A. wireshark 抓包數據如何分析
行為特徵:地址連續
猜測:192.168.10.1正在進行地址掃描。
作為路由器自身是不需要做地址掃描的,這里有兩種可能。
一:來自外部網路,正在對內網的IP進行掃描,這要看路由器採用的什麼轉換機制。進行解決
二:內網中有機器偽裝成路由器08:10:17:23:28:14 - 192.168.10.1在進行掃描。如果上網可以通,只是速度慢,應該不可能這個對應關系都被偽裝了。確認一下這個MAC - IP 對應關系可查出偽裝主機。
另,網速慢跟這個關系不大,ARP包本身不大,也不需要佔用路由器資源,除非掃描太過頻繁。否則應查找其他原因。
B. 分析抓包數據
捕獲的數據幀是從數據鏈路層開始的,
typedef struct tagDLCHeader /*乙太網數據幀頭部結構*/
{
unsigned char DesMAC[6]; /* destination HW addrress */
unsigned char SrcMAC[6]; /* source HW addresss */
unsigned short Ethertype; /* ethernet type */
} DLCHEADER, *PDLCHEADER;
目的mac地址:00 D0 F8 F2 D5 48
源mac地址:00 13 D3 2A 3A 61
協議類型:0x0800(ip協議),從08 00之後開始是ip報文,
根據ip協議結構,
typedef struct _IPHeaer //20個位元組
{
UCHAR iphVerLen; //版本號和頭長度(各佔4位)
UCHAR ipTOS; //服務類型
USHORT ipLength; //封包總長度,即整個IP報的長度
USHORT ipID; //封包標識,惟一標識發送的每一個數據報
USHORT ipFlags; //標志
UCHAR ipTTL; //生存時間,就是TTL
UCHAR ipProtocol; //協議,可能是TCP、UDP、ICMP等
USHORT ipChecksum; //校驗和
ULONG ipSource; //源IP地址
ULONG ipDestination; //目標IP地址
}IPHeader,*PIPHeader;
可分析如下:
0x45中包含了版本號和ip頭長度,各佔4位
0x00為服務類型
0x003c為ip數據包總長度(包含ip頭,tcp\udp\icmp等頭和真實數據)
0x1180封包標識
0x0000標識
0x80 TTL(生存時間)
0x01 協議類型(1為ICMP)
0xc4b1 校驗和
0x0a0b2879 源ip(轉為字元串:10.11.40.121)
0x0a0b2801 目的ip(轉為字元串:10.11.40.1)
之後的為icmp頭和數據,可以自己去分析,下面是icmp的結構
typedef struct _ICMPHeader
{
UCHAR icmp_type; //消息類型
UCHAR icmp_code; //代碼
USHORT icmp_checksum; //校驗和
//下面是回顯頭
USHORT icmp_id; //用來惟一標識此請求的ID號,通常設置為進程ID
USHORT icmp_sequence; //序列號
ULONG icmp_timestamp; //時間戳
}ICMPHeader,*PICMPHeader;
C. 如何對抓到的數據包分析
首先我們打開wireshark軟體的主界面,在主界面上選擇網卡,然後點擊start。wireshark即進入抓包分析過程。在本篇我們選擇乙太網,進行抓包。接下來再界面我們可以看到wireshark抓到的實時數據包。我們對數據包的各個欄位進行解釋。
1.No:代表數據包標號。
2.Time:在軟體啟動的多長時間內抓到。
3.Source:來源ip。
4.Destination: 目的ip。
5.Protocol:協議。
6.Length:數據包長度。
7.info:數據包信息。接下來再界面我們可以看到wireshark抓到的實時數據包。我們對數據包的各個欄位進行解釋。接下來我們點擊解析後的某一條數據可以查看數據包的詳細信息。在抓包過程中,我們可以點擊圖標啟動或者停止。來啟動或者停止抓取數據包。
D. 如何分析數據包判斷網路故障
從網路抓包是可以分析出很多東西,其中一項就是用來做排錯。
根據個人的實際經驗,用抓包來排錯有分為幾種情況:
1、通過數據包的有無來判斷故障,一般用於防火牆策略調試等場景,在防火牆上進行抓包,或交換機上鏡像抓包,或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障,已經明確網路設備配置不存在問題的情況下,通過抓包來判斷問題,我把這主要分為行為判斷和協議判斷。
1)最常見的是通過抓包數量來判定網路行為的是否正常,比如ARP病毒爆發一定會收到大量ARP數據包;攻擊行為也很多時候體現為大量數據包(但是一般判斷這種攻擊行為抓包不會放在第一步,只是在確定攻擊特徵時需要抓包);當然還有其他很多情況,適用於通過抓包數量來分析的。
2)通信質量判斷,抓包存在大量的重傳,此時通信質量一般都不太好。另外有視頻和語音的應用場景中,有時需要通過時間統計來判斷通信毛刺,來分析定位視頻和語音通信質量問題。
3)協議判斷,比如win2008和win2003通信時因為window
scale不兼容,導致窗口過小,而程序設計適當時,通信變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的;另外不同廠商SIP通信對接也有可能會用到協議分析,其中一種方式就是抓包分析。
綜合而言,協議分析時要求比較高,很多人都可以說把基礎學好,但是對應實際工作多年的人,TCP/IP的協議學習一般都是多年前的事情,而且不同操作系統,對於協議棧的實現是有區別的,這部分析的工作一般都是出現問題後有針對性查資料來解決的。
說了這么多,針對抓包分析我個人的意見是:排查問題關鍵是思路,真的用到協議層判斷的場景相對而言還是比較少,初學這不必過分糾結。但是從另外一個方面來看,能深入協議層進行排錯的網工,都是具備鑽研精神的,屬於高級排錯的一部分。
E. 如何通過wireshark進行抓包的分析
Wireshark是一個網路協議檢測工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的話,我直接用tcpmp了,因為我工作環境中的Linux一般只有字元界面,且一般而言Linux都自帶的tcpmp,或者用tcpmp抓包以後用Wireshark打開分析。
tcpmp是基於Unix系統的命令行式的數據包嗅探工具。如果要使用tcpmp抓取其他主機MAC地址的數據包,必須開啟網卡混雜模式,所謂混雜模式,用最簡單的語言就是讓網卡抓取任何經過它的數據包,不管這個數據包是不是發給它或者是它發出的。
F. 如何通過使用fiddler對安卓系統設備抓包總結
目前有以下2種抓包方式
1. 通過fiddler抓包真機
好處是安卓手機不用root,簡單設置代理,並可以在電腦端檢測抓包數據。只能抓獲wifi,不同抓包3g/2g運營商的數據
2. 通過tcpudmp工具抓包
可以檢測真機,也可以模擬器。可以wifi,也可以3g/2g
必須root,可以安裝在手機內,然後電腦端開啟檢測或者停止檢測,抓到的數據包*.cab再拷貝到電腦,通過用Wireshark分析數據包。
本文主要總結fiddler抓包:
首先說明通過fillder抓包的網路數據包只能是http或者https協議,所以手機端有些app通過tcp/udp等協議傳輸的數據是無法捕獲的。
1. 設置fillder,監聽8888埠,允許遠程連接
fillder--->tools—>fillder options2.查看電腦的ip dos命令行->cmd
因為本機使用的無限區域網1,所以應當查看標記處的ip,為 49.65.48.242,等會要在手機端設置ip為這個。
3.設置手機wifi代理參數
連接手機到電腦,打開已經連接的wifi,本機器用的wifi名字是myappweb
點擊 ,進入設置代理參數。
代理設置為手動,並將剛才的ip填寫進去,8888埠是fillder剛才設置的8888埠
點擊確定,下面就可以檢測手機端數據了。
測試,手機端打開「天貓」的客戶端
紅的地方就是抓包得到的數據,下面就可以分析數據了。
G. 小黃鳥抓包怎麼看懂數據信息
摘要 對於標準的Http返回,如果標明了Content-Encoding:Gzip的返回,在wireshark中能夠直接查看原文。由於在移動網路開發中,一些移動網關會解壓顯式標明Gzip的數據,以防止手機瀏覽器得到不能夠解壓的Gzip內容,所以,很多移動開發者選擇了不標準的Http頭部。也就是說,Http返回頭部並沒有按標准標Content-Encoding:Gzip屬性。這樣就導致在wireshark中無法直接查看。
H. 如何通過wireshark進行抓包的分析
啟動wireshark後,選擇工具欄中的快捷鍵(紅色標記的按鈕)即可Start a new live capture。
主界面上也有一個interface list(如下圖紅色標記1),列出了系統中安裝的網卡,選擇其中一個可以接收數據的的網卡也可以開始抓包。
在啟動時候也許會遇到這樣的問題:彈出一個對話框說 NPF driver 沒有啟動,無法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理員身份運行,然後輸入 net start npf,啟動NPf服務。
重新啟動wireshark就可以抓包了。
抓包之前也可以做一些設置,如上紅色圖標記2,點擊後進入設置對話框,具體設置如下:
Interface:指定在哪個介面(網卡)上抓包(系統會自動選擇一塊網卡)。
Limit each packet:限制每個包的大小,預設情況不限制。
Capture packets in promiscuous mode:是否打開混雜模式。如果打開,抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的包,因此應該關閉這個選項。
Filter:過濾器。只抓取滿足過濾規則的包。
File:可輸入文件名稱將抓到的包寫到指定的文件中。
Use ring buffer: 是否使用循環緩沖。預設情況下不使用,即一直抓包。循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖,還需要設置文件的數目,文件多大時回卷。
Update list of packets in real time:如果復選框被選中,可以使每個數據包在被截獲時就實時顯示出來,而不是在嗅探過程結束之後才顯示所有截獲的數據包。
單擊「OK」按鈕開始抓包,系統顯示出接收的不同數據包的統計信息,單擊「Stop」按鈕停止抓包後,所抓包的分析結果顯示在面板中,如下圖所示:
為了使抓取的包更有針對性,在抓包之前,開啟了QQ的視頻聊天,因為QQ視頻所使用的是UDP協議,所以抓取的包大部分是採用UDP協議的包。
3、對抓包結果的說明
wireshark的抓包結果整個窗口被分成三部分:最上面為數據包列表,用來顯示截獲的每個數據包的總結性信息;中間為協議樹,用來顯示選定的數據包所屬的協議信息;最下邊是以十六進制形式表示的數據包內容,用來顯示數據包在物理層上傳輸時的最終形式。
使用wireshark可以很方便地對截獲的數據包進行分析,包括該數據包的源地址、目的地址、所屬協議等。
上圖的數據包列表中,第一列是編號(如第1個包),第二列是截取時間(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是這個包使用的協議(這里是UDP協議),第六列info是一些其它的信息,包括源埠號和目的埠號(源埠:58459,目的埠:54062)。
中間的是協議樹,如下圖:
通過此協議樹可以得到被截獲數據包的更多信息,如主機的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP埠號(user datagram protocol)以及UDP協議的具體內容(data)。
最下面是以十六進制顯示的數據包的具體內容,如圖:
這是被截獲的數據包在物理媒體上傳輸時的最終形式,當在協議樹中選中某行時,與其對應的十六進制代碼同樣會被選中,這樣就可以很方便的對各種協議的數據包進行分析。
4、驗證網路位元組序
網路上的數據流是位元組流,對於一個多位元組數值(比如十進制1014 = 0x03 f6),在進行網路傳輸的時候,先傳遞哪個位元組,即先傳遞高位「03」還是先傳遞低位「f6」。 也就是說,當接收端收到第一個位元組的時候,它是將這個位元組作為高位還是低位來處理。
下面通過截圖具體說明:
最下面是物理媒體上傳輸的位元組流的最終形式,都是16進製表示,發送時按順序先發送00 23 54 c3 …00 03 f6 …接收時也按此順序接收位元組。
選中total length:1014, 它的十六進製表示是0x03f6, 從下面的藍色選中區域可以看到,03在前面,f6在後面,即高位元組數據在低地址,低位元組數據在高地址(圖中地址從上到下從左到右依次遞增),所以可知,網路位元組序採用的是大端模式。
I. 抓包怎麼分析 抓包抓到的數據,怎麼分析
1, 取決於你抓包的層級。一般來說都是與網站之間交換的,未經格式化的較為數據。
2, 可以從網卡抓取本機收發的數據,也有人把從瀏覽器或其它工作在頂層的軟體獲得的數據,成為抓包。
3, 如果你所在的區域網比較原始,你還是可以嘗試從網卡中獲得廣播的數據。
4, 分析有現成的軟體,主要針對無法加密的部分展開,即發送、接受方地址、時間、路徑、內容體積等進行。不涉及內容的情況下是典型的被動數據分析。