抓包软件的使用.ppt

,抓包软件的使用,课程内容,概述,使用须知,软件使用,实用案例,本章小结,概述,为什么要使用抓包软件？在网络出现故障时，通常会检查网络设备的状态如：配置是否正确、协议运行是否正常、数据帧/包的发送和接收是否有异常等等。使用show/debug即可但对于网络中正在传输的数据的具体状况，show和debug则无能为力在实际网络中，互联的设备通常属于不同的厂家或者部门，对方设备通常不会开放权限此外，使用抓包软件可以使我们更好的学习和理解各种协议、功能,概述,常见的抓包软件有哪些？SnifferEtherpeekTCPDumpEthereal/Wireshark,概述,WireShark的主要特点 软件开源，没有版权问题捕获信息实施查看储存捕获信息灵活，不受存储容量限制等支持协议丰富，可兼容其他常见的抓包软件格式,课程内容,概述,使用须知,软件使用,实用案例,本章小结,使用须知,软件的获取WireShark软件请自行去官方网站下载并安装（www.wireshark.org），目前最新的版本是v0.99.7。由于安装过程非常简单，此处就不在赘述。,使用须知,需要硬件支持Wireshark本身可以支持的协议种类非常丰富，但由于常见的PC工作平台只有以太网接口，导致我们只能捕获并分析以太网环境中的相关信息Wireshark等抓包软件捕获的内容，只是经过指定以太网接口的数据信息常见的以太网组网设备有HUB和Switch等两种，使用时有所不同。,使用须知,需要硬件支持（续）HUB由于其工作原理为“广播”。所以，Wireshark主机只要连接到同一个HUB（冲突域）中，就能获取到所有的网络信息。在HUB组网时，Wireshark不仅能够捕获到自己网卡上的数据收发情况，而且同时能捕获到其他主机之间的通信状况,使用须知,需要硬件支持（续）Switch由于Switch是一种带宽独享的设备，图中PC1与PC2的数据交互，除“广播信息”外，不会发送到wireshark主机。此时，Wireshark主机只能捕获到自己网卡上的数据收发,使用须知,需要硬件支持（续）按需使用目前以太网组网几乎已经清一色的变成交换机，如果此时如果要使用Wireshark来捕获其他主机之间的通信，必须对交换机进行配置，使得正常通信的端口之间数据也能“复制”到捕获端口如果局域网是由HUB组成的，那使用起来就比较简单。但需要注意的是：由于传统的HUB端口带宽多为10M，如果以太网数据流量较大，请慎用，以免对网络造成影响,使用须知,端口镜像Mirror这是一个交换机监控、管理中常用的一个功能。需要指定源端口和目的端口，源端口所有的收/发信息都会被复制到目的端口。mirror session 1 source interface both|tx|rxmirror session 1 destination interface*被镜像端口可以同时指定多个,使用须知,端口镜像（续）Show mirror session,课程内容,概述,使用须知,软件使用,实用案例,本章小结,软件使用,软件使用WireShark的软件功能是非常强大的，所有的功能细节有成百上千，但我们常用的功能无外乎如下几种：捕获查看过滤编辑,软件使用,软件使用捕获WireShark开始捕获前需要进行必要的设置：1、Captureinterface中指定相应的网卡2、同时也可以进入Options选项中自定义参数,软件使用,软件使用捕获（续）确认相关的网卡之后，wireshark会自动开始抓包使用工具栏前5个按钮可以控制其“开始”“结束”,软件使用,软件使用查看Wireshark的查看与捕获是同一窗口。输出内容中分为三个区域：数据包列表、当前包的协议信息、十六进制详情,软件使用,软件使用查看（续）数据包列表数据捕获时，是以帧/包为单位的，每个单位在list中就是一个条目，按照时间先后排列显示每个list条目中包含地址、协议类型等简要信息当前窗口中默认显示最近更新的帧/包的信息不同的帧/包可以自定义不同的颜色，方便阅读,软件使用,软件使用查看（续）当前帧/包的详细协议信息对于当前选中的帧/包，会按照OSI七层模型的顺序，以目录的形式详细显示该帧/包的详细情况wireshark会对每个展开项做出解释，包括协议、参数等等；要读懂这些信息，必须要求对相关原理有详尽理解和掌握,软件使用,软件使用查看（续）十六进制详情这部分内容相当于是，当前选中的帧/包的物理层信息，可读性较差,软件使用,软件使用查看（续）阅读列表信息，可以从各个帧/包的先后顺序中，看出协议的工作原理，甚至进行故障的初步定位当前帧/包的详细协议信息，是对列表信息的细化，可用于疑似故障的进一步定位。实际上使用Wireshark等抓包软件的大部分工作都是在这里十六进制代码制度性比较差，但可以用来比较两个帧/包是否完全相同,软件使用,软件使用过滤过滤Filter捕获执行的时候，信息量通常非常大；其中真正有用的信息确很少，此时就有必要加入Filter功能来减少干扰信息在使用Filter功能时，可以先设定Filter再进行抓包；也可以先抓包，再进行filter过滤,软件使用,软件使用过滤（续）先过滤再捕获可以有效减少捕获信息的数量，有利于实时观察；同时，也有利于减少Wireshark主机的存储空间占用但这种方式可能会遗漏一些潜在的重要信息先捕获再过滤好处是可以确保捕获到所有的数据信息缺点是wireshark的存储空间可能会很快被耗尽；同时由于大量干扰信息的存在，对于阅读很不利根据实际需要来选择过滤的方式,软件使用,软件使用过滤（续）要打开过滤功能，无论是哪种方式，可直接在Wireshark主界面的Filter栏中直接填写不同于其他的抓包软件，Wireshark的Filter是使用表达式来编写的，虽然入手较困难，但应用起来非常灵活，功能很强大，推荐使用这些表达式的主要分为两部分：常见函数逻辑关系,软件使用,软件使用过滤规则常见函数eth只显示以太网帧eth.addr=AA:BB:CC:DD:EE:FF只显示源或目的MAC地址为的以太网帧eth.src/eth.dst=AA:BB:CC:DD:EE:FF与eth.addr类似，可以具体指定源、目的地址,软件使用,软件使用过滤规则（续）常见函数ip只显示IP包ip.addr=A.B.C.D只显示源或目的地址为的IP包ip.src/ip.dst=A.B.C.D 与ip.addr类似，可以具体指定源、目的地址ip.host=相比于ip.addr，可以支持域名,软件使用,软件使用过滤规则（续）常见函数tcp只显示TCP报文tcp.port=Number只显示源或目的端口为的TCP报文tcp.srcport/tcp.dstport=Number与tcp.port类似，可以具体指定源、目的端口udp的函数与tcp的类同,软件使用,软件使用过滤规则（续）常见函数http只显示http的报文，tcp.dstport=80telnet只显示telnet的报文，tcp.dstport=23dhcp只显示DHCP的报文arp只显示ARP的报文,软件使用,软件使用过滤规则（续）逻辑关系某些函数需要指定参数的，可以按照下面的符号来确立关系，分别为等于、不等于、大于/小于、不小于/不大于=!=/=/=,软件使用,软件使用过滤规则（续）逻辑关系有些时候，过滤需要多个函数来联合定义，不同的函数之间可以使用如下的关系来定义，分别是与、否、或，当然“括号”是用于辅助的andnot|(),软件使用,软件使用过滤规则（续）举例eth.addr=11:22:33:44:55:66ip.src=1.2.3.4 and ip.dst=4.3.2.1not arp and!(udp.port=53)tcp.port=69|udp.port=69看看这些Filtre分别是什么含义？,软件使用,软件使用过滤规则要打开过滤功能，无论是哪种方式，可直接在Wireshark主界面的Filter栏中直接填写不同于其他的抓包软件，Wireshark的Filter是使用表达式来编写的，虽然入手较困难，但应用起来非常灵活，功能很强大，推荐使用这些表达式的主要分为两部分：常见函数逻辑关系,软件使用,软件使用编辑前面介绍的内容都是如何捕获网络上现成的数据，而“编辑”是指按照特定的要求来制造一个/组报文。并通过以太网接口发送到网络上编辑功能通常用于测试网络设备对某种特殊数据报文的反应大多数的数据报文结构非常复杂，其中包含了大量的参数域，对于初学者而言，要凭空编辑一个指定的报文，难度非常高通常我们先捕获一个类似的数据帧/包，然后再根据需要对其进行修改,软件使用,软件使用编辑（续）Wireshark暂时还不支持数据帧/包的编辑功能，需要时可以使用其他的收费软件，如：Sniffer、Etherpek等大多数的抓包分析应用中，捕获、查看、过滤功能足矣,课程内容,概述,使用须知,软件使用,实用案例,本章小结,实用案例,数据包比较某企业进行宽带接入组网，使用的核心技术是NAT，但在进行静态端口映射的时候发现，外网的用户根本无法访问内网服务器，同时，路由器配置和其他状态来说都是正常的可以使用Wireshark分别在路由器内网和外网进行抓包，观察路由器是否正常接收到数据，并且通过比对，判断路由器是否正常处理,实用案例,协议流程跟踪某用户使用路由器充当DHCP服务器，但链接并设置完成之后发现，用户根本就无法“自动获取IP地址”，可以将Wireshark接入网络中，跟踪DHCP报文的交互流程，与协议原理比对之后可以判断问题在哪里,实用案例,过滤设置在前面的两个实验中，分别使用合适的Filtre，减少捕获信息的量，提高信息的可读性,实用案例,长时间/大量抓包某网络在运行时总是出现奇怪现象，每隔两天左右就会出现网速很慢的情况。由于时间没有明显规律，所以只能持续抓包；且需要捕获的数据也没有规律，无法应用Filter；且抓取的所有信息都要保存下来，只用内存空间显然是不够的。,实用案例,长时间/大量抓包（续）在CaptureOptions中，可以设定存储成多个文件，可以根据文件大小，也可以根据时间来设定不影响结果的前提下，应尽可能的使用Filter功能来减小数据量,实用案例,思考有一台设置好可以访问internet网络的PC主机，正常开机后。用户使用Foxmail接收了邮件，请分析一下该过程中，PC主机先后与哪些设备发生了联系，同时分别是些什么报文？把你的分析结果写下来。使用Wireshark进行捕获，然后与你的分析结果比对一下，是否相同？,课程内容,概述,使用须知,软件使用,实用案例,本章小结,本章小结,小结Wireshark是一个抓包工具，在功能上与Sniffer、Etherpeek没有本质差别本文介绍的捕获、查看、过滤为重点内容，必须完全掌握工具是死的，人是活的。学会使用Wireshark等抓包工具只是学习的开始Wireshark的功能非常庞大，详细内容请参阅官方网站，谢谢！,Thank You!,