一、抓包
1.什么是抓包
- 将网络传输发送与接收的数据包(帧)进行截获、重发、编辑、转存等操作
- 一般抓包软件会截获进出某一网卡的全部帧
2.抓包目的
- 我们将抓到的数据包进行分析,可以有助于学习TCP/IP五层协议:抓取到帧,对帧进行拆解,查看每一层的传输单元的结构,有时还可以分析帧中的内容,比如IP、MAC、通信内容等
- 有时如果网络出现故障,可以抓包进行分析,看看帧结构有没有哪一部分不正常,便可以找到问题所在
- 还有很多功能需要自己去挖掘
3.抓包软件
- Wireshark:很强大一款网络数据包分析软件,后面会学习
- 科来:国产网络管理监测工具,我们先用此软件入门(中文版对我们比较友好)
- Sniffer:嗅探器
二、科来网络分析系统
1.使用说明
-
进入软件---点击实时分析
-
选择网络适配器:问你选择抓取你所用主机的哪一块网卡进与出的数据包,一旦选择,以后进出此网卡数据全部都可以抓取到
-
选择分析方案:询问你具体要抓哪一个种类的数据包,有全面分析(只要是数据包都抓),默认,HTTP应用,邮件应用,DNS应用,FTP应用等
-
-
最后点击开始
2.查看抓取的数据包
-
开始抓包以后---上栏选项中左边的多半是分析报告,即软件已经帮你分析好的内容,也可以选择数据包,自己去分析
-
选择数据包---从网卡进出的数据包都会被抓到---可以选择感兴趣的双击查看
3.分析数据包
-
先整体分析帧结构:下图中,以
太网-II表示帧头,互联网协议表示三层IP包头,TCP-传输控制协议表示四层TCP头,TELNET - 网络虚拟终端表示telnet协议传输的数据,最后帧校验序列表示帧尾,一共有五层内容,所以表示这个数据是双方应用层telnet之间的通话
-
这个数据包中,缺少五层应用层的数据,所以表示是四层TCP之间的通信
-
这是数据包中,我们ping对方,直接是双方三层icmp协议之间的通话,不涉及到上两层,所以会缺少上两层的结构
-
想分析哪一部分的数据就打开--比如查看帧头内容:就有我们学过的目标MAC地址,源MAC地址,和协议类型,0x0800表示是使用第三层的IP协议传送到数据链路层的
-
随着后面的学习,可分析的就会更多,现在有一个初步使用的感觉即可