Wireshark簡介
先簡單說下,現代意義上網絡的傳輸過程:
1.分層(這裡介紹五層協定劃分結構):從高層到底層分别是應用層->傳輸層->網絡層->資料鍊路層->實體層,高層調用低層服務
2.實體層傳輸的是MAC幀,MAC幀是上層下來的資料包封裝之後的結果
Wireshark是一個網絡封包分析軟體,說白了,就是Wireshark将網絡上傳輸的資料包(MAC幀)給截獲了,然後解剖分析。。。
據包捕獲的原理:為了進行資料包,網卡必須被設定為混雜模式。在現實的網絡環境中,存在着許多共享式的以太網絡。這些以太網是通過Hub 連接配接起來的總線網絡。在這種拓撲結構的網絡中,任何兩台計算機進行通信的時候,它們之間交換的封包全部會通過Hub進行轉發,而Hub以廣播的方式進行轉發,網絡中所有的計算機都會收到這個封包,不過隻有目的機器會進行後續處理,而其它機器簡單的将封包丢棄。目的機器是指自身MAC 位址與消息中指定的目的MAC 位址相比對的計算機。網絡監聽的主要原理就是利用這些原本要被丢棄的封包,對它們進行全面的分析,這樣就可以得到整個網絡中資訊的現狀。
下面介紹執行個體,使用wireshark捕獲發送給本機的資料包
1.選擇接口,這是wireshark監聽的對象,所有經過此接口的包都會被抓獲
2.開始捕獲,停止捕獲,
3.設定過濾原則,擷取發送給自己的資料包
ip.dst==本機ip(本機ip檢視方法,cmd指令下ipconfig,檢視IPv4)
4.輕按兩下某行(一行就是一個資料包),下面開始介紹16進制面闆
5.解析器(16進制檢視面闆)
第一行是,對該資料包的整體介紹,位元組大小等描述
第二行,在“詳細資訊”視窗内的“Ethernet II”項目,即是MAC幀的首部資訊。輕按兩下改項展開,可見MAC幀首部的 詳細分析,對應“解析器”視窗中的16進制資料會反藍顯示。單擊某個字段,對應的首部字段均會反藍顯示
展開後,有目的實體位址,源實體位址,ip類型
第三行,internet protocol,是網絡層傳輸的IP資料包,對應了IP資料包的格式
(1)版本 占4位,指IP協定的版本。通信雙方使用的IP協定版本必須一緻。目前廣泛使用的IP協定版本号為4(即IPv4)。關于IPv6,目前還處于草案階段。
(2)首部長度 占4位,可表示的最大十進制數值是15。請注意,這個字段所表示數的機關是32位字長(1個32位字長是4位元組),是以,當IP的首部長度為1111時(即十進制的15),首部長度就達到60位元組。當IP分組的首部長度不是4位元組的整數倍時,必須利用最後的填充字段加以填充。是以資料部分永遠在4位元組的整數倍開始,這樣在實作IP協定時較為友善。首部長度限制為60位元組的缺點是有時可能不夠用。但這樣做是希望使用者盡量減少開銷。最常用的首部長度就是20位元組(即首部長度為0101),這時不使用任何選項。
(3)區分服務 占8位,用來獲得更好的服務。這個字段在舊标準中叫做服務類型,但實際上一直沒有被使用過。1998年IETF把這個字段改名為區分服務DS(Differentiated Services)。隻有在使用區分服務時,這個字段才起作用。
(4)總長度 總長度指首部和資料之和的長度,機關為位元組。總長度字段為16位,是以資料報的最大長度為216-1=65535位元組。
在IP層下面的每一種資料鍊路層都有自己的幀格式,其中包括幀格式中的資料字段的最大長度,這稱為最大傳送單元MTU(Maximum Transfer Unit)。當一個資料報封裝成鍊路層的幀時,此資料報的總長度(即首部加上資料部分)一定不能超過下面的資料鍊路層的MTU值。
(5)辨別(identification) 占16位。IP軟體在存儲器中維持一個計數器,每産生一個資料報,計數器就加1,并将此值賦給辨別字段。但這個“辨別”并不是序号,因為IP是無連接配接服務,資料報不存在按序接收的問題。當資料報由于長度超過網絡的MTU而必須分片時,這個辨別字段的值就被複制到所有的資料報的辨別字段中。相同的辨別字段的值使分片後的各資料報片最後能正确地重裝成為原來的資料報。
(6)标志(flag) 占3位,但目前隻有2位有意義。
● 标志字段中的最低位記為MF(More Fragment)。MF=1即表示後面“還有分片”的資料報。MF=0表示這已是若幹資料報片中的最後一個。
● 标志字段中間的一位記為DF(Don’t Fragment),意思是“不能分片”。隻有當DF=0時才允許分片。
(7)片偏移 占13位。片偏移指出:較長的分組在分片後,某片在原分組中的相對位置。也就是說,相對使用者資料字段的起點,該片從何處開始。片偏移以8個位元組為偏移機關。這就是說,每個分片的長度一定是8位元組(64位)的整數倍。
(8)生存時間 占8位,生存時間字段常用的的英文縮寫是TTL(Time To Live),表明是資料報在網絡中的壽命。由發出資料報的源點設定這個字段。其目的是防止無法傳遞的資料報無限制地在網際網路中兜圈子,因而白白消耗網絡資源。最初的設計是以秒作為TTL的機關。每經過一個路由器時,就把TTL減去資料報在路由器消耗掉的一段時間。若資料報在路由器消耗的時間小于1秒,就把TTL值減1。當TTL值為0時,就丢棄這個資料報。
(9)協定 占8位,協定字段指出此資料報攜帶的資料是使用何種協定,以便使目的主機的IP層知道應将資料部分上交給哪個處理過程。
(10)首部檢驗和 占16位。這個字段隻檢驗資料報的首部,但不包括資料部分。這是因為資料報每經過一個路由器,路由器都要重新計算一下首部檢驗和(一些字段,如生存時間、标志、片偏移等都可能發生變化)。不檢驗資料部分可減少計算的工作量。
(11)源位址 占32位。
(12)目的位址 占32位。
是以,同理transmission就是傳輸層的資料包,這裡就不再介紹了,怎麼樣,對Wireshark是不是有了簡單的認識了呢。。。。。
ps:關于其他安全工具,請 關注專欄《網絡安全從初級入門到額進階入門。。。》 。學習永無止境,本人才疏學淺,如果有不當之處,歡迎指教。