Cómo analizar la captura de paquetes de Wirehark
También hay una lista de interfaces en la interfaz principal (la marca roja es 1 en la imagen a continuación), que enumera las tarjetas de red instaladas en el sistema. Seleccione una de las tarjetas de red a las que puede recibir datos. iniciar una nueva captura en tiempo real. La siguiente figura es una lista de tarjetas de red instaladas en el sistema.
Puede encontrar un problema al inicio donde aparece un cuadro de diálogo que dice que el controlador NPF no se está ejecutando y no puede capturar paquetes. En Win7 o Vista, busque cmd.exe en C:\system\system32, ejecútelo como administrador y escriba net start npf para iniciar el servicio NPf.
Reinicie Wirehark para capturar paquetes.
Antes de capturar el paquete de datos, también puede realizar algunas configuraciones, como el ícono rojo 2. Haga clic en él para ingresar al cuadro de diálogo de configuración. Las configuraciones específicas son las siguientes:
Interfaz. : Especifique la interfaz para capturar el paquete de datos Interfaz (tarjeta de red) (el sistema seleccionará automáticamente la tarjeta de red).
Límite por paquete: Limita el tamaño de cada paquete, no hay límite por defecto.
Capturar paquetes en modo promiscuo: si se habilita el modo promiscuo. Si está activado, se capturan todos los paquetes. En términos generales, sólo necesita escuchar los paquetes recibidos o enviados por la máquina, por lo que esta opción debe estar desactivada.
Filtro: Filtrar. Capture únicamente paquetes que coincidan con las reglas de filtrado.
Archivo: puede ingresar un nombre de archivo para escribir los paquetes de datos capturados en el archivo especificado.
Usar búfer circular: si se debe utilizar el búfer circular. No se utiliza de forma predeterminada, lo que significa que los paquetes siempre se capturan. Los buffers circulares solo son válidos cuando se escriben en archivos. Si utiliza un búfer circular, también deberá configurar la cantidad de archivos y el tamaño de los archivos al rebobinar.
Actualice la lista de paquetes en tiempo real: si selecciona la casilla de verificación, puede hacer que cada paquete se muestre en tiempo real tan pronto como se intercepte, en lugar de mostrar todos los paquetes interceptados solo después de que se complete el proceso de rastreo. .
Haga clic en el botón "Aceptar" para iniciar la captura de paquetes. El sistema mostrará la información estadística de los diferentes paquetes de datos recibidos. Haga clic en el botón "Detener" para detener la captura de paquetes. se mostrará en el panel, como se muestra a continuación:
Para que la captura del paquete sea más específica, abra el chat de video QQ antes de capturar el paquete. Debido a que el video QQ utiliza el protocolo UDP, la mayoría. los paquetes capturados son paquetes de protocolo UDP.
3. Descripción de los resultados de la captura de paquetes
La ventana completa de resultados de la captura de paquetes de Wireshark se divide en tres partes: la parte superior es la lista de paquetes, que se utiliza para mostrar la información resumida de cada interceptación. del paquete de datos; la parte media es el árbol de protocolo, que se utiliza para mostrar la información del protocolo al que pertenece el paquete de datos seleccionado; la parte inferior es el contenido del paquete de datos que se muestra en forma hexadecimal, que se utiliza para mostrar la capa física del paquete de datos; El mensaje final en el momento de la transmisión.
Paquete muestra en forma hexadecimal la forma final del paquete a medida que se transmite a través de la capa física.
Con Wireshark, puede analizar fácilmente los paquetes interceptados, incluida la dirección de origen, la dirección de destino y el protocolo al que pertenece el paquete.
En la lista de paquetes anterior, la primera columna es el número (por ejemplo, paquete 1), la segunda columna es el tiempo de interceptación (0.000000) y la tercera columna es la dirección de origen (115.155. 39.93), el destino de la cuarta columna es la dirección de destino (115.155.39.112) y el protocolo de la quinta columna es el protocolo utilizado por el paquete. El protocolo de la quinta columna es el protocolo utilizado por el paquete de datos (UDP en este ejemplo), y la información de la sexta columna es otra información, incluido el número de puerto de origen y el número de puerto de destino (puerto de origen: 58459, puerto de destino: 54062).
En el medio está el árbol de protocolos, como se muestra a continuación:
A través de este árbol de protocolos, puede obtener más información sobre los paquetes interceptados, como la dirección MAC del host ( Ethernet II), dirección IP (Protocolo de Internet), número de puerto UDP (Protocolo de datagramas de usuario) y el contenido específico del protocolo UDP (datos).
La parte inferior es el contenido específico del paquete de datos que se muestra en hexadecimal, como se muestra en la figura:
Esta es la forma final del paquete de datos interceptado transmitido en el medio físico. Cuando se selecciona una determinada línea en el árbol de protocolos, se seleccionará su código hexadecimal correspondiente, de modo que se puedan analizar fácilmente los paquetes de datos de varios protocolos.
4. Verificar el orden de bytes de la red
El flujo de datos en la red es un flujo de bytes para un valor de varios bytes (como el decimal 1014 = 0x03 f6), durante la transmisión de la red. , qué byte pasa primero, es decir, el "03" de alto nivel o el "f6" de bajo nivel primero. Es decir, cuando el receptor recibe el primer byte, lo trata como alto o bajo.
La siguiente captura de pantalla ilustra esto en detalle:
La parte inferior es la forma final del flujo de bytes transmitido en el medio físico, todo expresado en hexadecimal, y el orden de envío es 00 23. 54 c3 ...00 03 f6 ...00 03 f6 ...00 03 f6 ...00 03 f6 ...00 03 f6 ...00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ... 00 03 f6 ...
La longitud total de la selección: 1014, su representación hexadecimal es 0x03f6. Como se puede ver en la selección azul a continuación, 03 está al frente y f6 detrás, es decir, los datos de bytes altos están en los bajos. La dirección y los datos de bytes bajos están en la dirección alta (las direcciones en la figura aumentan de arriba a abajo y de izquierda a derecha. Se puede ver que el orden de bytes de la red usa el modo big endian).