抓包工具學習篇:-----認識
利用Wireshark擷取ICMP資料包,並對資料包進行解析
安裝步驟:
解壓檔案之後,在\wireshark-win32-1.4.9中文版\資料夾中找到安裝檔案,雙擊即可安裝。
安裝完成之後,雙擊wireshark圖示即可啟動,介面如下:
抓包步驟:
1、點選開始按鈕列出可以抓包的介面:
2、點選選項可以配置抓包引數:
3、配置完成點選開始,即可開始抓包:
4、點選停止完成抓包。
抓包介面分析:
抓包結果整個視窗被分成三部分:
1、最上面為資料包列表,用來顯示截獲的每個資料包的總結性資訊;
2、中間為協議樹,用來顯示選定的資料包所屬的協議資訊;
3、最下邊是以十六進位制形式表示的資料包內容,用來顯示資料包在物理層上傳輸時的最終形式。
資料包列表中,第一列是編號(如第1個包),第二列是擷取時間(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是這個包使用的協議(這裡是UDP協議),第六列info是一些其它的資訊,包括源埠號和目的埠號(源埠:58459,目的埠:54062)。
協議樹可以得到被截獲資料包的更多資訊,如主機的MAC地址(Ethernet II)、IP地址(Internet
protocol)、UDP埠號(user datagram protocol)以及UDP協議的具體內容(data)。
分析ICMP協議資料包
實驗原理:
ping是用來測試網路連通性的命令,一旦發出ping命令,主機會發出連續的測試資料包到網路中,在通常的情況下,主機會收到迴應資料包,ping採用的是ICMP協議。
實驗步驟:
點選開始抓包,為了抓取使用ICMP的包,我們要設定過濾條件,點選“選項”:
再點選“抓包過濾”按鈕:
因此初始狀態下沒有隻抓取ICMP協議包的過濾條件,因此我們點選新建按鈕:
在過濾名字和過濾條件中分別輸入“ICMP only”(自定義),“icmp”,點選確定:
這是可以看到抓包過濾按鈕後面的文字框出現了ICMP字樣,說明過濾條件設定成功:
點選開始,發現現在抓取不到任何包:
開啟命令列視窗,執行命令:ping www.baidu.com:
這時可以看到資料包抓取頁面抓取到了8包,與命令列顯示的已傳送和已接受的包的數量是一致的:
選擇任意一個包檢視詳細資訊:
可以看到ICMP報文的格式為:
在這個試驗中,可以發現,icmp的報文就只有兩種,請求和應答:
請求:
應答:
這兩個報文的type不一樣,8代表請求,0代表應答;code都為0,表示為回顯應答;標示符和序列號都是一樣的,表示這兩個報文是配對的
TCP
協議,所以此次實驗選取
FTP
DHCP資料包分析
使用DHCP獲取IP地址:
(1)開啟命令視窗,啟動Wireshark。
(2)輸入“ipconfig /release”。這條命令會釋放主機目前的IP地址,此時,主機IP地址會變為0.0.0.0
(3)然後輸入“ipconfig /renew”命令。這條命令讓主機獲得一個網路配置,包括新的IP地址。
(4)等待,直到“ipconfig /renew”終止。然後再次輸入“ipconfig /renew” 命令。
(5)當第二個命令“ipconfig /renew” 終止時,輸入命令“ipconfig /release” 釋放原來的已經分配的IP地址
(6)停止分組俘獲。如下圖:
五.實驗分析
由截圖可知,本機發起DHCP Discover包,用來尋找DHCP伺服器,源ip是0.0.0.0,因為剛開始還不知道,目的地址是255.255.255.255的廣播地址,廣播到整個網段。
Message type為1表明是請求包,由客戶端發出。
Hardware address length為6表示本機的網路硬體地址長度為6bytes
Hops為0表示跳數,此處為0 表示沒有經過閘道器。
此欄位表示DHCP報文型別:
此欄位表示DHCP客戶端的報文型別。
這是UDP上的DHCP,本機發起的埠是68,目標埠是67.
2.提供
DHCP伺服器收到客戶端發的DHCP Discover之後,會在自己的地址池中拿出一個沒有分配的地址以及配套的引數(如:掩碼、DNS、閘道器、域名、租期……),然後以一個DHCP Offer包傳送出去。
此時源IP是DHCP伺服器的IP,目的IP是255.255.255.255的廣播。這時候本機還無法獲得IP,所以DHCP伺服器只能用廣播來回應。
此截圖表明通過UDP傳輸,客戶端埠號68,伺服器是67。
Message type為2表明是回覆包。
Hops為1不標明經過了一箇中繼。
表明給客戶端的IP地址,但是現在還沒有確認。
這是中斷的地址,就是閘道器
DHCP伺服器地址
3.選擇
客戶端收到這個DHCP Offer後,會再發出一個DHCP Request給伺服器來申請這個Offer中包含的地址。
這個時候,客戶端還沒有正式拿到地址,所以還需要向DHCP伺服器申請。
此時客戶端的源IP還是0.0.0.0,目的IP還是255.255.255.255。
將這些都廣播出去,告訴其他DHCP伺服器和分配給本機的伺服器。
4.確認
被客戶機選擇的DHCP伺服器在收到DHCPREQUEST廣播後,會廣播返回給客戶機一個DHCPACK訊息包,表明已經接受客戶機的選擇,並將這一IP地址的合法租用以及其他的配置資訊都放入該廣播包發給客戶機。
服務,
本次抓包過程將採用顯示過濾器的方法來過濾資料包。