACK。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。第一次握手:建立连接时,客户端发送SYN包(SEQ=x)到服务器,并进入SYN_SEND状态,等待服务器确认。第二次握手:服务器收到SYN包,必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包,此时服务器进入SYN_RECV状态。第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ACK=y+1),此包发送完毕,客户端和服务器进入Established状态,完成三次握手。 第一行:帧Frame1指的是要发送的数据块;其中,捕获字节等于传输的字节数 第二行:以太网,是数据链路层;源MAC地址是:00:19:c6:00:06:3d,目的MAC地址是:00:1c:25:d4:91:9a;第三行:IPV4,源IP地址:172.24.3.5;目的IP是:172.24.7.26; 第四行:协议类型:TCP;源端口bctp(8999),目的端口:2376;序列号:每发送一个RTP数据包,序列号就加1;ACK是TCP数据包首部中的确认标志,对已接收到的TCP报文进行确认,其为 1表示确认号有效;长度是1448字节; 第五行:数据总有1448字节; 其中,对应的TCP首部的数据信息: 端口号:数据传输的16位源端口号和16位目的端口号(用于寻找发端和收端应用进程); 该数据包相对序列号是1(此序列号用来确定传送数据的正确位置,且序列号,用来侦测丢失的包);下一个数据包的序列号是1449; Acknowledgement number是32位确认序号,其等于1表示数据包收到,确认其有效;收到的数据包的头字节长度是4位32比特; Flags含6个标志比特: URG紧急指针(urgentpointer)有效 ACK确认序号有效。 PSH接收方应该尽快将这个报文段交给应用层。 RST重建连接。 SYN同步序号用来发起一个连接。 FIN发端完成发送任务。 window:(TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个16bit字段,因而窗口大