如何学习wireshark?主要是分析它抓的包,理解它抓出来的包展示的意思...

发布网友 发布时间：2024-07-04 02:46

我来回答

共1个回答

热心网友 时间：2024-07-20 20:25

Wireshark抓包工具使用教程以及常用抓包规则 软件推荐 楚林 3年前 (2011-12-01) 1092浏览 0[复制本文链接]Wireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的，所以今天讲述的内容可能无法直接帮你解决问题，但是只要你有解决问题的思路，学习用这个软件就非常有用了。Wireshark官方下载地址：/download/cn/wireshark_filters/dos/grcdos.htm ).ICMP (网间控制消息协议Internet Control Message Protocol)如同名字一样， ICMP用来在主机/路由器之间传递控制信息的协议。 ICMP包可以包含诊断信息(ping, traceroute – 注意目前unix系统中的traceroute用UDP包而不是ICMP)，错误信息(网络/主机/端口 不可达 network/host/port unreachable), 信息(时间戳timestamp, 地址掩码address mask request, etc.)，或控制信息 (source quench, redirect, etc.) 。你可以在/assignments/icmp-parameters 中找到ICMP包的类型。尽管ICMP通常是无害的，还是有些类型的ICMP信息需要丢弃。Redirect (5), Alternate Host Address (6), Router Advertisement (9) 能用来转发通讯。Echo (8), Timestamp (13) and Address Mask Request (17) 能用来分别判断主机是否起来，本地时间 和地址掩码。注意它们是和返回的信息类别有关的。 它们自己本身是不能被利用的，但它们泄露出的信息对攻击者是有用的。ICMP消息有时也被用来作为DOS攻击的一部分(例如：洪水ping flood ping,死 ping ?呵呵，有趣 ping of death)?/p>包碎片注意A Note About Packet Fragmentation如果一个包的大小超过了TCP的最大段长度MSS (Maximum Segment Size) 或MTU (Maximum Transmission Unit)，能够把此包发往目的的唯一方法是把此包分片。由于包分片是正常的，它可以被利用来做恶意的攻击。因为分片的包的第一个分片包含一个包头，若没有包分片的重组功能，包过滤器不可能检测附加的包分片。典型的攻击Typical attacks involve in overlapping the packet data in which packet header is 典型的攻击Typical attacks involve in overlapping the packet data in which packet header isnormal until is it overwritten with different destination IP (or port) thereby bypassing firewall rules。包分片能作为 DOS 攻击的一部分，它可以crash older IP stacks 或涨死CPU连接能力。Netfilter/Iptables中的连接跟踪代码能自动做分片重组。它仍有弱点，可能受到饱和连接攻击，可以把CPU资源耗光。OK，到此为止，关于Wireshark抓包工具的一些小教程已经写完了，而导致我想写这么一个纠结的教程的原因是，前几天通过这个抓包解决了梦幻西游在网维大师无盘上容易掉线的问题，当时捕捉到梦幻西游掉线时的数据包是这样的。注意下图中的红色数据，123.58.184.241是梦幻西游的服务器，而192.168.1.41是玩梦幻西游的客户机，在掉线时，发现是先有梦幻西游的服务器向客户机发送一个[FIN,ACK]数据包，根据上面的解释，FIN标记的数据包是代表要断开连接的意思，而接着客户机又回给服务器一个确认断开链接包。当看到这个抓包数据时，就意识到，大家说的在网维大师系统虚拟盘上梦幻爱掉线的问题，并非普通的网络问题，因为通过数据包的信息来看，是梦幻服务器主动要求断开链接，产生这个情况无非是以下几个原因：1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机；2、服务器压力大，踢掉了客户机；3、总之不是客户端问题导致的掉线；那么既然结论是如此，为什么会有在网维大师系统虚拟盘上容易出现梦幻掉线问题呢？原因是由于网维大师系统虚拟盘是模拟真实硬盘方式来实现的，而在模拟过程中，将硬盘的序列号设置为固定过的OSDIY888了，而梦幻西游刚好后识别客户机硬盘信息，发现大量客户端的硬盘序列号都是一样的，就认为是作弊或者使用挂机外挂了，结果就导致随机被服务器踢下线的情况发生，后来我们将硬盘序列号设置为空，则没再出现该问题。这个问题在未来的新版本中会解决掉。说这个案例的目的并不是为了说明抓包多有用，而是想说明一些解决问题的思路和方法，有些人是有思路，但是缺方法，比如不会用工具，而有些人收集了很多工具却不会用，而我其实就属于后者，几年前就收集了n多工具，但是用到的没几个。慢慢的学会用这些工具后，发现思维+工具，解决问题是效率暴增，接下来的几天里，会陆续介绍写小工具给大家，也希望大家有空学习下，有问题先百度，再自己摸索，而不是一味的求助，毕竟求人不如求己！自己能直接搞定，是皆大欢喜的事情~另外还有一些网络监视相关的小工具也非常好用，这里就在这个帖子里简单介绍一下：1、CurrPorts：这是一个可以显示系统进程联网状态的工具，他能显示哪个进程链接了哪个IP地址，哪个端口，使用的什么协议，本地端口是多少，本地IP地址是多少等等，而且他还提供了记录网络连接创建信息，点界面左上角的“文件”=》“记录变化到日志”就可以记录日志了。2、Tcpview：和CurrPorts差不多的工具。3、X-NetStat Professional：这个工具除了继承了CurrPorts的所有功能，同时还支持每个进程链接的IP地址使用的流量是多少，但是这个工具不要长时间开着，否则可能导致无盘客户机无法获得DHCP问题，只是随机出现，大家注意下就行了。这些工具都可以通过本站顶部的“小工具”链接打开工具军火库，然后在NetWork_analysis_Tools分类下就可以下载到了。