使用WireShark捕獲和分析數(shù)據(jù)包

Wireshark的優(yōu)勢(shì)：

-安裝方便。

-簡(jiǎn)單易用的界面。

-提供豐富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司，并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱(chēng)的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。

一：安裝并運(yùn)行wireshark開(kāi)始捕獲數(shù)據(jù)包，如圖所示點(diǎn)擊第二行的start開(kāi)始捕獲數(shù)據(jù)包。

二：幾分鐘后就捕獲到許多的數(shù)據(jù)包了，主界面如圖所示：

如上圖所示，可看到很多捕獲的數(shù)據(jù)。

***列是捕獲數(shù)據(jù)的編號(hào)；

第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間，從開(kāi)始捕獲算為0.000秒；

第三列是源地址，第四列是目的地址；

第四列是數(shù)據(jù)包的信息。

選中***個(gè)數(shù)據(jù)幀，然后從整體上看看Wireshark的窗口，主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表；中間部分是數(shù)據(jù)幀的描述信息；下面部分是幀里面的數(shù)據(jù)。

三：開(kāi)始分析數(shù)據(jù)

在下圖中Filter后面的編輯框中輸入：arp（注意是小寫(xiě)），然后回車(chē)或者點(diǎn)擊“Apply”按鈕

現(xiàn)在只有ARP協(xié)議了，其他的協(xié)議數(shù)據(jù)包都被過(guò)濾掉了。注意到中間部分的三行前面都有一個(gè)“+”，點(diǎn)擊它，這一行就會(huì)被展開(kāi)。如下圖所示：

現(xiàn)在展開(kāi)***行?？吹降慕Y(jié)果如下：

在上圖中我們看到這個(gè)幀的一些基本信息：

幀的編號(hào)：15（捕獲時(shí)的編號(hào)）

幀的大?。?0字節(jié)。再加上四個(gè)字節(jié)的CRC計(jì)算在里面，就剛好滿(mǎn)足最小64字節(jié)的要求。

幀被捕獲的日期和時(shí)間：Dec2，2008……

幀距離前一個(gè)幀的捕獲時(shí)間差：0.136438000……

幀距離***個(gè)幀的捕獲時(shí)間差：4.704371000……

幀裝載的協(xié)議：ARP

現(xiàn)在展開(kāi)第二行：

我們可以看到：

目的地址（Destination）：ff:ff:ff:ff:ff:ff（這是個(gè)MAC地址，這個(gè)MAC地址是一個(gè)廣播地址，就是局域網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)數(shù)據(jù)幀）

源地址（Source）：Elitegro_2d:e7:db（00:0d:87:2d:e7:db）

幀中封裝的協(xié)議類(lèi)型：0x0806，這個(gè)是ARP協(xié)議的類(lèi)型編號(hào)。

Trailer：是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。

展開(kāi)第三行：

地址解析協(xié)議

硬件類(lèi)型：以太網(wǎng)

協(xié)議類(lèi)型：IP

硬件大?。?

協(xié)議大?。?

發(fā)送方MAC地址

發(fā)送方IP地址

目的MAC地址

目的IP地址

【編輯推薦】

1. Wireshark：網(wǎng)絡(luò)嗅探工具
2. 巧妙運(yùn)用Wireshark嗅探網(wǎng)絡(luò)通信
3. linux下wireshark安裝和使用
4. wireshark添加一個(gè)基礎(chǔ)的RDP解析器的方法