抓包原理 wireshark
这篇文章次要是用来记录一下 wireshark 原理和应用办法,包含一些性能。一方面分享,一方面给本人做个笔记,而且作为一个后盾开发人员,把握抓包工具是必备的技能之一。
一、wireshark 简介
Wireshark(前称 Ethereal)是一个网络封包剖析软件。网络封包剖析软件的性能是撷取网络封包,并尽可能显示出最为具体的网络封包材料。Wireshark 应用 WinPCAP 作为接口,间接与网卡进行数据报文交换。
二、抓包是抓哪些包?
1. 本机环境
也就是抓取的是咱们电脑的网卡进出的流量
2. 集线器环境
流量防洪,同一抵触域(网络域)物理层
3. 交换机环境
也就是数据链路层(MAC 地址表),如图所示,在这个环境中获取数据包的形式有一下几种:
3.1 端口镜像(SPAN)
利用 SPAN 技术咱们能够把交换机上某些想要被监控端口(以下简称受控端口)的数据流 COPY 或 MIRROR 一 份,发送给连贯在监控端口上的流量分析仪
3.2 ARP 坑骗
针对以太网地址解析协定(ARP)的一种攻打技术,通过坑骗局域网内访问者 PC 的网关 MAC 地址,使访问者 PC 错认为攻击者更改后的 MAC 地址是网关的 MAC,导致网络不通。此种攻打可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法失常连线
3.3 MAC 泛洪
交换机中存在着一张记录着 MAC 地址的表,为了实现数据的疾速转发,该表具备主动学习机制;泛洪攻打即是攻击者利用这种学习机制一直发送不同的 MAC 地址给交换机,充斥整个 MAC 表,此时交换机只能进行数据播送,攻击者凭此取得信息。
二、底层原理
看图所示:
三、过滤器
1、抓包过滤器
也叫捕获过滤器,设置步骤为:
抉择 capture -> options。
填写 ”capture filter” 栏或者点击 ”capture filter” 按钮为您的过滤器起一个名字并保留,以便在今后的捕获中持续应用这个过滤器。
点击开始(Start)进行捕获。
Protocol(协定): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特地指明是什么协定,则默认应用所有反对的协定。
Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特地指明起源或目的地,则默认应用“src or dst”作为关键字。例如,”host 10.2.2.2″ 与 ”src or dst host 10.2.2.2″ 是一样的。
Host(s): 可能的值:net, port, host, portrange. 如果没有指定此值,则默认应用 ”host” 关键字。例如,”src 10.1.1.1″ 与 ”src host 10.1.1.1″ 雷同。
Logical Operations(逻辑运算): 可能的值:not, and, or. 否 (“not”) 具备最高的优先级。或 (“or”) 和与 (“and”) 具备雷同的优先级,运算时从左至右进行。例如,“not tcp port 3128 and tcp port 23″ 与”(not tcp port 3128) and tcp port 23″ 雷同。“not tcp port 3128 and tcp port 23″ 与 ”not (tcp port 3128 and tcp port 23)” 不同。
注意事项:
当应用关键字作为值时,需应用反斜杠“\”。
“ether proto \ip” (与关键字 ”ip” 雷同).
这样写将会以 IP 协定作为指标。
“ip proto \icmp” (与关键字 ”icmp” 雷同).
这样写将会以 ping 工具罕用的 icmp 作为指标。
能够在 ”ip” 或 ”ether” 前面应用 ”multicast” 及 ”broadcast” 关键字。
当您想排除播送申请时,”no broadcast” 就会十分有用。
2、显示过滤器
显示过滤器是在原来或者当初抓包的根底上,过滤掉其余的包,找到本人须要的数据报包。如图所示:
四、性能
1. 数据包追踪 Follow TCP Stream
其实到这,作为程序员来说,用 wireshark 来抓包就曾经够用了,而且咱们个别也就是这些性能会应用的多,剩下的性能我只做一个简略的介绍,以便后续须要的时候,能够尽快的找到相应的功能模块。
五、性能介绍
1. 专家信息 (Analyze–>Expert Info)
能够看到:1. 对话:对于失常通信的根本信息
2. 留神:失常通信时的异样数据包
3. 正告:不是失常通信中的异样数据包(集体了解为:非正常的通信产生的数据包)
4. 谬误:数据包中的谬误,或者解析器解析时的谬误
2. 汇总信息(Statistics–>Summary)
摘要阐明,也相当与是信息汇总
3. 协定层剖析
4、网络节点统计
5. 数据包长度统计
6. 图表剖析
等等。。。
残余这些性能咱们可能个别用的不是很多,次要把握跟踪数据流之前根本就能够了。