本系列笔记,参考学习GitHub上默然整理的关于《计算机网络-自顶向下方法》的实验笔记
与51CTO学院,陈鑫杰主讲的《Wireshark协议分析从入门到精通》网课。
如果你向对网络原理或Wireshark网络嗅探工具有兴趣,请点击链接,学习更多内容。
一、Wireshark抓包原理
三种环境
1、本机环境,直接抓计算机流量出入口,即网卡的数据。
2、集线器环境(物理层产品,已淘汰),抓经过集线器的局域网的数据包。
3、交换机环境(网络层产品),严格遵守MAC地址表传输数据
三种抓包方法
- 通过端口镜像,copy交换机其他端口的数据,传到本地主机以用来分析。直接抓很难,基本抓不到。
- ARP欺骗(局域网攻击典型做法)当没权限做端口镜像时,可以通过ARP攻击软件Cain&Albt,在目的主机发出ARP请求时,进行欺骗回复(多次),利用后到优先原则毒化目的主机ARP表,使其将数据发送给本地机。通话过程都会经过本地机,本地机有权决定是否将信息转发出来。
- MAC泛洪,另一种非正常抓包方式。本地机向交换机发送大量的垃圾MAC地址,将原MAC表中的地址刷屏挤出去,当局域网其他主机再向交换机发送数据的时,会产生流量泛洪。交换机会向其他主机发送接收到的信息,这时候利用Wireshark再进行抓包
第一种是安全的正规的,要用到镜像工具和权限,工具可能收费。后两种基本零成本,但是不正式,基本算是黑客攻击。
二、Wire界面基本介绍
- 菜单栏和工具栏,熟练掌握调大小、调时间、列设置、名字解析功能。
- view->Time display format可以设置时间格式
- (不常用)在list中右键,点选Set Time Reference设定参考时间,可以同时设置多个参考时间。
- wireshark在本地有着一个公众序库,可以在capture->options中打开,自动映射翻译目的IP地址域名。但这个功能消耗比较大,按需求决定使不使用。
- 公众序库在Statistics->show address resolution中,存有大量的IP、MAC地址和端口。
三、Wireshark 实验:HTTP
1、用于观察执行协议实体之间交换的消息的基本工具称为分组嗅探器(packet sniffer)。分组嗅探器捕获(“嗅探”)从计算机发送/接收的消息; 它还将存储并显示这些捕获的消息中各种协议字段的内容。分组嗅探器本身是被动的。它只是观察有计算机上运行的应用程序和协议发送和接收的消息,但本身不会发送分组。
分组嗅探器由两部分组成:
a、分组捕获库(packet capture) ,分组捕获库接收从计算机发送或接收的每个链路层帧的副本。
已知较高层协议(如HTTP,FTP,TCP,UDP,DNS或IP)交换的消息最终将被封装在通过物理介质传输的链路层帧中,例如以太网电缆。假设的物理介质是以太网,因此所有上层协议最终被封装在以太网帧中。捕获所有链路层帧可以让您从计算机中获得所有协议和应用程序发送/接收的消息。
b、分组分析器(packet analyzer) ,显示协议消息中所有字段的内容。
为了做到这一点,分组分析器必须“理解”协议交换的所有消息的结构。
从技术上讲,Wireshark是一个使用计算机里分组捕获库的分组分析器,是一种免费的网络协议分析器。
四、实验内容
打开Wireshark,浏览器访问http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html网址,当看到文本信息后停止Wireshark。此时有了计算机和其他网络实体之间交换的所有协议的实时分组数据!
与gaia.cs.umass.edu 的Web服务器交换的HTTP消息也出现在捕获分组的列表中。但太多了,所以要筛选,在Wireshark窗口顶部的分组显示过滤器窗口中,键入“http”(不含引号,且小写 - Wireshark中的所有协议名称均为小写),找到从您的计算机发送到gaia.cs.umass.edu HTTP服务器的HTTP GET消息。此时第一个实验结束。
小测验
1、从HTTP GET消息发送到HTTP OK回复需要多长时间?
答:约等于2.95ms
抓包结果
2、gaia.cs.umass.edu(也称为wwwnet.cs.umass.edu)的Internet地址是什么?您的计算机的Internet地址是什么?
答:gaia的internet地址:43.240.206.146,本地:192.168.3.40
网友评论