日期:2024-06-18
它是一款網(wǎng)絡(luò)數(shù)據(jù)包分析軟件,網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的作用是捕獲網(wǎng)絡(luò)數(shù)據(jù)包,并盡可能的展示最詳細(xì)的網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù),作為接口直接與網(wǎng)卡交換數(shù)據(jù)包,是網(wǎng)絡(luò)數(shù)據(jù)包和流量分析領(lǐng)域非常強(qiáng)大的工具,深受各類(lèi)網(wǎng)絡(luò)工程師和網(wǎng)絡(luò)分析人員的喜愛(ài)。
本文的主要內(nèi)容包括:
我們先來(lái)介紹一下這個(gè)軟件。
首先我們來(lái)看一下這個(gè)軟件的主界面。
在這個(gè)界面中,主界面
在菜單欄上選擇->,勾選WLAN網(wǎng)卡(這里需要根據(jù)每臺(tái)電腦的網(wǎng)卡使用情況來(lái)選擇,簡(jiǎn)單的看使用的IP對(duì)應(yīng)的網(wǎng)卡)。點(diǎn)擊Start。開(kāi)始抓包。
啟動(dòng)后處于抓包狀態(tài)。
1、執(zhí)行需要抓包的操作,比如ping等。
2、操作完成后,抓取相關(guān)數(shù)據(jù)包,為避免其他無(wú)用數(shù)據(jù)包影響分析,可以通過(guò)過(guò)濾欄中設(shè)置過(guò)濾條件來(lái)過(guò)濾數(shù)據(jù)包列表,結(jié)果如下。注:ip.addr == 119.75.217.26 and icmp 表示只顯示源主機(jī)IP或目標(biāo)主機(jī)IP為119.75.217.26且協(xié)議為ICPM的數(shù)據(jù)包。
3.抓包就完成了,就這么簡(jiǎn)單,后面會(huì)介紹過(guò)濾條件和如何查看數(shù)據(jù)包的詳細(xì)內(nèi)容。
抓包接口
注:包列表區(qū)中不同協(xié)議以不同顏色區(qū)分,協(xié)議顏色標(biāo)識(shí)位于菜單欄View-->Rules中。如下圖
主要分為這幾個(gè)接口
( ),用于設(shè)置過(guò)濾數(shù)據(jù)包列表的過(guò)濾條件。菜單路徑:--> 。
列表框( List)展示抓取到的數(shù)據(jù)包,每個(gè)數(shù)據(jù)包包含編號(hào)、時(shí)間戳、源地址、目的地址、協(xié)議、長(zhǎng)度、數(shù)據(jù)包信息等,不同協(xié)議的數(shù)據(jù)包以不同的顏色顯示。
窗格( ),在數(shù)據(jù)包列表中選中某個(gè)特定的數(shù)據(jù)包,數(shù)據(jù)包詳細(xì)信息中會(huì)顯示該數(shù)據(jù)包的所有詳細(xì)信息。數(shù)據(jù)包詳細(xì)信息面板是最重要的,用于查看協(xié)議中的各個(gè)字段。每行信息都是
(1)幀:物理層數(shù)據(jù)幀概述
(2):數(shù)據(jù)鏈路層以太網(wǎng)幀頭信息
(3)4:層IP數(shù)據(jù)包頭信息
(4):傳輸層T的數(shù)據(jù)段頭信息,這里是TCP
(5):應(yīng)用層信息,這里是HTTP協(xié)議
TCP數(shù)據(jù)包具體內(nèi)容
從下圖中可以看到捕獲的TCP數(shù)據(jù)包中的各個(gè)字段。
窗格(數(shù)據(jù)包字節(jié)區(qū)域)。
篩選器設(shè)置
新手使用時(shí),會(huì)得到大量冗余的數(shù)據(jù)包,很難找到自己抓取到的數(shù)據(jù)包。該工具自帶兩種過(guò)濾器,學(xué)會(huì)使用這兩種過(guò)濾器可以幫助我們?cè)诖罅繑?shù)據(jù)中快速找到自己需要的信息。
(1)數(shù)據(jù)包捕獲過(guò)濾器
捕獲過(guò)濾器的菜單欄路徑為 --> ,用于在捕獲數(shù)據(jù)包之前進(jìn)行設(shè)置。
如何使用?在抓取數(shù)據(jù)包之前,可以進(jìn)行如下設(shè)置。
ip host 60.207.246.216 and icmp 表示只抓取主機(jī)IP為60.207.246.216的ICMP數(shù)據(jù)包,結(jié)果如下:
(2)顯示過(guò)濾器
顯示過(guò)濾器用于設(shè)置抓包后的過(guò)濾條件,通常抓包時(shí)條件比較寬泛,當(dāng)抓包內(nèi)容比較多時(shí),使用顯示過(guò)濾器設(shè)置條件,方便分析。同樣的場(chǎng)景,抓包時(shí)不設(shè)置抓包規(guī)則,直接通過(guò)網(wǎng)卡抓取所有數(shù)據(jù)包,如下
執(zhí)行ping得到的數(shù)據(jù)包列表如下
觀察上面獲取到的數(shù)據(jù)包列表,其中包含了大量的無(wú)效數(shù)據(jù),此時(shí)可以通過(guò)設(shè)置顯示過(guò)濾條件來(lái)提取分析信息。ip.addr == 211.162.2.183 和 icmp. 并過(guò)濾。
以上介紹了抓包過(guò)濾器和顯示過(guò)濾器的基本使用方法,當(dāng)網(wǎng)絡(luò)不太復(fù)雜或者流量不大的時(shí)候,使用顯示過(guò)濾器進(jìn)行抓包后處理就可以滿足我們的需求。下面介紹一下兩者的語(yǔ)法以及區(qū)別。
過(guò)濾表達(dá)式的規(guī)則
1. 數(shù)據(jù)包捕獲過(guò)濾器語(yǔ)法和示例
數(shù)據(jù)包捕獲過(guò)濾器類(lèi)型類(lèi)型(主機(jī)、網(wǎng)絡(luò)、端口)、方向Dir(源、目標(biāo))、協(xié)議Proto(ether、ip、tcp、udp、http、icmp、ftp等)、邏輯運(yùn)算符(&&與、||或、!非)
(1)協(xié)議過(guò)濾
比較簡(jiǎn)單,在抓包過(guò)濾框里輸入?yún)f(xié)議名稱(chēng)就可以了。
TCP,只顯示TCP協(xié)議的數(shù)據(jù)包列表
Copyright 江蘇艾力昇醫(yī)療科技有限公司 版權(quán)所有 蘇ICP備123456789號(hào)-1
