听包结果的一点常识,更多的需要大家来完善,我开个头.............
听包结果的一点常识,更多的需要大家来完善,我开个头.............在这里主要是介绍一下听包后即每个包里的数据的含义。至于怎么分析包还得chit以及懂得的大牛们教一下
1.打开Wireshark,点击capture中的optionns,在interface中选择自己的网卡,如果不知道可以用优化大师查看硬件或控制面板里的管理工具--计算机管理看你的网卡型号。
2.点击start开始捕捉网络上的数据祯了
3.在这里我们可以进行一些与网络有关的操作,主要是看看我们所做的能不能在所听包中找到相关的数据
a.运行->cmd->ping forum.byr.edu.cn
b.再用ie打开[url=http://bbs.imobile.com.cn/forum-2220-1.html]http://bbs.imobile.com.cn/forum-2220-1.html[/url]
c.运行->cmd->ftp openware.byr.edu.cn
现在可以停止听包了
以下来分析数据帧和数据包 捕获的数据含义如下:第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是协议信息;第六列是数据包的信息。为了避免因操作失误导致数据丢失,我们可以先将捕获的数据保存起来(选择file->save命令)。 以太网祯格式
ARP协议封装在以太网中的格式: 分析ARP封装在以太网数据帧中 在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮。如下图
现在只有ARP协议了。其他的协议数据包都被过滤掉了。选中一个数据帧,然后从整体上Wireshark的窗口,主要被分成三部分:上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。 中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。现在展开第一行。看到的结果如下 在上图中我们看到这个帧的一些基本信息:
帧的编号:3867(捕获时的编号)
帧的大小:68字节。
帧被捕获的日期和时间:jan 14,2007.........
帧距离前一个帧的捕获时间差:0.02815400......
帧距离第一个帧的捕获时间差:0.028154000.......
帧装载的协议:ARP 下面看第二行: 在上图中,我们在上面一栏每选到一部分,在下面一栏就会显示对应的数据部分。我们可以看到:
目的地址(Destination):ff:ff:ff:ff:ff:ff (这是个MAC地址,这个MAC地址是一个 广播地址,就是局域网中的所有计算机都会接收这个数据帧 )
源地址(Source):huaweite_3b:33:82 (00:e0:fc:3b:33:82),那么我们知道, 3b:33:82是以太网网卡厂商huawei拥有的一个以太网地址块。
帧中封装的协议类型:0x0806,(这个是ARP协议的类型编号。)
Trailer:是协议中填充的数据,为了保证帧最少有64字节。 接下来展开第三行,结果 如下: 在上图中,我们可以看到如下信息:
硬件类型(Hardware type):Ethernet(0X0001) 协议类型(Protocol type): IP(0X0800)
硬件信息在帧中占的字节数(Hardware size):6
协议信息在帧中占的字节数(Protocol size):4
操作码(opcode):requset(0X0001)
发送方的MAC地址(Sender MAC address):huaweite_3b:33:82 (00:e0:fc:3b:33:82) 发送方的IP地址(Sender IP address):59.64.232.1(59.64.232.1)
目标的MAC地址(Sender MAC address):00:00:00:00:00 (00:00:00:00:00) 目标的IP地址(Sender IP address):59.64.235.162
类似的,我们也可以看FTP及HTTP封装在以太网数据帧中 下次再来. 请大家继续. 支持原创 看来楼主对这款抓包软件用的很熟哦!不错的文章 [quote]原帖由 [i]日出东方[/i] 于 2007-1-16 01:23 发表
看来楼主对这款抓包软件用的很熟哦!不错的文章 [/quote]
你是陕西的
metoo
回复 #11 一笑! 的帖子
怎么你难到也是回复 #12 日出东方 的帖子
是什么? 太长 没看明白 看不懂,以后在学有没更好的软件 虽然还没看完
先收下~~~:handshake 好,先收下了 支持啊 虽然没看太明白 继续啊,楼主~~~ :loveliness:
页:
[1]
2
