WireShark简介:网络封包分析软件,通过WinPCAP接口直接与网卡进行数据报文交换。官网:wireshark.org/。可分析网络封包,通常从统计下手,了解网络通信情况,如协议分级、会话等。对于网络管理员、网络安全工程师、开发者及普通使用者,均有不同应用。
WireShark的应用:网络管理员用于检测网络问题,网络安全工程师检查安全相关问题,开发者用于通讯协议排错,普通使用者学习网络协议知识。关注不正当用途,如寻找敏感信息。进行网络特征分析,了解通信对象和载体。
技巧与数据包筛选:快速分析数据包,使用WireShark进行抓包并保存为pcap格式。调整布局,自定义或添加列,移动和居中数据列。混杂模式介绍,使用过滤器筛选数据包。如,根据条件筛选HTTP、DNS、ARP、ICMP和UDP等协议包。
常用协议抓包与分析:使用WireShark对ARP、ICMP、TCP、UDP、DNS和HTTP等协议进行抓包和分析,了解协议工作原理。使用nmap产生ARP协议请求,广播请求与单播回应。分析请求和应答包内容,了解地址解析过程。ICMP协议用于ping,不能走代理。TCP协议的三次握手和四次挥手过程。HTTP协议作为TCP上层协议,筛选TCP包进行分析。
服务器被黑问题解决:模式场景下修改主机TTL值,临时修改内核参数。理解TTL作用于防止数据包无限转发。尝试抓包,分析数据包生存时间,判断网络设备数量。使用MTR检测网络质量,了解到达目标网络的节点通信状况,识别丢包和防火墙情况。
总结:WireShark为网络分析提供强大工具,支持多种协议分析,辅助网络问题诊断和安全检查。通过不同应用场景的分析,深入理解网络通信和数据包处理过程。结合技巧和过滤器功能,快速定位问题并进行有效分析。
温馨提示:答案为网友推荐,仅供参考