网络协议分析软件Wireshark学习心得

——作者：XP

一、什么是抓包？

抓包是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作。

二、为什么要抓包？

检查网络安全。在与网络相关的问题中，对故障进行定位分析，最好的办法就是用抓包软件流来抓包和分析包。

三、网络协议分析软件Wireshark安装及使用过程：

1、下载网络嗅探工具Wireshark1.7.0Development Release(32-bit)并解压。

图1解压Wireshark安装文件

2、执行Wireshark1.7.0Development Release(32-bit).exe安装Wireshark。

图2安装Wireshark

Wireshark可透过WinPcap来劫取网络上的数据包。Install WinPcap，在安

装Wireshark的过程中也会一并安装WinPcap。

3、捕获数据包

欲劫获网络上的数据包，要指定网卡(Network Interface Cad)，接着按Capture。

下图为Wireshark截取数据包的页面。由上而下分別是功能表栏、工具栏截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。

图3Wireshark截取数据包的页面

4、协议分析

Wireshark的显示窗口分为上、中、下三个子窗口。

顶层窗口显示了序号（No.）、时间（Time）、源地址（Source）、目的地址（Destination）、协议类型（Protocol）、长度（Length）、该数据包的含义（Info）。

图4Wireshark顶层窗口显示

中间窗口是所选数据包的详细信息。

图5Wireshark中间窗口显示

由图5可看到TCP建立连接时所经历的协议栈：先从Ethernet到网络互联层IP协议，然后到传播层TCP协议，再到应用层HTTP协议。

下层窗口中可看到所选定报文分组中的数据（十六进制）如下。

图6Wireshark下层窗口显示

另外可将截获到的数据包列表资料储存起来，可以执行[File]→[Save]或[Save As]将资料储存起来。这些储存的数据包资料可以在以后执行[Open]来加以开启。

四、网络协议分析软件Wireshark学习心得

安装并运行Wireshark,几分钟后就捕获了许多包了。下面对捕获数据进行简单分析。选中一个数据帧如下图所示：

（1）纵向第一窗口分析：

第一列是捕获数据的编号为：157

第二列是捕获数据的时间：38.98958000

第三列是源地址：192.168.137.194

第四列是目的地址：125.88.193.224

（2）展开中间第一行详细信息如下：

在上图可以看到这个帧的基本信息：

帧的编号：157（捕获时的编号）

帧的大小：54字节。

帧捕获时间：Sep18,201421:23:47

帧装载的协议：HTTP

（3）展开中间第二行详细信息如下：

从上图可以看到：

目的地址（Destination）：38:59:f9:a6:2b:0a

源地址（Source）：LiteonTe_b8:47:b4(74:de:2b:b8:47:b4)

帧中封装的协议类型：0x0800,这个是IP协议的类型编码。

（4）展开中间第三行详细信息如下：

上图的信息是：

IPv4协议

差分服务领域:0x00(DSCP0x00:默认;ECN:0x00:Not-ECT(不是ECN-Capable传输))头校验和:0x911b(正确)

（此处只是利用翻译工具翻译出了部分信息，但是不太理解）

（5）展开中间第四行详细信息如下：

上图的信息是：

传输控制协议,Src端口:50095(50095),Dst端口:http(80),Seq:1,Ack:18744,Len:0校验和:0x55be(禁用验证)

SEQ/ACK分析