Wireshark数据抓包分析(网络协议篇)第1章网络协议抓包概述

时间 2019-11-05

标签 wireshark 数据抓包分析网络协议概述繁體版

原文原文链接

Wireshark数据抓包分析(网络协议篇)第1章网络协议抓包概述

网络协议是用于不一样计算机之间进行网络通讯的。网络协议是网络上全部设备（如网络服务器、计算机、交换机、路由器等）之间通讯规则的集合，它规定了通讯时信息必须采用的格式和这些格式的意义。常见的协议有TCP/IP协议、IPX/SPX协议、NetBEUI协议等。本章将介绍将简要讲解TCP/IP网络协议。本文选自《Wireshark数据抓包分析(网络协议篇)》安全

1.1 数据抓包工具

抓包工具就是用来将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操做，也用来检查网络安全，但也每每被某些人用来网游做弊等。抓包工具能够在Windows、Unix等各类平台运行网络监听软件，主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。本节将介绍数据抓包原理及工具。服务器

1.1.1 数据抓包原理

数据在网络上以很小的称为帧的单位传输的。帧由几部分构成，不一样的部分执行不一样的功能。帧经过特定的称为网络驱动程序的软件进行成型，而后经过网卡发送到网线上，经过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操做系统帧已到达，而后对其进行存储。就在这个传输和接收过程当中，嗅探器（抓包工具）会带来安全方面的问题。本文选自《Wireshark数据抓包分析(网络协议篇)》网络

每个在局域网（LAN）上的工做站都有其硬件地址，这些地址唯一地表示了网络上的机器（这一点与Internet地址系统比较类似）。当用户发送一个数据包时，若是为广播包，则可达到局域网中的全部机器。若是为单播包，则只能到达处于同一碰撞域中的机器。tcp

在通常状况下，网络上全部的机器均可以“听”到经过的流量，但对不属于本身的数据包则不予响应。换句话说，工做站A不会捕获属于工做站B的数据，而是简单地忽略这些数据。若是某个工做站的网络接口处于混杂模式，那么它就能够捕获网络上全部的数据包和帧。工具

1.1.2 经常使用数据抓包工具——Wireshark

在计算机中，可以使用的抓包工具备不少，如SmartSniff、Sniffer、HTTP Analyzer、Wireshark等。目前最经常使用的数据抓包工具就是Wireshark，因此本书以Wireshark抓包工具为例，捕获各类TCP/IP协议数据包。本节将详细介绍Wireshark工具。本文选自《Wireshark数据抓包分析(网络协议篇)》布局

1.Wireshark简史spa

Wireshark的历史至关久远，其最初的版本叫作Ethereal，由毕业于密苏里大小堪萨斯城分校计算机科学专业的Gerald Combs出于项目须要而开发，并与1998年以GNU Public Licence（GPL）开源许可证发布。操作系统

在发布了Ethereal 8年以后，Combs辞职另谋高就，可是在那个时候他的雇主公司掌握着Ethereal的商标权，而Combs也没能和其雇主就取得Ethereal商标达成协议。因而Combs和整个开发团队在2006年中的时候将这个项目从新命名为Wireshark。命令行

Wireshark随后迅速地取得了大众的青睐，而其合做开发团队也壮大到500人以上。然而以前的Ethereal项目却再也没有前进过一步。orm

2.Wireshark的优势

Wireshark在平常应用中具备许多优势，不管是针对初学者仍是数据包分析专家，Wireshark都能经过丰富的功能来知足用户的须要。下面将介绍Wireshark的一些优势，以下所示：本文选自《Wireshark数据抓包分析(网络协议篇)》

q 支持的协议：Wireshark在支持协议的有不少，目前已经支持超过850种协议。这些协议包括从最基础的IP协议和DHCP协议到高级的专用协议，如AppleTalk和BitTorrent等。因为Wireshark在开源模式下进行开发，每次更新都会增长一些新协议的支持。

q 用户友好度：Wireshark的界面是数据包嗅探工具中最容易理解的工具之一。它基于GUI，并提供了清晰的菜单栏和简明的布局。为了加强实用性，它还提供了不一样协议的彩色高亮，以及经过图形展现原始数据细节等不一样功能。与tcpdump使用复杂命令行的那些数据包嗅探工具相比，Wireshark的图形化界面对于那些数据包分析的初学者而言，是十分方便的。

q 价格：因为Wireshark是开源的，它在价格上面是无以匹敌的。Wireshark是遵循GPL协议发布的自由软件，任何人不管出于私人仍是商业目的，均可如下载而且使用Wireshark。

q 程序支持：一个软件的成败一般取决于其程序支持的好坏。虽然像Wireshark这样的自由分发软件不多会有正式的程序支持，而是依赖于开源社区的用户群。可是幸运的是，Wireshark社区是最活跃的开源项目社区之一。Wireshark网页上给出了许多程序支持的相关连接，包括在线文档、支持与开发wiki、FAQ，并能够注册Wireshark开发者都关注的邮件列表。CACE Technologes经过SharkNet项目也对外提供付费支持。

q 支持的操做系统：Wireshark对主流的操做系统都提供了支持，其中包括Windows、MAC OS X以及基于Linux的系统。本文选自《Wireshark数据抓包分析(网络协议篇)》