Cómo analizar datos al tomar paquetes
2. Los datos enviados y recibidos por la máquina local se pueden capturar desde la tarjeta de red. Algunas personas consideran los datos obtenidos del navegador u otro software de nivel superior como captura de paquetes.
3. Si su LAN es primitiva, aún puede intentar obtener datos de transmisión desde la tarjeta de red.
4. Existe software listo para el análisis, que se centra principalmente en las partes que no se pueden cifrar, es decir, la dirección, la hora, la ruta y el volumen de contenido del remitente. Es un típico análisis de datos pasivo cuando el contenido no está involucrado.
Pregunta 2: Cómo analizar los datos de captura de paquetes de Wireshark Primero, abrimos la interfaz principal del software Wireshark, seleccionamos la tarjeta de red en la interfaz principal y luego hacemos clic en Iniciar. Wireshark ingresa al proceso de captura y análisis de paquetes. En este artículo, elegimos Ethernet para la captura de paquetes.
A continuación, podemos ver los paquetes de datos en tiempo real capturados por Wireshark en la interfaz. Te explicamos los campos del paquete.
1. No: Indica el número del paquete de datos.
2. Tiempo: ¿Cuánto tiempo se tarda en capturar el software?
3. Fuente: ip fuente.
4. Destino: ip de destino.
5. Protocolo: Protocolo
6. Longitud: La longitud del paquete de datos.
7.info: Información del paquete.
A continuación, podemos hacer clic en un fragmento de datos analizados para ver los detalles de ese paquete.
Durante el proceso de captura del paquete, podemos hacer clic en el icono para iniciar o detener. Iniciar o detener la captura de paquetes.
La siguiente es una breve introducción a la escritura de expresiones de filtro para la IP de origen y la IP de destino en Filter.
Primero rellenamos la IP. dirección 192.168.2 101 en el filtro. Indica que la IP de origen y la IP de destino son 192.168.2 105438 0. (Reemplace eq con == para obtener el mismo efecto)
Rellene el filtro: IP src == 192.168.2. Significa obtener el paquete de datos con la dirección de origen 192.168.2.101.
Rellena el filtro: IP dst == 119.167.140.103. Significa obtener el paquete de datos con la dirección de destino 119.167.140.103.
Rellene el filtro: IP.dst==119.167.140.103 o IP.dst==192.168.2.45. Indica obtener el paquete de datos con dirección de destino 119.167.140.103 o 192.168.2.45. (Los ejemplos de este método ilustran principalmente el uso de o. Se pueden usar diferentes expresiones antes y después de o).
Rellene el filtro: IP dst == 119.167.140.103 y src ==. 192.168.2 6438 00655. Significa obtener el paquete de datos con la dirección de destino 119.167.140.103 y la dirección de origen 192.168.2.101. (El ejemplo de este método ilustra principalmente el uso de suma)
Pregunta 3: ¿Cómo leer los datos del paquete de captura de Wirehark? Después de iniciar Wireshark, seleccione la tecla de acceso directo en la barra de herramientas (botón marcado en rojo) para iniciar una nueva captura en vivo.
También hay una lista de interfaces en la interfaz principal (marca roja 1 en la figura siguiente), que enumera las tarjetas de red instaladas en el sistema. También puede comenzar a capturar paquetes seleccionando una tarjeta de red que pueda recibir datos.
Puede encontrar este problema al iniciar: aparece un cuadro de diálogo que dice que el controlador NPF no se ha iniciado, por lo que no se pueden capturar los paquetes.
En win7 o Vista, busque cmd.exe ejecutándose como administrador en C:\system\system32 y luego ingrese net start npf para iniciar el servicio npf.
Reinicie Wireshark para capturar paquetes.
Antes de tomar el paquete, también puedes realizar algunas configuraciones, como se muestra en la imagen roja de arriba. Haga clic para ingresar al cuadro de diálogo de configuración. Las configuraciones específicas son las siguientes:
Interfaz: especifique la interfaz (tarjeta de red) para capturar paquetes (el sistema seleccionará automáticamente la tarjeta de red).
Límite por paquete: Limita el tamaño de cada paquete, no hay límite por defecto.
Capturar paquetes en modo promiscuo: si se debe activar el modo promiscuo. Si está abierto, toma todas las bolsas. En términos generales, sólo necesita escuchar los paquetes recibidos o enviados por esta máquina, por lo que debe desactivar esta opción.
Filtro: Filtrar. Obtenga solo paquetes que coincidan con las reglas de filtrado.
Archivo: puede ingresar un nombre de archivo para escribir los paquetes capturados en el archivo especificado.
Usar búfer circular: si se debe utilizar el búfer circular. De forma predeterminada, no se utiliza, simplemente sigue capturando paquetes. El almacenamiento en búfer circular solo funciona cuando se escribe en un archivo. Si utiliza el almacenamiento en búfer circular, también deberá establecer la cantidad de archivos y el tamaño de los archivos que se revertirán.
Actualizar la lista de paquetes en tiempo real: si esta casilla de verificación está marcada, cada paquete se puede mostrar en tiempo real a medida que se intercepta, en lugar de mostrar todos los paquetes interceptados después del proceso de rastreo.
Haga clic en el botón "Aceptar" para iniciar la captura de paquetes y se mostrarán las estadísticas de los diferentes paquetes recibidos. Después de hacer clic en el botón "Detener" para detener la captura de paquetes, los resultados del análisis de los paquetes capturados se mostrarán en el panel, como se muestra en la siguiente figura:
Para que los paquetes capturados sean más específicos, antes de capturar los paquetes Simplemente inicie el chat de video QQ. Debido a que QQ Video usa el protocolo UDP, la mayoría de los paquetes de datos capturados usan el protocolo UDP.
3. Descripción de los resultados de la captura de paquetes
La ventana completa de resultados de la captura de paquetes de Wireshark se divide en tres partes: la parte superior es la lista de paquetes, que se utiliza para mostrar cada uno interceptado. Información resumida del paquete de datos; en el medio está el árbol de protocolo, que se utiliza para mostrar la información del protocolo al que pertenece el paquete de datos seleccionado; en la parte inferior está el contenido del paquete de datos en forma hexadecimal, que se utiliza para representar la forma final de los datos; paquete cuando se transmite en la capa física.
Wireshark puede analizar fácilmente los paquetes de datos interceptados, incluida la dirección de origen, la dirección de destino, el protocolo, etc.
En la lista de paquetes que se muestra arriba, la primera columna es el número (como el primer paquete), la segunda columna es el tiempo de interceptación (0.000000) y la tercera columna es la dirección de origen (115.5438 055.39 .93) . El destino de la cuarta columna es la dirección de destino (115.155.39.112), el protocolo de la quinta columna es el protocolo utilizado por este paquete (aquí está el protocolo UDP) y la información de la sexta columna es otra información, incluido el número de puerto de origen. y número de puerto de destino (puerto de origen: 58438).
En el medio está el árbol de protocolos, como se muestra a continuación:
A través de este árbol de protocolos, podemos obtener más información sobre los paquetes interceptados, como la dirección MAC del host ( Ethernet II), dirección IP (Protocolo de Internet), número de puerto UDP (Protocolo de datagramas de usuario) y el contenido específico (datos) del protocolo UDP.
La parte inferior es el contenido específico del paquete de datos que se muestra en hexadecimal, como se muestra en la siguiente figura:
Esta es la forma final del paquete de datos interceptado cuando se transmite por el medio físico. Cuando se selecciona una fila en el árbol de protocolos, también se seleccionará su código hexadecimal correspondiente, de modo que se puedan analizar fácilmente los paquetes de datos de varios protocolos.
4.... gt gt
Pregunta 4: ¿Cómo analizar paquetes de datos para determinar fallas en la red? Se pueden analizar muchas cosas a partir de la captura de paquetes de red, una de las cuales se utiliza para la depuración.
Según la experiencia personal, existen varias situaciones en las que se puede utilizar la depuración de paquetes:
1. Determinar la falla por la presencia o ausencia de paquetes de datos.
Generalmente se usa en escenarios como la depuración de políticas de firewall, la captura de paquetes en el firewall, la captura de paquetes reflejados en el conmutador o el conmutador tiene una función de captura de paquetes incorporada. Este tipo de raspado no requiere mucho análisis.
2. Fallo de la red. Se ha confirmado que no hay ningún problema con la configuración del dispositivo de red. El problema se puede determinar tomando paquetes. Principalmente lo divido en juicio conductual y juicio de acuerdo.
1) La forma más común es juzgar si el comportamiento de la red es normal por la cantidad de paquetes de datos capturados. Por ejemplo, cuando estalla un virus ARP, definitivamente se recibirá una gran cantidad de paquetes ARP. Los ataques a menudo se reflejan en una gran cantidad de paquetes de datos (pero en términos generales, la captura de paquetes para juzgar el comportamiento de este ataque no es el primer paso). Al juzgar las características del ataque, solo capture los paquetes de datos (por supuesto, hay muchas otras situaciones que son adecuadas para el análisis en función de la cantidad de paquetes capturados).
2) Determine la calidad de la comunicación. Hay una gran cantidad de retransmisiones en la captura de paquetes. En este momento, la calidad de la comunicación generalmente no es muy buena. Además, en escenarios de aplicaciones de video y voz, a veces es necesario juzgar las fallas de comunicación mediante estadísticas de tiempo para analizar y localizar la calidad de la comunicación de video y voz.
3) Juicio del protocolo, como cuando win2008 y win2003 se comunican, debido a la ventana.
La incompatibilidad de escala da como resultado ventanas pequeñas, programación deficiente y cambios de comunicación muy lentos. Estos juicios se basan en el análisis de los protocolos de captura de paquetes; además, el análisis de protocolos también se puede utilizar para el acoplamiento de comunicaciones SIP entre diferentes fabricantes.
En general, el análisis de protocolos es muy exigente y muchas personas pueden decir que pueden aprender bien los conceptos básicos. Sin embargo, para las personas que han trabajado durante muchos años, el aprendizaje del protocolo TCP/IP generalmente ocurrió hace muchos años, y diferentes sistemas operativos tienen diferentes implementaciones de la pila de protocolos. Este tipo de análisis generalmente se realiza para resolver problemas una vez que surgen.
Dicho todo esto, mi opinión personal sobre el análisis de captura de paquetes es que la clave para solucionar problemas es pensar. Hay relativamente pocos escenarios en los que realmente se utiliza el juicio de la capa de protocolo, por lo que los principiantes no necesitan hacerlo demasiado. enredado. Pero, por otro lado, los operadores de red que pueden depurar profundamente en la capa de protocolo están ansiosos por aprender y pertenecer a la depuración avanzada.
Pregunta 5: Cómo analizar Wireshark En términos generales, Wireshark no necesita filtrar al capturar paquetes, simplemente filtra los datos que desea al analizar los datos.
1. Específicamente, capture->Interfaz->(seleccione su tarjeta de red) para comenzar
En este momento, la interfaz de datos muestra todos los datos y protocolos de la tarjeta de red actual. .
2. Bajar es encontrar los datos que queremos.
Enseñarte algunas técnicas. Por ejemplo, buscamos datos de interacción con una dirección IP 192.168.2.
Puedes rellenar el filtro: IP. addr = = 192.168 2 110 (presione Entrar o haga clic en Aplicar).
Si solo queremos capturar TCP IP. addr == 192.168.2 ; ampTcp (nota en minúsculas)
Si no desea ver ackip . = 0
Si desea ver los datos con el valor 5252 en el paquete de datos (tenga en cuenta que es 16)
IP addr = = 192.168.2 . amp amptcp.len ! = 0 amp amp(data.data contiene 5252)
3. Hay muchos métodos de filtrado. Puede hacer clic en Express. Hay algunas opciones en el interior. Pruébelo usted mismo.
Es importante utilizar bien una herramienta, pero requiere acumulación a largo plazo. Puedes usarlo tú mismo y leer más tutoriales.
Pregunta 6: ¿Cómo ver y descargar datos del paquete de software Wireshark? Actualmente existe una versión china. Para facilitar la demostración, se utiliza la versión china. Por supuesto, la versión en inglés es la principal.
Abra el software Wireshark, ejecútelo y acceda a su interfaz.
El diseño de la interfaz del software Wireshark es razonable y conciso.
A continuación, seleccione la interfaz de captura de paquetes de Wireshark. Haga doble clic en el elemento de la lista de interfaces para ingresar a la interfaz de configuración de la interfaz de captura de paquetes.
Selecciona la tarjeta de red que está utilizando tu ordenador. Por ejemplo, la tarjeta de red inalámbrica utilizada aquí ahora tiene un número de salto en la lista de interfaces.
Haga clic en Iniciar para ingresar a la interfaz de captura de paquetes y luego comience a capturar paquetes. La interfaz muestra la dinámica de agarre de bolsas y registra el proceso de agarre de bolsas.
Cuando termines de capturar el paquete, haz clic en el botón para dejar de capturar el paquete, que es el que tiene la cruz roja.
Por último, selecciona el botón Guardar y elige una ubicación para guardarlo. El archivo guardado se puede abrir con Wireshark más tarde para realizar un análisis histórico.
Pregunta 7: ¿Cómo ver los datos capturados? Para la devolución Http estándar, si la devolución de Content-Encoding: Gzip está marcada, puede ver directamente el texto original en Wireshark. Debido a que en el desarrollo de redes móviles, algunas puertas de enlace móviles descomprimirán los datos marcados explícitamente con Gzip para evitar que los navegadores móviles obtengan contenido Gzip que no se puede descomprimir, muchos desarrolladores de dispositivos móviles eligen encabezados HTTP no estándar. En otras palabras, el encabezado de retorno Http no tiene el atributo estándar Content-Encoding: Gzip. Esto hace que sea imposible verlo directamente en Wirehark.
En este momento, guarde los datos obtenidos del paquete capturado como un archivo sin formato y luego use UE para verlos en 16. Elimine los datos comprimidos que no sean Gzip en el archivo, de modo que que puedes usar la herramienta de descompresión Gzip para descomprimir el archivo, verifica el texto original. Los datos Gzip comienzan con 1F8B, que se puede utilizar para dividir datos Gzip y no Gzip en el archivo.
Pregunta 8: Cómo utilizar los datos obtenidos por las herramientas de captura de paquetes de red para analizar tcp/ip. El protocolo Telnet es miembro de la familia de protocolos tcp/ip y es el protocolo estándar y el modo principal para el inicio de sesión remoto en Internet. servicios. Permite a los usuarios completar el trabajo de host remoto en la computadora local. Utilice el programa telnet en la computadora del usuario final para conectarse al servidor. Los usuarios finales pueden ingresar comandos en el programa telnet y estos comandos se ejecutarán en el servidor como si se ingresaran directamente en la consola del servidor. Puede controlar el servidor localmente. Para iniciar una sesión de telnet, debe ingresar su nombre de usuario y contraseña para iniciar sesión en el servidor. Telnet es un método común para el control remoto de servidores web.
1. Preparación
Caja virtual de la máquina virtual (inicio de sesión remoto al servidor)
-Instalar el sistema operativo Windows XP SP3.
-Se ha iniciado el servicio Telnet.
-Agregada una cuenta para inicio de sesión remoto, el nombre de usuario y la contraseña son micooz.
Aloja Windows 8.1 Professional Edition (cliente de inicio de sesión remoto)
-Se instala la herramienta de análisis Wireshark 1.11.2.
-Se instala un cliente Telnet.
PD: seleccione el modo puente para la tarjeta de red de la máquina virtual.
Pregunta 9: ¿Cómo ver los datos capturados por el software Wireshark? Wireshark es una captura de paquetes de red para la tarjeta de red de la máquina. Cuando tiene varias tarjetas de red en su máquina, debe seleccionar una tarjeta de red.
Haga clic en capture-gt;Interfaz. Aparecerá el siguiente cuadro de diálogo y seleccione la tarjeta de red correcta. Luego haga clic en el botón de inicio para comenzar a capturar paquetes.
WireShark se divide principalmente en estas interfaces.
1. Mostrar filtros para filtrar.
2. El panel de lista de paquetes muestra los paquetes capturados con la dirección de origen, la dirección de destino y el número de puerto. Diferentes colores representan
3. El panel de detalles del paquete muestra los campos del paquete.
4. Panel analizador (16 datos binarios)
5. Varios (barra de direcciones, varios)
Pregunta: Cómo analizar el paquete después de que Wirehark complete el proceso. capture Habrá muchos paquetes de interferencia inútiles (como sus solicitudes ARP, actualizaciones en segundo plano de otro software en su computadora, etc.) ¿Directamente? Se recomienda que haga un filtro para capturar solo las sesiones de su computadora a Sina (o solo capturar el protocolo HTTP), y luego todos los paquetes de datos que obtenga serán los que desea. Cuando comienza a acceder, este paquete completo es el paquete al que responde desde el servidor de Sina.