Wireshark的數(shù)據(jù)包截獲與協(xié)議分析

Wireshark的數(shù)據(jù)包截獲與協(xié)議分析1引言在數(shù)據(jù)包的截獲方面，Winpcap是一個(gè)可在Windows環(huán)境下運(yùn)行的包俘獲結(jié)構(gòu)，它由三部分組成:一個(gè)數(shù)據(jù)包截獲驅(qū)動(dòng)程序、一個(gè)底層動(dòng)態(tài)鏈接庫(kù)(Packet.dll)和一個(gè)高層靜態(tài)鏈接庫(kù)(wpcap.lib)。它的核心部分是數(shù)據(jù)包俘獲驅(qū)動(dòng)程序，在WindowsNT/2000系統(tǒng)中，它實(shí)現(xiàn)為一個(gè)內(nèi)核驅(qū)動(dòng)程序(packet.sys)，在Windows95/98系統(tǒng)中是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序(packet.vxd),包俘獲驅(qū)動(dòng)程序通過(guò)NDIS(NetworkDriverInterfaceSpecification)同網(wǎng)絡(luò)適配器的驅(qū)動(dòng)程序進(jìn)行通信,NDIS是網(wǎng)絡(luò)代碼的一部分，它負(fù)責(zé)管理各種網(wǎng)絡(luò)適配器以及在適配器和網(wǎng)絡(luò)協(xié)議軟件之間的通信。在庫(kù)的高層是一個(gè)動(dòng)態(tài)鏈接庫(kù)(packet.dll)和一個(gè)靜態(tài)鏈接庫(kù)(wpcap.lib)，這兩個(gè)庫(kù)的作用是將俘獲應(yīng)用程序同包俘獲驅(qū)動(dòng)程序相隔離，屏蔽低層的實(shí)現(xiàn)細(xì)節(jié)，避免在程序中直接使用系統(tǒng)調(diào)用或IOCTL命令，為應(yīng)用程序提供系統(tǒng)獨(dú)立的高層接口(API函數(shù))，從而在Windows9x、Windows2000/XP系統(tǒng)下，對(duì)驅(qū)動(dòng)程序的系統(tǒng)調(diào)用都是相同的。使用Winpcap，我們可以編寫出用于網(wǎng)絡(luò)協(xié)議實(shí)驗(yàn)分析、故障診斷、網(wǎng)絡(luò)安全和監(jiān)視等各種應(yīng)用程序，這方面的一個(gè)典型例子就是可在Windows系統(tǒng)下運(yùn)行的Wireshark，Wireshark和Winpcap都可從網(wǎng)上下載，通過(guò)Wireshark我們可以從網(wǎng)上攔截?cái)?shù)據(jù)包并對(duì)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議分析，下面介紹一個(gè)分析實(shí)例。2數(shù)據(jù)包的截獲與鏈路層協(xié)議分析Wireshark安裝完成后，單擊它的Capture—Start菜單，打開俘獲選項(xiàng)對(duì)話框，在這些選項(xiàng)中比較重要的是設(shè)置混雜模式(Promiscuousmode)選項(xiàng)，選中這個(gè)選項(xiàng)使得網(wǎng)卡并不檢驗(yàn)數(shù)據(jù)幀的目的地址，從而它可以截獲網(wǎng)上的任何幀，其他選項(xiàng)可用默認(rèn)設(shè)置，再單擊OK按鈕即可進(jìn)行數(shù)據(jù)包截獲，截獲的數(shù)據(jù)幀分別在Wireshark的包列表(PacketList)、包細(xì)節(jié)(PacketDetails)和包字節(jié)(PacketBytes)三個(gè)窗口中顯示。依次顯示了這三個(gè)窗口的部分內(nèi)容，最上面的包列表窗口按俘獲的順序顯示出幀的一般信息，如被俘獲的時(shí)間、包的協(xié)議類型等。當(dāng)應(yīng)用層的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)協(xié)議棧(如TCP/IP協(xié)議棧)到達(dá)物理層傳輸時(shí)，各層協(xié)議都要在數(shù)據(jù)包上封裝一個(gè)報(bào)頭，而中間的包細(xì)節(jié)窗口就從低層到高層顯示出數(shù)據(jù)包的各層協(xié)議信息，在下面的包字節(jié)窗口上，則以十六進(jìn)制和ASCII碼顯示了被截獲數(shù)據(jù)包的詳細(xì)內(nèi)容。1.數(shù)據(jù)鏈路層的分析數(shù)據(jù)鏈路層一般采用以太網(wǎng)的IEEE802.3標(biāo)準(zhǔn)。其中數(shù)據(jù)部分包括了更高層的協(xié)議內(nèi)容，由于前導(dǎo)碼被網(wǎng)絡(luò)硬件用于接收信號(hào)的同步，因此Wireshark已從數(shù)據(jù)幀中去掉了前導(dǎo)碼，在的包細(xì)節(jié)窗口中，顯示出幀的頭部信息，可以讀出這個(gè)幀的目的物理地址為00:90:1a:40:2a:d0,源物理地址為00:e0:4c:82:22:6b。幀類型是0x8864，它表示PPPOE會(huì)話，在ADSL寬帶網(wǎng)接入中，數(shù)據(jù)鏈路層通常要包括這種在以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議（PPPOE）。包字節(jié)窗口中緊跟著高亮顯示的幀頭部就是幀的數(shù)據(jù)區(qū)和CRC校驗(yàn)碼，并未顯示幀數(shù)據(jù)區(qū)的全部。3網(wǎng)絡(luò)層協(xié)議的分析網(wǎng)絡(luò)層協(xié)議在TCP/IP中包括網(wǎng)間互聯(lián)協(xié)議（IP）消息控制協(xié)議、（ICMP）路由信息協(xié)議、（RIP）等，它要實(shí)現(xiàn)地址解析及路由管理等功能，IP協(xié)由議中的數(shù)據(jù)報(bào)格式可以分析出版本號(hào)為4,即這個(gè)數(shù)據(jù)報(bào)為IPv4，報(bào)頭長(zhǎng)度20字節(jié)，服務(wù)類型00表示是普通數(shù)據(jù)包，數(shù)據(jù)報(bào)總長(zhǎng)度886字節(jié)，標(biāo)識(shí)為0x3e06，當(dāng)數(shù)據(jù)報(bào)需要分片傳送時(shí)，這個(gè)域用來(lái)指出接收到的數(shù)據(jù)片屬于哪一個(gè)數(shù)據(jù)報(bào)，標(biāo)志04表示該報(bào)文不分片，片偏移為0，生存時(shí)間128，協(xié)議域06表示上層協(xié)議是TCP，頭部校驗(yàn)和0xcce3表示正確，源IP地址是11，目的IP地址為78，包字節(jié)窗口中的數(shù)據(jù)區(qū)顯示了上層協(xié)議的TCP段內(nèi)容。4傳輸層協(xié)議的分析TCP/IP的傳輸層協(xié)議包括用戶數(shù)據(jù)報(bào)協(xié)議（UDP）、傳輸控制協(xié)議（TCP）等，TCP要在IP服務(wù)上提供可靠的、面向連接的字節(jié)流傳輸，它是以數(shù)據(jù)段（segment）的形式交換數(shù)據(jù)，忽略選項(xiàng)后的數(shù)據(jù)段格式從包細(xì)節(jié)窗口可看出，TCP源端口號(hào)1140，目的端口號(hào)80，其中80是HTTP協(xié)議的保留端口號(hào)，在包字節(jié)窗口中顯示出序列號(hào)的實(shí)際值是0x000af00b，但它等于本次連接的初始序號(hào)加上報(bào)文第一個(gè)字節(jié)在整個(gè)數(shù)據(jù)流中的序號(hào)，因此包細(xì)節(jié)窗口顯示了相對(duì)于建立連接的初始握手序列號(hào)的相對(duì)值1，圖中的下一序列號(hào)847就意味著數(shù)據(jù)區(qū)長(zhǎng)度是846字節(jié)。同理確認(rèn)號(hào)的相對(duì)值也為1，頭部長(zhǎng)度20字節(jié)，標(biāo)志位0x0018指示ACK標(biāo)志為1，表明確認(rèn)號(hào)有效，PSH為1表示接收方將數(shù)據(jù)不做緩存，將接收到的數(shù)據(jù)立即傳輸給應(yīng)用層。窗口字段指示發(fā)送方想要接收的最大字節(jié)數(shù)為8484，這個(gè)域用于進(jìn)行流量控制，校驗(yàn)和0x1168表明正確。協(xié)議頭部以后顯示了本層協(xié)議的數(shù)據(jù)區(qū)。5應(yīng)用層協(xié)議的分析TCP/IP的應(yīng)用層協(xié)議通常包括文件傳輸協(xié)議（FTP）、簡(jiǎn)單郵件傳輸協(xié)議（SMTP）、超文本傳輸協(xié)議（HTTP）等等，使用Wireshark也可方便地對(duì)它們進(jìn)行分析，例如對(duì)于HTTP協(xié)議，可查看客戶端的GET、POST等請(qǐng)求方法、請(qǐng)求頭內(nèi)容、請(qǐng)求數(shù)據(jù)，服務(wù)器端應(yīng)答的狀態(tài)行、響應(yīng)頭、響應(yīng)數(shù)據(jù)等，具體分析方法與上面類似，這里不再重復(fù)。ASSIC第0?32號(hào)及第127號(hào)（共34個(gè)）是控制字符或通訊專用字符，如控制符：LF（換行）、CR（回車）、FF（換頁(yè)）、DEL（刪除）、BEL（振鈴）等；通訊專用字符：SOH（文頭）、EOT（文尾）、ACK（確認(rèn)）等；第33?126號(hào)（共94個(gè)）是字符，其中第48?57號(hào)為0?9十個(gè)阿拉伯?dāng)?shù)字；65?90號(hào)為26個(gè)大寫英文字母，97?122號(hào)為26個(gè)小寫英文字母，其余為一些標(biāo)點(diǎn)符號(hào)、運(yùn)算符'號(hào)等OAscnW控制字符ASCI［值控制字符ASCIlil控制字符ASCHli控制字符0NUT32(space)64辟961SOH336SA57a2STX34tf66B98b3ETX35#67C99c4EOT365ED100dSENQ37%69E101e6ACK38&70F102f7BEL39r71G103g8BS40(72H104h9HT41)73I10510LF42*74J10611VT43+75K107k12FF44f76L108113CR4577M109m14so464>7EN110n15SI47f79O111o16DLE48a80P112p17DCI牯181Q113qIBDC350282R114r19DC3513B3XUSs20DC4524S4T116tKIAl/EQC1911-J■■24CAN56888X120X25EM57989Y121V26SUB5890Z122z27ESC5991E123<28FS60<92￥124129GS6193i125y30RS62>94A126z31US63?95127DELNUL提T垂直制表SOH幅超并始FF走齦控制ETB偉懸組傳送雄束STX正文開始CR回車CAN作度ETX正文結(jié)束so移位輸出EM維盡EOY傳輸蟾稟S1移位輸入SUB換薰ENQ詢問(wèn)字符DLE空格ESC換碼DC1設(shè)備控制1FS文宇分隔符BEL報(bào)警DC2設(shè)備控制2GS組分隔符BS退一格DC3設(shè)備控制3RS記錄分隔符HT橫向列表DC4設(shè)備控制4NAK否定US單元分?隔符DEL刪除三次握手抓包過(guò)程分析首先來(lái)一張三次握手經(jīng)典圖解客戶端TCP三次握手客戶端服務(wù)端客戶端發(fā)送湖報(bào)文，并置發(fā)送序號(hào)為XSYN=1ACK=X+1=YloV服務(wù)端發(fā)送必?zé)朊飯?bào)文，并置發(fā)送序號(hào)為Y,在確汶序號(hào)為X+1客戶端發(fā)送戢K報(bào)文,并置發(fā)送序號(hào)為乙在確認(rèn)序號(hào)為Y+1

ACK=Y+1=Z下面使用wireshark實(shí)際分析三次握手過(guò)程打開wireshark，打開瀏覽器輸入網(wǎng)址/hello_yz并訪問(wèn)；停止捕獲，紅方塊。不停止的話后面一直抓一直抓；在封包列表中可以找到下圖數(shù)據(jù)：4.8513480055DB-LSP-1.56Dropb%Protocol4.8605160002UDPport:58179915.43O557OO20UDP324SOUPC<925.4490490000TCP?+—.&6,49854S€fl=0Wln=8192Len=0MSS=1460WS=4SACK_PERM=1935.45312200002TCP66http-alt>49854[SYN,ACK]Seq=OAck=lWin=32767Len=0MSS=1460SACK_PERM=1WS=2048945.4531740000TCP5449854>http-alt[ACK]Seq=lAck=lwin=66792Len=0955.4536O3OO00HTTP8GEThttp:

在圖中可以看到，訪問(wèn)/hello_yz網(wǎng)站過(guò)程中，wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包，第四個(gè)包才是http的。這也說(shuō)明http確實(shí)是使用TCP建立連接的。下面進(jìn)行三個(gè)數(shù)據(jù)包的詳細(xì)分析。首先對(duì)封包詳細(xì)信息分析說(shuō)明選中一條TCP協(xié)議數(shù)據(jù)包，它的封包詳細(xì)信息如下圖：Transmi5sioncontrolProtocoltsrcPort:49B53(49853)PDstPort:http(8Sourceport:49853(4985B)Destinationport:http(80)Streamindex:6]equencenumber:1Cr^!?1vesequencenymber)know!edgmencnurftber:1(relativeacknumber)erlength:20byresgs:0x010(mk)dowsizeva)ue:16652Iculatedwindowsizjf:66608]dowsizescalingractor:4][val/dationdisablied]第一次握手?jǐn)?shù)據(jù)包，可以看到客戶端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0，代表客戶端請(qǐng)求建立連接。如下圖：

國(guó)Frame92:66bytesonwire(528bits),66bytescaptured(528bits)oninterface0EEthernetII,src:Elitegro_61:32:2c(74:27:ea:61:32:2c),Dst:Al1-H5RP-routers_70(00:00:0c:07:ac:70)SinternetProtocolversion4ssrc:2(2)sDSt：00C00)日TransmissionControlProtocol,SrcPort:49854(49854),DstPort:http-alt(80S0),Seq:0,Len:0Sourceport:49854(49854)Destinationport:http-alt(8080)[stireaminidex:7][sequiermnumbe『：0十vesequencenumber)Headerlength:32田[.Flags：0區(qū)。田[.Flags：0區(qū)。02(5YN)[calculatedwindowsize:8192]Schecksum:0xa8d2[validationdisabled]Eoptions:(12bytes),Maximumsegmentsize,No-operation(nop),windowscale,No-operation(nop),no-第二次握手?jǐn)?shù)據(jù)包，可以看到服務(wù)器發(fā)回確認(rèn)包，標(biāo)志位為田Frame93:66bytesonwire(528bits),66bytescaptured(528bits)oninterface0?EthernetII,Src:cisco_63:79:45(10:8c:cf:63:79:45),Dst田Frame93:66bytesonwire(528bits),66bytescaptured(528bits)oninterface0?EthernetII,Src:cisco_63:79:45(10:8c:cf:63:79:45),Dst:Elitegro_61:32:2c(74:27:ea:61:32:2c)+internetProtocolVersion4,src:00(00),Dst:2(2)EtransmissioncontrolProtocol,srcPort:http-alt(8080),DstPort:49854(49854),Seq:0,Ack:1,Len:0sourceport:http-alt(8080)Destinationport:49854(49854)[streamindex:7]sequencenumber:0(relativesequencenumber)Acknowledgmentnumber:1(relati