欢迎您访问 最编程 本站为您分享编程语言代码,编程技术文章!

热门搜索/Hot Search

您现在的位置是: 首页

Wrieshark 网络数据抓包协议分析

最编程 2024-04-19 19:56:26
...

首先给自己提个醒

Windows下如何运行.sh脚本

按下win+s,搜索sh或者git,打开sh或者git bash,cd到脚本目录,通过命令运行

sh xxx.sh [args]

运行的时候提示make: command not found,是因为没有make命令,参考https://blog.****.net/qq_35037684/article/details/106848673,通常都有c环境,直接第二步就可以了

运行时候提示npm: command not found,是因为没有装nodejs,下载地址https://nodejs.org/zh-cn/

 使用过滤器

https://blog.****.net/holandstone/article/details/47026213

初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

表达式规则

 1. 协议过滤

比如TCP,只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式

过滤表达式 用途
http 只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102  源地址或者目标地址是192.168.1.102
udp 只查看UDP传输协议

抓包分析UDP协议中的QQ会话

https://blog.****.net/weixin_44448942/article/details/103309355

https://blog.****.net/holandstone/article/details/47026213

https://blog.****.net/qinggebuyao/article/details/7814499

使用Wireshark抓包分析UDP协议,抓包如下

  • 通过添加udp筛选,抓取了一些包,在列表区可以看到这次抓取过程中每个包的编号、时间、来源和去向IP、协议、长度、信息。
  • 在数据包详细区由上到下分别为:
  1. Frame 211:物理层的数据帧概况
  2. Ethernet II:数据链路层以太网帧头部信息,可以看到路由信息
  3. Internet Protocol Version 4:网络层IP包头部信息,此处是IPv4
  4. User Datagram Protocol:传输层的数据段头部信息,此处是UDP
  5. OICQ:应用层信息,此处是QQ定义的应用层协议
  • 在数据包详细区点击某一个字段可以在数据包字节区查看具体的数据信息

物理层的数据帧分析

#211号帧,线路377字节,实际捕获3377字节,接口id
Frame 211: 377 bytes on wire (3016 bits), 377 bytes captured (3016 bits) on interface \Device\NPF_{4A7CD894-2EED-****-****-ABC****5A3**}, id 0
#接口id
Interface id: 0 (\Device\NPF_{4A7CD894-2EED-****-****-ABC****5A3**})
	#接口名 、接口描述
    Interface name: \Device\NPF_{4A7CD894-2EED-****-****-ABC****5A3**}
    Interface description: 以太网
#封装类型
Encapsulation type: Ethernet (1)
#获取日期和时间
Arrival Time: Nov  4, 2020 17:23:43.695577000 中国标准时间
[Time shift for this packet: 0.000000000 seconds]
#从新纪元时间1970-01-01 00:00:00 UTC算起的时间
Epoch Time: 1604481823.695577000 seconds
#此包与前一包和第一包的时间间隔
[Time delta from previous captured frame: 0.120236000 seconds]
[Time delta from previous displayed frame: 0.120236000 seconds]
[Time since reference or first frame: 3.965476000 seconds]
Frame Number: 211  #帧序号
Frame Length: 377 bytes (3016 bits)  #帧长度
Capture Length: 377 bytes (3016 bits) #捕获长度
[Frame is marked: False]  #此帧是否做了标记:否
[Frame is ignored: False]  #此帧是否被忽略:否
[Protocols in frame: eth:ethertype:ip:udp:oicq]  #帧内封装的协议层次结构
[Coloring Rule Name: UDP] #着色标记的协议名称
[Coloring Rule String: udp] #着色规则显示的字符串,也就是筛选器

数据链路层分析

#路由信息,来源Tp-LinkT (MAC地址d0:76:**:**:**:*1),到达Dell (MAC地址8c:ec:**:**:**:*8)
Ethernet II, Src: Tp-LinkT_84:**:** (d0:76:**:**:**:*1), Dst: Dell_d0:6f:** (8c:ec:**:**:**:*8)
Destination: Dell_d0:6f:** (8c:ec:**:**:**:*8)
Source: Tp-LinkT_84:**:** (d0:76:**:**:**:*1)
Type: IPv4 (0x0800) #网络层类型为IPv4

网络层分析

#IPV4 源地址IP:61.1**.***.**3 目标地址IP:192.168.1.100
Internet Protocol Version 4, Src: 61.1**.***.**3, Dst: 192.168.1.100
0100 .... = Version: 4 #IP协议版本
.... 0101 = Header Length: 20 bytes (5) #IPv4的首部长度 20字节=5*4
# DS:区分服务 代码点,用来指定特殊的数据包处理方式以获得更好的服务。
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: 363 #指首部和数据的总长度 363
#IPv4在存储器中维持一个计数器,每产生一个数据包,计数器加一,把值赋给该字段作为标识,共8字节。
Identification: 0x4584 (17796)
#目前只有两位有意义。最低位为1表示后面“还有分片”的数据报,为0表示这已经是最后一个数据片;中间一位为1表示“不能分片”,为0才允许分片。
Flags: 0x4000, Don't fragment
#片偏移:13位,较长的分组在经过通信链路中因为分组过大进行分片,分片后在原分组中的相对位置。片偏移以8字节为偏移单位
Fragment offset: 0
#生存时间:表示数据包在网络中的寿命,缩写TTL,功能是“跳数限制”
Time to live: 46
Protocol: UDP (17) #指出此数据包携带数度的协议为UDP
#首部效验和:数据包每经过一个路由器,路由器都要重新计算一下首部检验和,这里未核实。
#若首部未发生变化,则此结果必为0,于是就保留这个数据报。这个字段只检验数据报的首部,但不包括数据部分。
Header checksum: 0x5385 [validation disabled]
[Header checksum status: Unverified]
Source: 61.1**.***.**3 #源IP
Destination: 192.168.1.100 #目标IP

传输层分析

#UDP协议,源端口:8000, 目标端口:4020
User Datagram Protocol, Src Port: 8000, Dst Port: 4020
Source Port: 8000
Destination Port: 4020
Length: 343 #数据报文长度:343字节
Checksum: 0xe2b0 [unverified] #校验和,未核实
[Checksum Status: Unverified]
[Stream index: 0]
#此包与第一包和前一包的时间戳间隔
[Timestamps]
    [Time since first frame: 3.965476000 seconds]
    [Time since previous frame: 0.241175000 seconds]

应用层分析OICQ

OICQ - IM software, popular in China
Flag: Oicq packet (0x02) #标识
Version: 0x3949 #版本号
Command: Receive message (23) #命令字,这里是接收信息
Sequence: 7835 #序号
Data(OICQ Number,if sender is client): 76523**58 #我的qq号
Data:  #具体数据
    [Expert Info (Warning/Undecoded): Trailing stray characters]
        [Trailing stray characters]
        [Severity level: Warning]
        [Group: Undecoded]

原文地址:https://www.cnblogs.com/smileglaze/p/13926489.html

上一篇: 简单的波形包络提取算法

下一篇: 基于springboot实现智能推荐卫生健康系统项目【项目源代码+论文说明书】计算机毕业设计-系统设计思路

推荐阅读