抓包工具分析
一、网络抓包工具分析
网络抓包是网络分析和故障排查中的一个重要技术,而Wireshark是最常用的网络抓包工具之一。下面我将介绍一下网络抓包的基本概念以及Wireshark的作用。
网络抓包概念
1. 什么是网络抓包?
网络抓包是指通过捕获和分析网络上流动的数据包来监控、诊断和优化网络的过程。网络数据包是网络通信的基本单位,每个数据包包含了从源到目的地的所有通信信息。
2. 为什么要进行网络抓包?
故障排查:识别和解决网络问题,如连接中断、延迟或数据丢失。
性能优化:分析网络性能,找到瓶颈并进行优化。
安全分析:检测恶意活动或数据泄露,增强网络安全。
协议分析:了解和验证网络协议的行为。
3. 数据包的基本组成
头部:包含关于数据包来源、目的地、协议类型等信息。
有效载荷:实际传输的数据内容。
Wireshark概述
1. 什么是Wireshark?
Wireshark是一款开源的网络协议分析工具,用于捕获和分析网络流量。它允许用户查看网络中传输的每一个数据包的详细信息,支持多种网络协议的解码和分析。
2. Wireshark的主要功能
实时捕获:可以在网络中实时捕获数据包。
数据包分析:提供对数据包的详细分析,包括协议层次、字段信息等。
过滤和搜索:允许用户设置复杂的过滤器来仅查看感兴趣的数据包。
可视化:提供多种图表和统计信息来帮助理解网络流量。
导出和保存:可以将捕获的数据导出为多种格式,方便后续分析和分享。
3. 使用Wireshark的基本步骤
启动Wireshark:打开应用程序并选择要监控的网络接口。
开始捕获:点击“开始捕获”按钮,Wireshark将开始记录网络流量。
分析数据包:观察数据包列表,使用过滤器来查找特定的数据包。
查看详细信息:点击某个数据包查看其详细内容和协议层级。
保存和导出:将捕获的数据保存到文件中以便后续分析或分享。
4. 实践建议
熟悉过滤器:Wireshark的过滤器功能非常强大,学会使用过滤器可以更高效地定位问题。
注意隐私和法律:捕获和分析网络流量时需确保符合隐私法规和法律要求,避免未经授权的网络监控。
二、安装
windows:
https://www.wireshark.org/
linux版本:终端输入
sudo apt install wireshark
安装完成之后界面:
tips:在linux下面的Ubuntu中,在ubuntu中启动时,由于wireshark需要管理员才能抓取网口数据,因此需要使用 sudo 在命令行终端启动,输入:
gec@ubuntu:~$ sudo wireshark
1.基本使用步骤
初次使用 wireshark 都会感觉其功能强大,界面复杂,学习门槛高,但如果仅限于使用其来抓取对应网卡数据包,用于学习、验证各种不同网络协议通过真实物理设备时的数据封装形式,则其应用并不困难。总体而言,只需掌握如下几点便可:
1.选择正确的监控网络接口
2.编写正确的捕获、显示过滤器
3.认识如何查看数据包,尤其是通信协议的内容
一)网络接口的选取
在wireshark的起始界面,首先要选择需要监控的网卡:
假设在A同学的虚拟机ubuntu-1中运行一个网络通信测试用例,在另一位B同学的虚拟机ubuntu-2中运行对端网络通信测试用例,那么它们之间的网络数据必然会通过物理机中的真实网卡,那么只需在windows版本的wireshark中监控某个网卡即可。具体而言:
如果虚拟机是桥接模式,那么就监控虚拟机所桥接的网卡
如果虚拟机是NAT模式,那么就监控VMnet8
如果是某同学自己的同一台虚拟机ubuntu中,启动了两个网络通信测试用例,那么这些网络数据将不会通过任何物理真实网卡,甚至也不会通过任何虚拟网卡,而仅仅通过虚拟机ubuntu中的本地回环设备 lo 进行传递,因此这种情况下如果想要抓包分析,那么一般需要安装ubuntu的wireshark,并且使之监控ubuntu中的 lo 网卡。
二)筛选表达式的编写
如下图所示,在指定某个监控网卡之后,如果该网卡处于活跃状态,一般会发现从网卡通过的数据包会非常多,使得目标数据包难以被发现,因此一般需要编写 过滤器表达式 来捕获符合条件的数据包。
wireshark支持两种过滤器,一是捕获过滤器,一是显示过滤器,顾名思义,捕获过滤器在过滤之前就做出筛选,直接无视不符合要求的数据包,这样能节约大量磁盘空间资源,而显示过滤器则是在捕获了的数据包的基础上,再对显示列表做进一步筛选,这两种过滤器的位置如下图所示:
wireshark两种常用过滤器
示例1:
设置捕获过滤器,使之只捕获TCP协议且端口号包含50001(即源端端口或目的端端口)的数据包:
tcp port 50001
设置捕获过滤器
示例2:
设置显示过滤器,使之只显示TCP协议且端口号包含50001(即远端端口或目的端端口)的数据包
tcp.port == 50001
wireshark显示过滤器
一条基本的过滤器表达式由过滤项、过滤关系和过滤值构成,比如 ip.addr == 192.168.1.100 这个表达式中:
ip.addr 是过滤项
== 是过滤关系
192.168.1.100 是过滤值
整个表达式的意思是:找出所有IP协议中源主机或目标主机的IP地址等于192.168.1.100的数据包。
过滤项:
过滤项一般的构成是由 协议.协议字段 构成。
协议
eth
ip
tcp
udp
snmp
icmp
ftp
http
telnet
oicq
字段(该协议下的关键属性)
addr
port
dstport
payload
ack
因此他们的组合可以是:
tcp.port == 50001
udp.dstport >= 1024
oicq.qqid == 2437231462
过滤关系:
过滤关系就是大于、小于、等于这些逻辑关系,在显示过滤器中有两种写法,一种是英文模式,一种是代码模式,比如过滤端口为50001的写法可以是以下两种写法之一:
tcp.port == 50001
tcp.port eq 50001
具体的写法可以参考官方给定的下图:
过滤值:
过滤值就是设定的过滤项应该满足的标准,一些具体的数值。
wireshark其他更深入的教程,有兴趣的话可以参考官方手册:
https://www.wireshark.org/docs/wsug_html/#DispCompOps