Wireshark使用及协议分析.ppt
- 格式:ppt
- 大小:617.50 KB
- 文档页数:30


《信息系统安全》实验实验 - Wireshark 应用Mininet 拓扑目标第 1 部分:安装和验证 Mininet 拓扑第 2 部分:在 Wireshark 中捕获和分析 ICMP 数据背景/场景CyberOps 虚拟机包含一个 Python 脚本,运行该脚本时,它会设置并配置上图中所示的设备。
然后,同学们便可以访问同学们的一台虚拟机内的四台主机、一台交换机和一个路由器。
这样,同学们就可以模拟各种网络协议和服务,而无需配置设备的物理网络。
例如,在此实验中,同学们将在 Mininet 拓扑中的两台主机之间使用ping 命令,并使用 Wireshark 捕获这些 ping。
Wireshark 是一种协议分析器软件,即“数据包嗅探器”应用程序,适用于网络故障排除、分析、软件和协议开发以及教学。
当数据流在网络中传输时,嗅探器可以“捕获”每个协议数据单元 (PDU),并根据适当的 RFC 或其他规范对其内容进行解码和分析。
对于使用网络进行数据分析和排除故障的任何人来说,Wireshark 是一个有用的工具。
同学们需要使用 Wireshark 来捕获 ICMP 数据包。
所需资源•CyberOps 虚拟机•互联网接入第 1 部分:安装和验证 Mininet 拓扑在此部分中,同学们将使用 Python 脚本在 CyberOps 虚拟机中设置 Mininet 拓扑。
然后,同学们需要记录 H1 和H2 的 IP 地址和 MAC 地址。
第 1 步:验证 PC 的接口地址。
启动并登录同学们在之前的实验中使用以下凭证安装的 CyberOps Workstation:用户名:analyst密码:cyberops第 2 步:运行 Python 脚本以安装 Mininet 拓扑。
打开终端仿真程序以启动 Mininet,并在提示符后输入以下命令。
系统提示时,输入cyberops 作为密码。
[analyst@secOps ~]$ sudo ~/lab.support.files/scripts/cyberops_topo.py[sudo] password for analyst:第 3 步:记录 H1 和 H2 的 IP 地址和 MAC 地址。
实验二用Wireshark 进行协议分析一.分组及实验任务组长:,组员:由于本次试验不需要合作,所以每个人的任务都一样。
任务:1. 学习协议分析软件Wireshark 的使用。
2. 分析以太网帧格式。
3. 分析IP、ICMP、ARP 数据包格式。
二.实验环境1.以太网交换机1 台、PC 机2 台;2.实验拓扑如下:三.实验过程在命令行界面执行命令ping,在Wireshark选项界面的Capture option 中设置过滤规则:“ether proto0x0806”,界面出现了arp request和arp reply的包;设置过滤规则:”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包;设置过滤规则:“ether proto 0x0806 or ip proto 1”后,界面出现了ARP和ICMP的request包以及reply包。
四.问题解答1. 抓取一对ARP 包(包括ARP request 和ARP reply ),分析以太网帧头的字段。
解:下图是做实验时用软件抓到的ARP包:以太网首部:目的主机采用的是广播地址00:21:97:29:44,源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP2. 抓取一对封装ICMP 报文的IP 数据报(包括echo 和echo reply ),然后1) 找到两个ICMP 报文中的类型(type)和代码(code )字段,2) 分析其中一个IP 数据报的首部字段值,3) 并计算首部校验和。
解:1):这是一个ICMP回应请求报文,报文类型为08,代码字段为00这是一个ICMP回应应答报文,报文类型为00,代码字段为002):ICMP回应请求报文中IP数据报的首部字段为:45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01第一个字节“45”高四位为“4”,代表IP协议的版本为4,低四位为“5”,代表该IP数据报的首部长度为20个字节;第二个字节为“00”,为区分服务;第三、四个字节为“003c”,表示该IP数据报的总长度为60字节(3x16+12=60);第五六字节为“a42a”,为标识字段;第七八字节为“0000”,前三位为标志字段,表示该数据报为若干数据报片中的最后一个,在这代表只有一个数据报,不存在分片;后十三位为片偏移字段,在这没有意义;第九个字节为“80”,表示生存时间;第十个字节为“01”,表用来示该数据报携带的数据使用的何种协议,在这表示使用的是UDP协议;第十一十二字节为“13 62”,为首部检验和;第十三至第十六字节为“c0 98 01 03”,表示源地址;第十七至第二十字节为“c0 98 01 01”,表示目的地址;3):数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110;五.实验总结本次试验主要要求我们熟悉wireshark软件,难度不是很大,我们很快就做完了,再结合课堂上学习到的知识,思考题也迎刃而解。
wireshark协议分析Wireshark协议分析Wireshark是一个功能强大的网络协议分析工具,它能够捕获、分析和显示网络数据包中的数据。
通过使用Wireshark,我们可以深入了解网络通信过程中的协议细节,追踪数据包的传输路径,发现潜在的安全风险,并进行网络性能优化。
在进行协议分析之前,我们首先需要捕获网络数据包。
Wireshark支持在多个平台上运行,包括Windows、Mac OS和Linux。
它能够通过本地网络接口或远程连接捕获网络数据包。
当我们开始捕获数据包时,Wireshark会显示一个实时的数据包列表,并提供详细的信息,如源IP地址、目标IP地址、协议类型、端口号等。
在开始分析数据包之前,我们可以通过使用过滤器来限制需要关注的数据包。
Wireshark支持使用协议、源IP地址、目标IP地址、端口号等作为过滤条件。
通过设置适当的过滤器,我们可以只关注我们感兴趣的数据包,而忽略其他不相关的数据。
一旦我们捕获了数据包,我们就可以开始进行协议分析了。
Wireshark提供了许多工具和功能来帮助我们分析协议。
其中一个很有用的功能是重构TCP流。
当网络中的数据包是以多个片段的形式传输时,Wireshark可以将它们重新组装成完整的数据流,以便我们更好地分析和理解通信内容。
此外,Wireshark还可以对数据包进行解码。
它支持解码多种网络协议,包括TCP/IP、UDP、HTTP、DNS等。
通过解码数据包,我们可以查看每个协议中的字段和值,以便更好地理解和分析网络通信过程。
在分析数据包时,我们还可以使用Wireshark提供的统计功能。
Wireshark可以统计网络中的数据包数量、协议类型、数据包大小等信息,并以图表的形式展示。
通过分析这些统计信息,我们可以了解网络的负载情况、流量模式以及网络性能状况。
除了基本的协议分析功能外,Wireshark还支持操作和导出数据包。
我们可以对数据包进行重发、制作过滤器、设置标记等操作。
Wireshark抓包分析TCP协议之前一直听别人说Wireshark这个抓包软件,Leelom也跟我提过说面试的时候会问这些东西。
今天呢,参考别人的博文,结合抓包,将TCP/IP协议进行一些浅显的分析。
1. HTTP协议基本特征更加具体的说明需要重新写一篇博客来看。
参考基础认知TCP(Transmission Control Protocol,传输控制协议)是面向连接的、可靠的、基于字节流的在传输层上的通信协议。
这里想一下UDP,是无连接的、不可靠的(所以就像之前提到的一样,无连接的快节省时间,不用连接建立的时间)。
TCP/IP の 4层模型数据包封装情况TCP/IP分层结构跟OSI(Open System Interconnection)分7层不同。
如上面的图中,TCP/IP 协议下分为4层:应用层、传输层、网络层、数据链路层。
•应用层:向用户提供常用的应用程序。
比如电子邮件、文件传输、远程登录等。
TELNET 会话提供了基于字符的虚拟终端,FTP使用 FTP协议来提供网络内机器间的文件拷贝功能。
•传输层:传输层提供两台主机之间端到端的通信。
所谓的TCP/UDP协议就是跑在这一层。
•网络层:处理分组在网络中的活动。
可以理解为IP路由这些。
•链路层:链路层负责处理下层物理层的物理接口细节。
主要目的有: \ 1. 为上层IP模块接收和发送IP数据报 \ 2. 为ARP模块发送请求和完成接收 \ 3.为RARP模块。
层级功能图封装封装这个事情就好像寄快递一样。
之前上计网课那个张洪涛就是这么举例子的。
报文封装注意上图中的 appl 首部是说 application 层首部的意思。
按照上图一层层封装,直到经过以太网封装之后,就要通过网线或者其他的传输介质将此封装好的报文发送到另一端去。
另一端收到之后再一层层的把封装头剥离,最终拿到用户数据。
这里我们要明白一点就是上层对下层不负责,下层对上层隐身。
TCP/IP这里可以做这样的一个理解,就是TCP/IP协议是说二者协同一起工作。