對于開源網(wǎng)絡協(xié)議分析工具我們可能了解的不多，大部分人都應該知道，Ethereal。不知道是否熟悉Wireshark，其實它們是有著淵源的。Wireshark是最重要的網(wǎng)絡協(xié)議分析軟件之一,經(jīng)過了十年的開發(fā),剛剛發(fā)布了1.0正式版.或許您沒有聽說個這款軟件,不過您也許 聽說過Ethereal這款著名的開源網(wǎng)絡協(xié)議分析工具.Wireshark就是之前的Ethereal.Ethereal的作者Cerald Coombs離開Ethereal商標所有者NIS公司后將Ethereal更名Wireshark，當然同樣都是開源網(wǎng)絡協(xié)議分析工具。過去,網(wǎng)絡分析軟件非常昂貴,Ethereal的出現(xiàn)改變了這一切.關于更詳細的信息請參考:http://www.wireshark.org

wireshark用戶手冊(中文):::http://man.lupaworld.com/content/network/wireshark

wireshark開源網(wǎng)絡協(xié)議分析工具的簡單使用:

安裝,并且在安裝過程中,提示要安裝 WinCap ,這個是要安裝的,應該是抓包需要的插件吧.

打開軟件,選擇:capture->options,在 interface 中選擇一個網(wǎng)卡,并且在 capture filter 中增加一個過濾器,就可以了.

常用的過濾器就是 host + ip ,可以抓與指定 ip 通信的包.

然后 start ,就開始抓包了.

抓到了包之后,是二進制的,在包上面點擊右鍵選擇 Follow TCP Stream ,就可以看到 http 包了.

里面紅色的是發(fā)出的請求,籃色的是響應.

選擇Capture->Options,先設定你要嗅探的網(wǎng)絡接口,也就是你的網(wǎng)卡.然后在Capture Filter里輸入tcp port http,說明只監(jiān)聽80端口的tcp請求.設置好這些,你就可以點擊Start開始檢測了.打開瀏覽器隨便瀏覽一個網(wǎng)頁,你就會得到類似下面的結果:

我瀏覽的是Google的頁面.這里211.100.209.50是瀏覽器,66.249.89.147就是服務器.下面具體解釋一下這個HTTP連接過程:

通過開源網(wǎng)絡協(xié)議分析工具的分析，我們了解到瀏覽器向服務器發(fā)出連接請求. 服務器回應了瀏覽器的請求,并要求確認.瀏覽器回應了服務器的確認,連接成功.瀏覽器發(fā)出一個頁面HTTP請求.服務器確認.服務器發(fā)送數(shù)據(jù).客戶端確認.服務器響應了一個200狀態(tài),表示成功.客戶端發(fā)出一個圖片HTTP請求.服務器響應了一個304HTTP頭,告訴瀏覽器別打擾它,直接用緩存.客戶端又發(fā)出一個圖片HTTP請求.服務器還是響應了一個304HTTP頭.瀏覽器確認.服務器準備關閉連接,并要求確認.瀏覽器確認.瀏覽器準備關閉連接,并要求確認.服務器確認. 其中包含了我們常說的TCP三次握手的過程.當"服務器回應了瀏覽器的請求,并要求確認"的時候,如果瀏覽器沒有正常的確認,服務器就會在SYN_RECV狀態(tài)等下去,直到超時.如果惡意程序偽造了大量類似的請求,那就是常說的SYN洪水攻擊了.