對(duì)于開源網(wǎng)絡(luò)協(xié)議分析工具我們可能了解的不多，大部分人都應(yīng)該知道，Ethereal。不知道是否熟悉Wireshark，其實(shí)它們是有著淵源的。Wireshark是最重要的網(wǎng)絡(luò)協(xié)議分析軟件之一,經(jīng)過(guò)了十年的開發(fā),剛剛發(fā)布了1.0正式版.或許您沒有聽說(shuō)個(gè)這款軟件,不過(guò)您也許 聽說(shuō)過(guò)Ethereal這款著名的開源網(wǎng)絡(luò)協(xié)議分析工具.Wireshark就是之前的Ethereal.Ethereal的作者Cerald Coombs離開Ethereal商標(biāo)所有者NIS公司后將Ethereal更名Wireshark，當(dāng)然同樣都是開源網(wǎng)絡(luò)協(xié)議分析工具。過(guò)去,網(wǎng)絡(luò)分析軟件非常昂貴,Ethereal的出現(xiàn)改變了這一切.關(guān)于更詳細(xì)的信息請(qǐng)參考:http://www.wireshark.org

wireshark用戶手冊(cè)(中文):::http://man.lupaworld.com/content/network/wireshark

wireshark開源網(wǎng)絡(luò)協(xié)議分析工具的簡(jiǎn)單使用:

安裝,并且在安裝過(guò)程中,提示要安裝 WinCap ,這個(gè)是要安裝的,應(yīng)該是抓包需要的插件吧.

打開軟件,選擇:capture->options,在 interface 中選擇一個(gè)網(wǎng)卡,并且在 capture filter 中增加一個(gè)過(guò)濾器,就可以了.

常用的過(guò)濾器就是 host + ip ,可以抓與指定 ip 通信的包.

然后 start ,就開始抓包了.

抓到了包之后,是二進(jìn)制的,在包上面點(diǎn)擊右鍵選擇 Follow TCP Stream ,就可以看到 http 包了.

里面紅色的是發(fā)出的請(qǐng)求,籃色的是響應(yīng).

選擇Capture->Options,先設(shè)定你要嗅探的網(wǎng)絡(luò)接口,也就是你的網(wǎng)卡.然后在Capture Filter里輸入tcp port http,說(shuō)明只監(jiān)聽80端口的tcp請(qǐng)求.設(shè)置好這些,你就可以點(diǎn)擊Start開始檢測(cè)了.打開瀏覽器隨便瀏覽一個(gè)網(wǎng)頁(yè),你就會(huì)得到類似下面的結(jié)果:

我瀏覽的是Google的頁(yè)面.這里211.100.209.50是瀏覽器,66.249.89.147就是服務(wù)器.下面具體解釋一下這個(gè)HTTP連接過(guò)程:

通過(guò)開源網(wǎng)絡(luò)協(xié)議分析工具的分析，我們了解到瀏覽器向服務(wù)器發(fā)出連接請(qǐng)求. 服務(wù)器回應(yīng)了瀏覽器的請(qǐng)求,并要求確認(rèn).瀏覽器回應(yīng)了服務(wù)器的確認(rèn),連接成功.瀏覽器發(fā)出一個(gè)頁(yè)面HTTP請(qǐng)求.服務(wù)器確認(rèn).服務(wù)器發(fā)送數(shù)據(jù).客戶端確認(rèn).服務(wù)器響應(yīng)了一個(gè)200狀態(tài),表示成功.客戶端發(fā)出一個(gè)圖片HTTP請(qǐng)求.服務(wù)器響應(yīng)了一個(gè)304HTTP頭,告訴瀏覽器別打擾它,直接用緩存.客戶端又發(fā)出一個(gè)圖片HTTP請(qǐng)求.服務(wù)器還是響應(yīng)了一個(gè)304HTTP頭.瀏覽器確認(rèn).服務(wù)器準(zhǔn)備關(guān)閉連接,并要求確認(rèn).瀏覽器確認(rèn).瀏覽器準(zhǔn)備關(guān)閉連接,并要求確認(rèn).服務(wù)器確認(rèn). 其中包含了我們常說(shuō)的TCP三次握手的過(guò)程.當(dāng)"服務(wù)器回應(yīng)了瀏覽器的請(qǐng)求,并要求確認(rèn)"的時(shí)候,如果瀏覽器沒有正常的確認(rèn),服務(wù)器就會(huì)在SYN_RECV狀態(tài)等下去,直到超時(shí).如果惡意程序偽造了大量類似的請(qǐng)求,那就是常說(shuō)的SYN洪水攻擊了.