一、抓包
1.什么是抓包
- 將網絡傳輸發送與接收的數據包(幀)進行截獲、重發、編輯、轉存等操作
- 一般抓包軟件會截獲進出某一網卡的全部幀
2.抓包目的
- 我們將抓到的數據包進行分析,可以有助於學習TCP/IP五層協議:抓取到幀,對幀進行拆解,查看每一層的傳輸單元的結構,有時還可以分析幀中的內容,比如IP、MAC、通信內容等
- 有時如果網絡出現故障,可以抓包進行分析,看看幀結構有沒有哪一部分不正常,便可以找到問題所在
- 還有很多功能需要自己去挖掘
3.抓包軟件
- Wireshark:很強大一款網絡數據包分析軟件,后面會學習
- 科來:國產網絡管理監測工具,我們先用此軟件入門(中文版對我們比較友好)
- Sniffer:嗅探器
二、科來網絡分析系統
1.使用說明
-
進入軟件---點擊實時分析
-
選擇網絡適配器:問你選擇抓取你所用主機的哪一塊網卡進與出的數據包,一旦選擇,以后進出此網卡數據全部都可以抓取到
-
選擇分析方案:詢問你具體要抓哪一個種類的數據包,有全面分析(只要是數據包都抓),默認,HTTP應用,郵件應用,DNS應用,FTP應用等
-
-
最后點擊開始
2.查看抓取的數據包
-
開始抓包以后---上欄選項中左邊的多半是分析報告,即軟件已經幫你分析好的內容,也可以選擇數據包,自己去分析
-
選擇數據包---從網卡進出的數據包都會被抓到---可以選擇感興趣的雙擊查看
3.分析數據包
-
先整體分析幀結構:下圖中,以
太網-II表示幀頭,互聯網協議表示三層IP包頭,TCP-傳輸控制協議表示四層TCP頭,TELNET - 網絡虛擬終端表示telnet協議傳輸的數據,最后幀校驗序列表示幀尾,一共有五層內容,所以表示這個數據是雙方應用層telnet之間的通話
-
這個數據包中,缺少五層應用層的數據,所以表示是四層TCP之間的通信
-
這是數據包中,我們ping對方,直接是雙方三層icmp協議之間的通話,不涉及到上兩層,所以會缺少上兩層的結構
-
想分析哪一部分的數據就打開--比如查看幀頭內容:就有我們學過的目標MAC地址,源MAC地址,和協議類型,0x0800表示是使用第三層的IP協議傳送到數據鏈路層的
-
隨着后面的學習,可分析的就會更多,現在有一個初步使用的感覺即可