使用WireShark捕獲和分析數據包
使用WireShark捕獲和分析數據包
Wireshark的優勢:
-安裝方便。
-簡單易用的界面。
-提供豐富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。當時Ethereal的主要開發者決定離開他原來供職的公司,并繼續開發這個軟件。但由于Ethereal這個名稱的使用權已經被原來那個公司注冊,Wireshark這個新名字也就應運而生了。
一:安裝并運行wireshark開始捕獲數據包,如圖所示點擊第二行的start開始捕獲數據包。
二:幾分鐘后就捕獲到許多的數據包了,主界面如圖所示:
如上圖所示,可看到很多捕獲的數據。
***列是捕獲數據的編號;
第二列是捕獲數據的相對時間,從開始捕獲算為0.000秒;
第三列是源地址,第四列是目的地址;
第四列是數據包的信息。
選中***個數據幀,然后從整體上看看Wireshark的窗口,主要被分成三部分。上面部分是所有數據幀的列表;中間部分是數據幀的描述信息;下面部分是幀里面的數據。
三:開始分析數據
在下圖中Filter后面的編輯框中輸入:arp(注意是小寫),然后回車或者點擊“Apply”按鈕
現在只有ARP協議了,其他的協議數據包都被過濾掉了。注意到中間部分的三行前面都有一個“+”,點擊它,這一行就會被展開。如下圖所示:
現在展開***行。看到的結果如下:
在上圖中我們看到這個幀的一些基本信息:
幀的編號:15(捕獲時的編號)
幀的大小:60字節。再加上四個字節的CRC計算在里面,就剛好滿足最小64字節的要求。
幀被捕獲的日期和時間:Dec2,2008……
幀距離前一個幀的捕獲時間差:0.136438000……
幀距離***個幀的捕獲時間差:4.704371000……
幀裝載的協議:ARP
現在展開第二行:
我們可以看到:
目的地址(Destination):ff:ff:ff:ff:ff:ff(這是個MAC地址,這個MAC地址是一個廣播地址,就是局域網中的所有計算機都會接收這個數據幀)
源地址(Source):Elitegro_2d:e7:db(00:0d:87:2d:e7:db)
幀中封裝的協議類型:0x0806,這個是ARP協議的類型編號。
Trailer:是協議中填充的數據,為了保證幀最少有64字節。
展開第三行:
地址解析協議
硬件類型:以太網
協議類型:IP
硬件大小:6
協議大小:4
發送方MAC地址
發送方IP地址
目的MAC地址
目的IP地址
【編輯推薦】
