資源描述:
《wireshark介紹》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1�����、Wireshark窗口介紹?WireShark主要分為這幾個(gè)界面1.DisplayFilter(顯示過濾器)�,?用于過濾2.PacketListPane(封包列表),顯示捕獲到的封包����,有源地址和目標(biāo)地址,端口號�����。顏色不同���,代表3.PacketDetailsPane(封包詳細(xì)信息),顯示封包中的字段4.DissectorPane(16進(jìn)制數(shù)據(jù))5.Miscellanous(地址欄����,雜項(xiàng))?Wireshark顯示過濾使用過濾是非常重要的��,初學(xué)者使用wireshark時(shí)�,將會(huì)得到大量的冗余信息��,在幾千甚至幾萬條記錄中,以至于很難找到自己需要的部分�����。搞
2�����、得暈頭轉(zhuǎn)向�。過濾器會(huì)幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。過濾器有兩種�����,一種是顯示過濾器���,就是主界面上那個(gè)����,用來在捕獲的記錄中找到所需要的記錄一種是捕獲過濾器�,用來過濾捕獲的封包,以免捕獲太多的記錄����。在Capture->CaptureFilters中設(shè)置?保存過濾在Filter欄上�,填好Filter的表達(dá)式后����,點(diǎn)擊Save按鈕,取個(gè)名字�����。比如"Filter102",Filter欄上就多了個(gè)"Filter102"的按鈕��。過濾表達(dá)式的規(guī)則表達(dá)式規(guī)則?1.協(xié)議過濾比如TCP����,只顯示TCP協(xié)議。2.IP過濾比如ip.src==192.168.1
3��、.102顯示源地址為192.168.1.102����,ip.dst==192.168.1.102,目標(biāo)地址為192.168.1.1023.端口過濾tcp.port==80,?端口為80的tcp.srcport==80,?只顯示TCP協(xié)議的愿端口為80的。4.Http模式過濾http.request.method=="GET",??只顯示HTTPGET方法的���。5.邏輯運(yùn)算符為AND/OR常用的過濾表達(dá)式過濾表達(dá)式用途http只查看HTTP協(xié)議的記錄ip.src==192.168.1.102orip.dst==192.168.1.102?源地址或者目標(biāo)地
4����、址是192.168.1.102???????????封包列表(PacketListPane)封包列表的面板中顯示����,編號,時(shí)間戳����,源地址,目標(biāo)地址�����,協(xié)議�����,長度�����,以及封包信息��。你可以看到不同的協(xié)議用了不同的顏色顯示����。你也可以修改這些顯示顏色的規(guī)則���,?View->ColoringRules.?封包詳細(xì)信息(PacketDetailsPane)這個(gè)面板是我們最重要的,用來查看協(xié)議中的每一個(gè)字段��。各行信息分別為Frame:???物理層的數(shù)據(jù)幀概況Ethernet?II:?數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息InternetProtocolVersion4:?互聯(lián)網(wǎng)
5�����、層IP包頭部信息TransmissionControlProtocol:??傳輸層T的數(shù)據(jù)段頭部信息����,此處是TCPHypertextTransferProtocol:??應(yīng)用層的信息,此處是HTTP協(xié)議?wireshark與對應(yīng)的OSI七層模型TCP包的具體內(nèi)容?從下圖可以看到wireshark捕獲到的TCP包中的每個(gè)字段���。??實(shí)例分析TCP三次握手過程看到這��,基本上對wireshak有了初步了解���,現(xiàn)在我們看一個(gè)TCP三次握手的實(shí)例??三次握手過程為?這圖我都看過很多遍了,這次我們用wireshark實(shí)際分析下三次握手的過程��。打開wiresha
6�、rk,打開瀏覽器輸入?http://www.cnblogs.com/tankxiao在wireshark中輸入http過濾,然后選中GET/tankxiaoHTTP/1.1的那條記錄,右鍵然后點(diǎn)擊"FollowTCPStream",這樣做的目的是為了得到與瀏覽器打開網(wǎng)站相關(guān)的數(shù)據(jù)包��,將得到如下圖圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包�。第四個(gè)包才是HTTP的,這說明HTTP的確是使用TCP建立連接的����。?第一次握手?jǐn)?shù)據(jù)包客戶端發(fā)送一個(gè)TCP���,標(biāo)志位為SYN���,序列號為0,代表客戶端請求建立連接����。如下圖第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確
7、認(rèn)包,標(biāo)志位為SYN,ACK.將確認(rèn)序號(AcknowledgementNumber)設(shè)置為客戶的ISN加1以.即0+1=1,如下圖第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認(rèn)包(ACK)SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN的+1,如下圖:就這樣通過了TCP三次握手�����,建立了連接http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html1.設(shè)置過濾條件【1】httpandip.addr==?192.16
8���、8.1.106?andtcp.port==?8080【a】http:指定網(wǎng)絡(luò)協(xié)議【b】ip.addr==?192.168.1.106:指定服務(wù)器ip地
