wireshark怎么抓包分析網(wǎng)絡(luò)故障實戰(zhàn)

g15809574423 2017-04-08 08:05:13 559 瀏覽

參與評論

評論

登錄后參與評論

全部評論(2條)

小小小筱煒 2017-07-27 00:00:00

【W(wǎng)ireShark概覽】 1、Wireshark 是網(wǎng)絡(luò)報文分析工具。網(wǎng)絡(luò)報文分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)報文，并嘗試顯示報文盡可能詳細的內(nèi)容。過去的此類工具要么太貴，要么是非公開的。直到Wireshark（Ethereal）出現(xiàn)以后，這種情況才得以改變。Wireshark可以算得上是今天能使用的Z好的開源網(wǎng)絡(luò)分析軟件。2、WireShark簡史：1997年，Gerald Combs 需要一個工具追蹤網(wǎng)絡(luò)問題，并且想學(xué)習(xí)網(wǎng)絡(luò)知識。所以他開始開發(fā)Ethereal (Wireshark項目以前的名稱) 以解決自己的需求。1998年，Ethreal0.2.0版誕生了。此后不久，越來越多的人發(fā)現(xiàn)了它的潛力，并為其提供了底層分析。2006年Ethreal改名為Wireshark。2008年，在經(jīng)過了十年的發(fā)展后，Wireshark發(fā)布了1.0版本。3、WireShark的主要作用，就是可以抓取各種端口的報文，包括有線網(wǎng)口、無線網(wǎng)口、USB口、LoopBack口等等，從而就可以很方便地進行協(xié)議學(xué)習(xí)、網(wǎng)絡(luò)分析、系統(tǒng)排錯等后續(xù)任務(wù)。4、不同平臺下的WireShark：目前WireShark支持幾乎所有主流報文文件，包括pcap，cap ，pkt，enc等等。但是不同平臺下的WireShark卻有功能上的不同。總體來說，Linux版本W(wǎng)ireShark的功能和特性比Windows版本的要豐富和強大。例如，Linux版本的WireShark可以直接抓取USB接口報文，而Windows版本就不行。 Figure 1，Linux下的WireShark Figure 2，Windows下WireShark Figure 3，各平臺下的WireShark所支持的協(xié)議各平臺下的WireShark支持的協(xié)議如上圖所示。從圖中可以看到Linux下的版本功能Z強大，由于平臺本身特性，可以使WireShark幾乎支持所有協(xié)議。但由于我們平時工作中主要抓取以太網(wǎng)報文，且絕大部分的操作系統(tǒng)都是Windows，所以本文還是以Windows平臺下的WireShark為例來進行說明。【如何正確使用WireShark抓取報文】 1、WireShark組網(wǎng)拓撲。為了抓到HostA與HostB之間的報文，下面介紹幾種WireShark組網(wǎng)。 i.在線抓取：如果WireShark本身就是組網(wǎng)中的一部分，那么，很簡單，直接抓取報文就行了。 ii. 串聯(lián)抓?。捍?lián)組網(wǎng)是在報文鏈路中間串聯(lián)一個設(shè)備，利用這個中間設(shè)備來抓取報文。這個中間設(shè)備可以是一個HUB，利用HUB會對域內(nèi)報文進行廣播的特性，接在HUB上的WireShark也能收到報文。若是WireShark有雙網(wǎng)卡，正確設(shè)置網(wǎng)絡(luò)轉(zhuǎn)發(fā)，直接串接在鏈路上。也可以利用Tap分路器對來去的報文進行分路，把報文引到WireShark上。串聯(lián)組網(wǎng)的好處是報文都必須經(jīng)過中間設(shè)備，所有包都能抓到。缺點是除非原本就已經(jīng)規(guī)劃好，不然要把報文鏈路斷開，插入一個中間設(shè)備，會中斷流量，所以一般用于學(xué)習(xí)研究，不適用于實際業(yè)務(wù)網(wǎng)以及工業(yè)現(xiàn)場以太網(wǎng)。 iii. 并聯(lián)抓?。翰⒙?lián)組網(wǎng)是將現(xiàn)有流量通過現(xiàn)網(wǎng)設(shè)備本身的特性將流量引出來。若是網(wǎng)絡(luò)本身通過HUB組網(wǎng)的，那么將WireShark連上HUB就可以。若是交換機組網(wǎng)，那直接連上也能抓取廣播報文。當然，Z常用的還是利用交換機的鏡像功能來抓包。并聯(lián)組網(wǎng)的優(yōu)點是不用破壞現(xiàn)有組網(wǎng)，適合有業(yè)務(wù)的在線網(wǎng)絡(luò)以及工業(yè)現(xiàn)場以太網(wǎng)。缺點是HUB組網(wǎng)已經(jīng)不常見，而交換機組網(wǎng)的設(shè)備開啟鏡像后，對性能有非常大的影響。 2、 WireShark的安裝。WireShark是免費開源軟件，在網(wǎng)上可以很輕松獲取到。Windows版的WireShark分為32位而64位兩個版本，根據(jù)系統(tǒng)的情況來決定安裝哪一個版本，雖然64位系統(tǒng)裝32位軟件也能使用，但裝相應(yīng)匹配的版本，兼容性及性能都會好一些。在Windows下，WireShark的底層抓包工具是Winpcap，一般來說WireShark安裝包內(nèi)本身就包含了對應(yīng)可用版本的Winpcap，在安裝的時候注意鉤選安裝就可以。安裝過程很簡單，不再贅述。 3、使用WireShark抓取網(wǎng)絡(luò)報文。Step1. 選擇需要抓取的接口，點選Start就開始抓包。 4、使用WireShark抓取MPLS報文。對于mpls報文，wireshark可以直接抓取帶MPLS標簽的報文。 5、使用WireShark抓取帶Vlan Tag的報文。早期網(wǎng)卡的驅(qū)動不會對VLAN TAG進行處理，而是直接送給上層處理，在這種環(huán)境下，WireShark可以正常抓到帶VLAN TAG的報文。而Intel，broadcom，marvell的網(wǎng)卡則會對報文進行處理，去掉TAG后再送到上層處理，所以WireShark在這種情況下通常抓不到VLAN TAG。這時我們需要針對這些網(wǎng)卡做一些設(shè)置，WireShark才能夠抓取帶VLAN TAG的報文。1）. 更新網(wǎng)卡的Z新驅(qū)動。2）. 按照以下說明修改注冊表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on. ）PCI或者PCI-X網(wǎng)卡增加dword:MonitorModeEnabled，通常設(shè)置為1即可 0 - disabled (Do not store bad packets， Do not store CRCs， Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express網(wǎng)卡增加dword:MonitorMode，通常設(shè)置為1即可 0 - disabled (Do not store bad packets， Do not store CRCs， Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"并確認這是唯yi的，增加一個新的字符串值"PreserveVlanInfoInRxPacket"，賦值1。c) Marvell Yukon 88E8055 PCI-E 千兆網(wǎng)卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3）. 以Intel網(wǎng)卡為例，對網(wǎng)卡進行配置。選擇Intel網(wǎng)卡的本地連接，右鍵屬性點擊“配置”按鈕。在VLAN選項卡中，加入任意一個VLAN，激活接口的VLAN TAG上送功能。此時可以把“本地連接”接口看成是一個Trunk接口。配置完VLAN后，如果發(fā)現(xiàn)系統(tǒng)禁用了“本地連接”接口，則只要啟用它，會看到網(wǎng)絡(luò)連接中會出現(xiàn)一個新的子接口“本地連接2”。在WireShark上查看抓取“本地連接”接口的報文。可以看到已經(jīng)可以抓到有VLAN TAG的報文了。由于此時的子接口都是有VLAN屬性的，所以無法當成正常的網(wǎng)卡來用。如果想要在抓VLAN包的同時，還能夠與網(wǎng)絡(luò)正常通信，只要再新建一個未標記的VLAN就行。這時，會生成一個對應(yīng)的子接口“本地連接3”，在這個接口上正確配置網(wǎng)絡(luò)參數(shù)，就可以正常通信了。

贊(13)

回復(fù)(0)

評論

評論
登錄后參與評論
小布阿TvT 2017-04-09 00:00:00

你可以在 wireshark 軟件中設(shè)置各種過濾規(guī)則，(filter)來捕獲各種有用的數(shù)據(jù)包。然后保存到一個文件中，Z后對那個文件中的內(nèi)容進行數(shù)據(jù)包分析。

贊(7)

回復(fù)(0)

評論

評論
登錄后參與評論

登錄或新用戶注冊

微信登錄
密碼登錄
短信登錄

請用手機微信掃描下方二維碼
快速登錄或注冊新賬號

微信掃碼，手機電腦聯(lián)動

注冊登錄即表示同意《儀器網(wǎng)服務(wù)條款》和《隱私協(xié)議》

熱門問答

wireshark怎么抓包分析網(wǎng)絡(luò)故障實戰(zhàn):

wireshark怎么抓包分析網(wǎng)絡(luò)故障實戰(zhàn):

wireshark怎么通過抓包分析網(wǎng)絡(luò)故障:

怎么通過wireshark抓包分析網(wǎng)絡(luò)風(fēng)暴:

wireshark網(wǎng)絡(luò)故障協(xié)議分析視頻教程: 求陳鑫杰老師的wireshark網(wǎng)絡(luò)故障協(xié)議分析視頻教程小弟對網(wǎng)絡(luò)很感興趣，奈何手上米不夠，看過陳老師的基礎(chǔ)版本的對wireshark的講解，但是對于網(wǎng)絡(luò)故障分析這一塊抓包之后不知道怎么去... 求陳鑫杰老師的 wireshark網(wǎng)絡(luò)故障協(xié)議分析視頻教程小弟對網(wǎng)絡(luò)很感興趣，奈何手上米不夠，看過陳老師的基礎(chǔ)版本的對wireshark的講解，但是對于網(wǎng)絡(luò)故障分析這一塊抓包之后不知道怎么去分析網(wǎng)絡(luò)故障，找遍了網(wǎng)上的資源，還是沒有找到，跪求有資源的大神指點迷經(jīng)，不勝感激，本人以自己的名譽保證不外傳資料。再次感謝！大神您可以私信我，kali10010@outlook.com，這個是我的郵箱，再次感謝展開

用Wireshark抓包，為什么沒有看到以太網(wǎng)的FCS字段？: 如題，按理說以太網(wǎng)的數(shù)據(jù)字段前面有14字節(jié)，后面還有4字節(jié)的FCS字段，為什么我用Wireshark抓包沒有看到？已經(jīng)確認抓到的是以太網(wǎng)的幀。

怎樣分析抓包軟件的數(shù)據(jù):

外網(wǎng)有問題，怎么抓包來分析網(wǎng)絡(luò)問題: 公司網(wǎng)絡(luò)一個工具上不去，可以肯定是運營商的問題，我怎么通過抓包把包給運營商看。局域網(wǎng)中任意一臺安裝抓包軟件就可以嗎，還是必須的連在外網(wǎng)接口上，無線適配器沒問題？我用的抓包... 公司網(wǎng)絡(luò)一個工具上不去，可以肯定是運營商的問題，我怎么通過抓包把包給運營商看。局域網(wǎng)中任意一臺安裝抓包軟件就可以嗎，還是必須的連在外網(wǎng)接口上，無線適配器沒問題？我用的抓包軟件一個是wireshark，一個是SPYNET。然后在抓包的時候我該操作什么。就是打開抓包軟件，不管什么包全抓嗎。還是我需要指向工具的服務(wù)器IP，這時候我要PING，還是TRACERT服務(wù)器IP?同時抓包？不懂所以問的比較多。比如這是我抓的包，我給別人看就這樣給他們？展開

網(wǎng)絡(luò)抓包。數(shù)據(jù)分析: 網(wǎng)絡(luò)抓包。數(shù)據(jù)分析數(shù)據(jù)分析... 網(wǎng)絡(luò)抓包。數(shù)據(jù)分析數(shù)據(jù)分析展開

如何使用包分析軟件排查網(wǎng)絡(luò)故障:

用wireshark抓包ARP，幀長只有60，以太網(wǎng)幀的FCS沒有了: 如題，今天用wireshark抓到以太網(wǎng)V2的包頭，里邊只有源MAC，目的MAC，協(xié)議類型，Z后還有填充，但是就是沒有FCS校驗幀序列，而且整個幀長只有60，按道理說應(yīng)該以太網(wǎng)的Z小幀長是64才對，剛好少了4bytes，那個高手知道是怎么回事呢，不會是FCS在wireshark中不會顯示出來?