实验 8 Wireshark 工具的使用与 TCP 数据包分析实验
【实验原理】
1.Wireshark
Wireshark(前称 Ethereal)是一个网络封包分析软件。网络封包分析软件
的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark
使用 WinPCAP 作为接口,直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、
电阻" 的工作,只是将场景移植到网络上,并将电线替换成网络线。在过去,网
络封包分析软件是非常昂贵,或是专门属于营利用的软件。Ethereal 的出现改
变了这一切。在 GNUGPL 通用许可证的保障范围底下,使用者可以以免费的代价
取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal 是
全世界最广泛的网络封包分析软件之一。
Wireshark 不是入侵侦测系统(Intrusion Detection System,IDS)。对于
网络上的异常流量行为,Wireshark 不会产生警示或是任何提示。然而,仔细分
析 Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark 不会对网络封包产生内容的修改,它只会反映出流通的封包资讯。
Wireshark 本身也不会送出封包至网络上。
WireShark 主要分为这几个界面
Display Filter(显示过滤器), 用于过滤
Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端
口号。 颜色不同,代表不同数据包
Packet Details Pane(封包详细信息), 显示封包中的字段
Dissector Pane(16 进制数据)
Miscellanous(地址栏,杂项)
Wireshark 和 Fiddler 比较:
Fiddler 是在 windows 上运行的程序,专门用来捕获 HTTP,HTTPS 的。
wireshark 能获取 HTTP,也能获取 HTTPS,但是不能解密 HTTPS,所以 wireshark
看不懂 HTTPS 中的内容
总结,如果是处理 HTTP,HTTPS 还是用 Fiddler, 其他协议比如 TCP,UDP 就
用 wireshark。
传输控制协议(TCP)
TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、
可靠的、基于字节流的传输层通信协议,由 IETF 的 RFC 793 定义。在简化的计
算机网络 OSI 模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)
是同一层内另一个重要的传输协议。在因特网协议族(Internet protocol suite)
中,TCP 层是位于 IP 层之上,应用层之下的中间层。不同主机的应用层之间经
常需要可靠的、像管道一样的连接,但是 IP 层不提供这样的流机制,而是提供
不可靠的包交换。
应用层向 TCP 层发送用于网间传输的、用 8 位字节表示的数据流,然后 TCP
把数据流分区成适当长度的报文段(通常受该计算机连接的网络的数据链路层的
评论0