wireshark
wireshark的解析功能
wireshark的最强大的功能便是协议解析功能,这也是我们最常用的功能
协议的解析是由wireshark的协议解析器完成的, 他可以将网络上的获取的原始的二进制数据包进行拆分,变成相关协议的不同的区段,以便于我们分析。
然而wireshark的解析器并不是每次都能找到合适的协议进行划分区段,有时候不规则的协议标准,wireshark并不能分辨出来,可能变成错误的协议区段,
如上图,此时给我说的是ssl协议的数据包,但是我们可以在下面看到直接有明文出来了,而如果是ssl的话,那么不可能读到有用的信息,说明此时的wireshark错了。你可以看到这里面的端口号是443,ftp协议这里用了443端口这很可能就是导致错误的原因。443端口原本是https的专用端口,https指的就是基于ssl的 http。为了解决这个问题,我们要强制让wireshark的解析器使用ftp协议来解析这些数据包,选中ssl右键,选择Decode As 然后便可换ftp协议进行解析。(wireshark是一款非常优秀的开源的软件,我们可以在官网上下载到wireshark的源码,可以再源码中找到这里解析器发生错误的原因)
Tcp流
wireshark为了方便用户分析,将Tcp流重组成易于阅读的形式,而不是一小块一小块的查看
具体操作如下:
1.我们在tcp上单击右键,可以选择追踪TCP流,如图:
2,。当我们点击tcp流进去的时候会得到下面窗口
从上面这个图我们便可以分析很多,还可以进行文本搜索,保存,打印等等的功能。
通过查看数据包大小分析
实际上我们往往通过分析一组或者一个数据包的大小来分析了解信息
首先我们在wireshark界面,点击统计,然后点击分组长度,得到以下界面
1.首先我们需要知道的是,一般来说以太网上帧的大小一般为1518个字节,出去以太网,ip,等头部信息,还剩1460个字节,这些剩下的字节呢,可以供应用层协议来使用,我们这时候可以通过捕获的数据包长度的情况来对流量进行分析,一般来说我们先看1280-2559这个区段的数据包,这个段一般用来进行数据的传输,较小的是用来保存协议的控制序列,当然了,上图里面的不一样,他在1280-2559占的比重比较小,而40-79占的比重比较大。事实上40-79保存的便是Tcp控制的数据包。
2.查看数据包的长度是对捕获文件进行很好的一种方法,如果发现了很多较大的数据包,那么极有可能是进行了数据的传输,如果绝大部分的数据包都很小,那么就可以认为这里面包含有很多的控制命令,而不存在大规模数据的传输情况。很多时候查看数据包的大小并不是一个必须的操作,但是在进行深入分析之前,对获文件的情况做一个概念还是很有必要的。
专家信息
整个网络中的Tcp信息都会被专家信息所记录,比如说丢包或者网络阻塞等等。针对于每个协议的解析器呢,都会有一些专家信息,我们在分析的时候呢可以通过专家该协议的数据包在这个我们在的时候通过专家信息窗口来查看是该协议的数据包中的一些特定状态的我专家信息窗口来查看使用。该协议的数据包中的一些特定状态的错误,警告以及提示等信息。
1.我们在wireshark界面点击分析,然后点击专家信息窗口。
我们从这里面可以看到Note,Chat。
Note代表注意,Chat代表对话,事实上还有Waring,Errors等
我们看见出现了duplicate这样的信息,他表示当一台主机没有收到下一个期望的序列号的数据包的时候呢,就会生成最近收到一次数据的重复的,就表明新的数据包没有收到。
而chat里面的内容是与Tcp的握手,以及http的get请求相关。