《Wireshark网络分析实战》—第1章1.3节开始抓包

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.3节开始抓包,作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。

1.3 开始抓包
Wireshark网络分析实战
本节首先将介绍如何启动Wireshark,然后会讲解布放好Wireshark之后,如何对其进行配置,以应对不同的抓包场景。

1.3.1 准备工作
安装过Wireshark之后,需点击桌面→开始→程序菜单或快速启动栏上相应的图标,运行该数据包分析软件。

Wireshark一旦运行,便会弹出图1.6所示的窗口(Wireshark1.10.2运行窗口)。


251c09e44ec4d7c765ac4bbc580d81e0da488b4f

1.3.2 操作方法
要想让Wireshark软件能抓到数据包,有以下三种途径:点击Capture菜单下的相关菜单项;点击快速启动工具栏里的绿色图标;点击Wireshark主窗口左侧居中的Start区域里的相关选项,如图1.6所示。此外,在抓包之前,还可对Wireshark的某抓包选项进行配置。

如何选择实际用来抓包的网卡
若只是点击图1.7所示Wireshark快速启动工具栏里的绿色图标(正数第三个图标),Wireshark在抓包时,实际使用的网卡将会是该软件默认指定的网卡(如何更改这一默认配置,详见1.3.3节)。要选择Wireshark抓包时实际使用的网卡,请点击快速启动栏里左边第一个图标(List the available capture interfaces图标),Wireshark Capture Interfaces窗口会立刻弹出,如图1.8所示。


d5acbb9974523c501e1a1a881d9bf0a412d04c9c

要想得知哪块网卡为有效网卡,最佳途径是观察其是否能够收发流量。通过图1.8,可以得知Wireshark感知到的各块网卡正在收、发的数据包的个数(Packets列)及速率(Packets/s列)。

ecebb0ded4d1fe4ee0b41430ddb9192f7a2ceff1

若Wireshark的版本不低于1.10.2,则可以选择一块以上的网卡来同时抓包。如此行事的好处是,只要Wireshark主机配有多块网卡,便可同时监控多个服务器端口、多个路由器(或其他网络设备)端口的流量。图1.9所示为这样的一个应用场景。

3b47e97e331028259042bf3e6668e5d78308dfca

如何配置实际用来抓包的网卡
要想对实际用来抓包的网卡做进一步的配置,请点击Capture菜单中的Options菜单项,Wireshark Capture Options窗口会立刻弹出,如图1.10所示。

320dfeeff1ad243674e7c716cd5bc16fc9e418a4

在图1.10所示的Wireshark Capture Options窗口中,可配置以下参数。

1.在Wireshark Capture Options窗口的上半部分区域,可以点选实际用来抓包的网卡。

2.在Wireshark Capture Options窗口的左中区域有一个Use promiscuous mode on all interfaces复选框。选中时,会让Wireshark主机抓取交换机(端口镜像功能)重定向给自己的所有数据包,哪怕数据包的目的(MAC/IP)地址不是本机地址;否则,Wireshark主机只能抓取到目的(MAC/IP)地址为本机地址的数据包,外加广播及多播数据包。

3.在某些情况下,选中该复选框后,Wireshark将不会从无线网卡抓包。因此,若选用无线网卡抓包,且一无所获时,请取消勾选该复选框。

4.在Use promiscuous mode on all interfaces复选框下有Capture Files字样,其后有个files输入栏,可在栏内输入一个文件名,然后再点选use multiple files复选框。这么一点,Wireshark不但会把所抓数据保存在由其命名的文件内(其系统路径可由用户指定),而且还可根据特定的需求,以多个文件的形式存储。当以多个文件的形式存储时,在同一目录下,Wireshark会自动在原始文件名后添加后缀“ xxxxx 具体时间”来加以区分。若所要抓取的数据较多,Wireshark的这一功能便非常有用。譬如,在网卡收到的流量较高,或需要长期抓取数据的情况下,就可以利用这一多文件存储功能,基于特定的时间间隔(点选第二个next file every复选框)或希望保存的每个抓包文件的大小(点选第一个next file every复选框),让Wireshark另行打开一个新的文件来保存所抓取的数据。

5.在Wireshark Capture Options窗口的左下区域,有Stop Capture Automatically字样。可点选其名下的三个复选框,让Wireshark根据抓包时长、所保存的抓包文件的大小或所抓取的数据包的数量,来决定是否停止抓包任务。

6.在Wireshark Capture Options窗口的右中区域,有Display Options字样。可点选其名下的三个复选框,来配置Wireshark抓包主窗口的显示选项。点选Update list of packets in real time复选框,Wireshark抓包主窗口将会实时显示抓取到的所有数据包;点选Automatically scroll during live capture复选框,Wireshark抓包主窗口会在实时显示数据包时自动滚屏;点选Hide capture info dialog复选框,Wireshark将不再弹出与实际用来抓包的网卡相关联的流量统计窗口。一般而言,无需改变Wireshark软件的上述任何一项默认配置。

7.在Wireshark Capture Options窗口的右下区域,有name resolution字样。可点选其名下的4个复选框,来调整与名字解析有关的配置。点选前三个复选框,就会让Wireshark在显示数据时,解析出与MAC地址、IP地址以及第四层协议端口号相对应的名称(比如,MAC地址所隶属的厂商名、与IP地址相对应的主机名或域名、与TCP/UDP端口号相对应的应用程序名等);点选最后一个复选框Use external network name resolver,Wireshark便会调用由操作系统指明的名字解析程序(比如,DNS解析程序),来解析上述名称。

1.3.3 幕后原理
Wireshark的抓包原理非常简单。把Wireshark主机上的网卡接入有线或无线网络开始抓包时,介于有线(或无线)网卡和抓包引擎之间的软件驱动程序便会参与其中。在Windows和UNIX平台上,这一软件驱动程序分别叫做WinPcap和Libcap驱动程序;对于无线网卡,行使抓包任务的软件驱动程序名为AirPacP驱动程序。

1.3.4 拾遗补缺
若(数据包的收、发)时间是一个重要因素,且还要让Wireshark主机从一块以上的网卡抓包,则Wireshark主机就必须与抓包对象(受监控主机或服务器)同步时间,可利用NTP(网络时间协议)让Wireshark主机/抓包对象与某个中心时钟源同步时间。

当网管人员既需观察Wireshark抓包文件,也需检查抓包对象所生成的日志记录,以求寻得排障线索时,Wireshark主机与抓包对象的系统时钟是否同步将会变得无比重要。比方说,Wireshark抓包文件显示的发生TCP重传的时间点,与受监控服务器(生成的)日志显示的发生应用程序报错的时间点相吻合,则可以判断TCP重传是拜服务器(上运行的应用程序)所赐,与网络无关。

Wireshark软件所采用的时间取自操作系统(Windows、Linux等)的系统时钟。至于不同OS中NTP的配置方法,请参考相关操作系统配置手册。

以下所列为在Microsoft Windows 7操作系统内配置时间同步的方法。

1.单击任务栏最右边的时间区域,会出现时间窗口。

2.在时间窗口中点击“更改日期和时间设置”,会弹出“日期和时间”窗口。

3.在“日期和时间”窗口中,点击“Internet时间”标签,再点击“更改设置”,会弹出“Internet时间设置”窗口。

4.在“Internet时间设置”窗口中,选中“与Internet时间服务器同步”复选框,在“服务器”后的输入栏内输入时间服务器(NTP)的IP地址,再点确定按钮。

注意:
在Microsoft Windows 7及后续版本的操作系统中,默认包含了几个时间服务器(格式为域名)。可选择一个时间服务器,让网络内的所有主机都与其同步时间。
NTP是一种网络协议,网络设备之间可藉此协议同步各自的时间。可把网络设备(路由器、交换机、防火墙)及服务器配置为NTP客户端,令它们与同一台NTP时间服务器(时钟源)对时(同步时间),时间精度要取决于那台时间服务器所处的层级(stratum)或等级(level)。NTP时间服务器所处层级越高,其所提供的时间也就越精确。直连原子时钟并提供NTP对时服务的设备被称为1级时钟源,其精度也最高。

RFC 1059(NTPv1)是定义NTP的第一份标准文档,RFC 1119(NTPv2)则是第二份;目前常用的NTPv3和v4则分别定义于RFC 1305和RFC 5905。

NTP服务器IP地址表可从多处下载,比如http://support.ntp.org/bin/view/Servers/StratumOneTimeServershttp://wpollock.com/AUnix2/NTPstratum1PublicServers.htm

1.3.5 进阶阅读
可浏览以下站点,来了解与PACP驱动程序有关的信息。

WinPcap:http://www.winpcap.org
LibPcap:http://www.tcpdump.org
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

相关文章
|
2月前
|
监控 网络协议 安全
|
2月前
|
缓存 算法 物联网
基于AODV和leach协议的自组网络平台matlab仿真,对比吞吐量,负荷,丢包率,剩余节点个数,节点消耗能量
本系统基于MATLAB 2017b,对AODV与LEACH自组网进行了升级仿真,新增运动节点路由测试,修正丢包率统计。AODV是一种按需路由协议,结合DSDV和DSR,支持动态路由。程序包含参数设置、消息收发等功能模块,通过GUI界面配置节点数量、仿真时间和路由协议等参数,并计算网络性能指标。 该代码实现了节点能量管理、簇头选举、路由发现等功能,并统计了网络性能指标。
163 73
|
15天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
2月前
|
存储 弹性计算 测试技术
阿里云服务器实例规格vCPU、内存、网络带宽、网络收发包PPS、连接数等性能指标详解
阿里云服务器ECS实例可以分为多种实例规格族。根据CPU、内存等配置,一种实例规格族又分为多种实例规格。而实例规格又包含vCPU、处理器、内存、vTPM、本地存储、网络带宽、网络收发包PPS、连接数、弹性网卡、云盘带宽、云盘IOPS等指标,本文为大家详细介绍实例规格的这些指标,以供大家了解和选择。
138 14
阿里云服务器实例规格vCPU、内存、网络带宽、网络收发包PPS、连接数等性能指标详解
|
15天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
|
6月前
|
SQL Oracle Java
实时计算 Flink版产品使用合集之网络包大小与配置不符该如何处理
实时计算Flink版作为一种强大的流处理和批处理统一的计算框架,广泛应用于各种需要实时数据处理和分析的场景。实时计算Flink版通常结合SQL接口、DataStreamAPI、以及与上下游数据源和存储系统的丰富连接器,提供了一套全面的解决方案,以应对各种实时计算需求。其低延迟、高吞吐、容错性强的特点,使其成为众多企业和组织实时数据处理首选的技术平台。以下是实时计算Flink版的一些典型使用合集。
|
2月前
|
网络协议 网络虚拟化
接收网络包的过程——从硬件网卡解析到IP
【9月更文挑战第18天】这段内容详细描述了网络包接收过程中机制。当网络包触发中断后,内核处理完这批网络包,会进入主动轮询模式,持续处理后续到来的包,直至处理间隙返回其他任务,从而减少中断次数,提高处理效率。此机制涉及网卡驱动初始化时注册轮询函数,通过软中断触发后续处理,并逐步深入内核网络协议栈,最终到达TCP层。整个接收流程分为多个层次,包括DMA技术存入Ring Buffer、中断通知CPU、软中断处理、以及进入内核网络协议栈等多个步骤。
|
3月前
|
存储 缓存 网络协议
网络丢包排查方法
网络丢包排查方法
|
3月前
|
内存技术
思科TAC专家分享的内嵌抓包法,真是网络大神必备技能啊!
思科TAC专家分享的内嵌抓包法,真是网络大神必备技能啊!
|
3月前
|
移动开发 网络协议 算法
(十)Netty进阶篇:漫谈网络粘包、半包问题、解码器与长连接、心跳机制实战
在前面关于《Netty入门篇》的文章中,咱们已经初步对Netty这个著名的网络框架有了认知,本章的目的则是承接上文,再对Netty中的一些进阶知识进行阐述,毕竟前面的内容中,仅阐述了一些Netty的核心组件,想要真正掌握Netty框架,对于它我们应该具备更为全面的认知。
183 2

热门文章

最新文章