計(jì)算機(jī)網(wǎng)絡(luò)學(xué)習(xí)過(guò)程中,你會(huì)發(fā)現(xiàn)有各種各樣的協(xié)議����,每種協(xié)議又有各種各樣的格式和要求,你會(huì)發(fā)現(xiàn)今天記住了����,明天忘。那么問(wèn)題來(lái)了����,我們?cè)撛趺崔k?很簡(jiǎn)單����,之所以你今天記住了,明天忘����,那是因?yàn)槟銢]有真的記住,沒有見過(guò)實(shí)際協(xié)議的運(yùn)轉(zhuǎn)流程���,計(jì)算機(jī)網(wǎng)絡(luò)中的協(xié)議�����,你只靠腦子記憶是不行的��,你必須動(dòng)手去看一下�,數(shù)據(jù)是怎么加頭部尾部信息的,又是怎么解包的等等�����。這里牽扯到兩個(gè)問(wèn)題��,怎么查看軟件層的信息�,怎么查看硬件層的信息
軟件層面的信息查看推薦使用 wireShark 抓包一個(gè)一個(gè)的看�,協(xié)議是怎么執(zhí)行的
硬件層面的信息查看推薦使用Cisco packet tracer 構(gòu)建物理結(jié)構(gòu),查看協(xié)議怎么執(zhí)行
今天我們介紹使用wireShark����,本文只是介紹其中的常用功能,沒有面面俱到�����,看完本文之后,可以立馬上手使用���。
wireShark
wireShark可以使用兩種方式研究數(shù)據(jù)包�,一種是建立規(guī)則抓取固定規(guī)則的數(shù)據(jù)包����,一種是抓取全部數(shù)據(jù)包后,建立規(guī)則過(guò)濾數(shù)據(jù)包�。接下來(lái)我們分別介紹。
建立規(guī)則抓取數(shù)據(jù)包
捕獲前規(guī)則建立
打開軟件后�����,單擊捕獲→選項(xiàng)就可以出現(xiàn)上圖畫面����。在所選擇接口的捕獲過(guò)濾器中定義規(guī)則。規(guī)則如下
1.類型 host port net
host 指主機(jī)地址 規(guī)則是 host ip 實(shí)例 host 192.0.2.1
port 指端口 規(guī)則是 port 端口號(hào) 實(shí)例 port 80
過(guò)濾主機(jī)地址
2.方向 src dst
src 指源地址 也就是發(fā)出信息的地址 規(guī)則是 src 主機(jī)/端口 ip/端口號(hào) 實(shí)例 src host 192.0.2.1 src port 80
dst 指目的地址 也就是信息的目的地 規(guī)則是 dst 主機(jī)/端口 ip/端口號(hào) 實(shí)例 dst host 192.0.2.1 dst port 80
指定方向
3 協(xié)議類型 http dns tcp udp ftp telnet
直接輸入?yún)f(xié)議名稱 http
指定協(xié)議
4 邏輯運(yùn)算 與&& 或|| 非�!
比如過(guò)濾多個(gè)條件 src host 192.0.2.1 && dst port 80
邏輯運(yùn)算
抓取數(shù)據(jù)包后過(guò)濾
抓取數(shù)據(jù)包后,過(guò)濾方法與抓取前定義規(guī)則比較類似�,但是還是有一些不一樣的地方
1 過(guò)濾地址 規(guī)則 ip.addr = ip地址 實(shí)例 ip.addr == 192.168.1.7
過(guò)濾地址
2 過(guò)濾端口 規(guī)則 協(xié)議名.port == 端口號(hào) 實(shí)例 tcp.port == 80 udp.port == 80
3 過(guò)濾協(xié)議 直接輸入需要過(guò)濾的協(xié)議即可 tcp udp http ftp
4 邏輯運(yùn)算 and or 例如 tcp.port == 80 or udp.port == 80
邏輯運(yùn)算
開始抓包
基本的過(guò)濾規(guī)則學(xué)會(huì)了,然后開始過(guò)濾吧����。
抓包數(shù)據(jù)展示
百度輸入網(wǎng)址�����,打開wireshark開始興致勃勃的抓包�����,一看抓出來(lái)的包怎么這么多����,我怎么看��,有DNS的��,有TCP����,有HTTP����。這里插個(gè)體外話,介紹一下為什么會(huì)有那么多的協(xié)議出現(xiàn)���。
當(dāng)你在百度輸入一個(gè)網(wǎng)址�,首先需要使用DNS協(xié)議,將網(wǎng)址轉(zhuǎn)化為ip地址��,然后由于你需要訪問(wèn)網(wǎng)頁(yè)��,需要使用HTTP協(xié)議�����,而HTTP協(xié)議的數(shù)據(jù)是使用TCP協(xié)議傳輸?shù)?����,所以你抓包的時(shí)候會(huì)看到DNS,TCP,HTTP等等的協(xié)議���,有時(shí)候你還會(huì)看到ARP協(xié)議��。
怎么辦����?使用wireshark中的高級(jí)功能�,流追蹤功能。
流追蹤功能
既然有那么的協(xié)議��,而且是一會(huì)這里有一個(gè),一會(huì)那里有一個(gè)�����,心里想如果wireshark能幫我歸一下類不就美滋滋了嗎�?好吧,它確實(shí)有這個(gè)功能��,右擊你需要查看的協(xié)議→選擇追蹤流→然后選擇協(xié)議流
追蹤流
tcp流
看一下�,是不是清爽了許多,仔細(xì)一看�,前三行不就是我們一直學(xué)習(xí)的TCP三次握手嗎?seq怎么累加的不就一目了然了嗎�����?
總結(jié)
wireshark具有許許多多強(qiáng)大的功能�,特別是數(shù)據(jù)統(tǒng)計(jì)功能,圖表功能等等����,上文只是介紹了其中常用的一些功能,相信大家看完本文后�����,就可以直接上手使用了���。下文為大家介紹����,Cisco 精品軟件 Cisco
Packet Tracer ����。
