任務(wù)2.7

分析網(wǎng)絡(luò)協(xié)議學(xué)習(xí)目標(biāo)

理解Wireshark的工作原理。分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包分析，通常也被稱為數(shù)據(jù)包嗅探或協(xié)議分析，指的是捕獲和解析網(wǎng)絡(luò)上在線傳輸數(shù)據(jù)的過程，通常是為了能更好地了解在網(wǎng)絡(luò)上正在發(fā)生的事情。數(shù)據(jù)包分析過程通常由數(shù)據(jù)包嗅探器來執(zhí)行，而數(shù)據(jù)包嗅探器則是一種用來在網(wǎng)絡(luò)媒介上捕獲原始傳輸數(shù)據(jù)的工具。數(shù)據(jù)包分析技術(shù)可以用來達(dá)到如下目標(biāo)。數(shù)據(jù)包分析與數(shù)據(jù)包嗅探器了解網(wǎng)絡(luò)特征。查看網(wǎng)絡(luò)上的通信主體。確認(rèn)誰或是哪些應(yīng)用在占用網(wǎng)絡(luò)帶寬。識別網(wǎng)絡(luò)使用高峰時(shí)間。識別可能的攻擊或惡意活動。尋找不安全以及濫用網(wǎng)絡(luò)資源的應(yīng)用分析網(wǎng)絡(luò)協(xié)議混雜模式網(wǎng)卡在對接收到的數(shù)據(jù)包進(jìn)行處理之前，會先對它們的目的地址進(jìn)行檢查，如果目的地址不是本機(jī)的話，就會丟棄這些數(shù)據(jù)，相反就會將這些數(shù)據(jù)包交給操作系統(tǒng)，操作系統(tǒng)再將其分配給應(yīng)用程序。如果啟動了Wireshark的話，操作系統(tǒng)會將經(jīng)過網(wǎng)卡的所有數(shù)據(jù)包都復(fù)制一份并提供給它，這樣我們就可以在Wireshark中查看到本機(jī)所有進(jìn)出的數(shù)據(jù)包了。但是我們有時(shí)要查看的不僅僅是本機(jī)的數(shù)據(jù)包，還會查看其他計(jì)算機(jī)上的數(shù)據(jù)包，這時(shí)如果網(wǎng)卡按照上面一段講到的方式進(jìn)行工作的話，那么其他計(jì)算機(jī)上的數(shù)據(jù)包在到達(dá)網(wǎng)卡時(shí)，都會被丟掉，而無法顯示。所以我們必須調(diào)整網(wǎng)卡的工作方式，目前的網(wǎng)卡除了前面提到的那種普通模式之外，還提供了一種混雜模式。默認(rèn)情況下，網(wǎng)卡只會將發(fā)給本機(jī)的數(shù)據(jù)包傳遞給操作系統(tǒng)，其他的一律丟棄。而混雜模式下，網(wǎng)卡則會將所有通過它的數(shù)據(jù)包（不管是不是發(fā)給本機(jī)）都傳遞給操作系統(tǒng)。分析網(wǎng)絡(luò)協(xié)議Wireshark的工作流程（1）捕獲：Wireshark將網(wǎng)卡調(diào)整為混雜模式，在該模式下捕獲網(wǎng)絡(luò)中傳輸?shù)亩M(jìn)制數(shù)據(jù)。（2）轉(zhuǎn)換：Wireshark將捕獲到的二進(jìn)制數(shù)據(jù)轉(zhuǎn)換為我們?nèi)菀桌斫獾男问剑瑫r(shí)也會將捕獲到的數(shù)據(jù)包按照順序進(jìn)行組裝。（3）分析：最后Wireshark將會對捕獲到的數(shù)據(jù)包進(jìn)行分析。這些分析包括識別數(shù)據(jù)包所使用的協(xié)議類型、源地址、目的地址、源端口和目的端口等。Wireshark有時(shí)也會根據(jù)自帶的協(xié)議解析器來深入地分析數(shù)據(jù)包的內(nèi)容。分析網(wǎng)絡(luò)協(xié)議BPF過濾語法1.抓包過濾器（1）語法說明類型Type:host、net、port方向Dir:src、dst協(xié)議Proto:ether、ip、tcp、udp、http、ftp邏輯運(yùn)算符：&&與、||或、！非BPF語法（BerkeleyPacketFilter）基于libpcap/wincap庫，在抓包的過程中過濾掉某些類型的協(xié)議，不抓取過濾掉的協(xié)議（建議在流量特別大的情況下使用）分析網(wǎng)絡(luò)協(xié)議（2）例子srchost&&dstport80

抓取源地址為，目的端口為80的流量host||host

抓取和的流量！broadcast不抓廣播包過濾IP地址案例hostsrchostdsthost過濾端口案例port80!port80dstport80srcport80過濾協(xié)議案例arpIcmp綜合過濾案例host&&port8080分析網(wǎng)絡(luò)協(xié)議2.顯示過濾器抓包的時(shí)候沒有做任何過濾，顯示過濾器可以在抓完包后過濾，抓包過濾器語法與顯示過濾器語法是不一樣的。只需要研究某一種協(xié)議，不需要全局流量的，可以使用抓包過濾器。在流量很小的時(shí)候建議使用顯示過濾器。分析網(wǎng)絡(luò)協(xié)議語法比較操作符==、！=、<、>、>=、=等。==eq等于ip.addr==ip.addreq邏輯操作符&&and邏輯與ip.src==andtcp.flags.syn=1||or邏輯或ip.addr==orip.addr==！not邏輯非notarpandnoticmp除了arp和icmp之外的包分析網(wǎng)絡(luò)協(xié)議過濾IP地址案例ip.addr==ip.src==ip.dst==過濾端口案例tcp.port==80tcp.srcport==80tcp.dstport==80過濾協(xié)議案例tcpnothttpnotarp綜合過濾案例ip.src==00andudp.port==4000案例分析網(wǎng)絡(luò)協(xié)議什么是ARP？ARP（AddressResolutionProtocol，地址解析協(xié)議）是用來將IP地址解析為MAC地址的協(xié)議。主機(jī)或三層網(wǎng)絡(luò)設(shè)備上會維護(hù)一張ARP表，用于存儲IP地址和MAC地址的映射關(guān)系，一般ARP表項(xiàng)包括動態(tài)ARP表項(xiàng)和靜態(tài)ARP表項(xiàng)。分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)協(xié)議小結(jié)

在本次任務(wù)中，我們介紹了如何使用Wireshark工具來進(jìn)行網(wǎng)絡(luò)協(xié)議分析。實(shí)操的例子是對ARP（地址解析協(xié)議）和ICMP（Internet控制消息協(xié)議）協(xié)議的分析。通過本次任務(wù)，學(xué)生學(xué)會了使用W