Wireshark抓包以及简单的协议分析
1)安装并启动Wireshark。选择网卡,根据需要设置过滤条件,开始抓包。
选择流量较多的WLAN接口来抓包
2)ping百度网址获得百度ip来对抓包进行限制
如在应用显示过滤器中写入ip.addr eq 14.215.177.39。刚刚使用比较容易遇到的困惑抓到了很多的包但是找不到自己想要分析的包,通过显示过滤器能够很好的解决这个问题
或者在应用显示过滤器中写入ip.addr eq 202.181.38.148(百度图片image.baidu.com的IPV4地址),就可以将抓到的包限制只显示这个IP有关,便于观察(此时可以随便点击一张图片,然后另存到电脑上,然后关闭网页,打开Wireshark就可以看到对百度图片上的某张图片操作时产生的包了)
3)然后就可以根据抓到的包进行协议分析了,需要熟悉各种协议的报文格式,有助于看懂抓包的内容。通过Wireshark抓到的包可以分析TCP的三次握手和四次挥手过程(这两个是计算机网络中的重要概念,通过这种方式有助于理解)
以下为几种常见的协议的报文格式
1. 802.3帧格式
2. IP数据报格式
3. UDP报文格式
4. TCP报文格式
5. HTTP请求报文格式
6. HTTP响应报文格式