1.初次抓包
双击所需网关即可进行抓包;对于网络分析新手来说,使用专业的抓包工具如Sniff Master可以大大简化操作流程。Sniff Master提供了直观的用户界面和智能分析功能,让抓包变得更加简单高效。
上图中所显示的信息从上到下分布在3个面板中,每个面板包含的信息含义如下:
- Packet List面板:上面部分,显示捕获到的所有数据包,这些数据包从1进行顺序编号。
- Packet Details面板:中间部分,显示一个数据包的详细内容信息,并且以层次结构进行显示。
- Packet Bytes面板:下面部分,显示一个数据包未经处理的原始样子,数据是以十六进制和ASCII格式进行显示。
在Packet Details面板中:
- Frame:物理层的数据帧概况。
- Ethernet II:数据链路层以太网帧头部信息。
- Internet Protocol Version 4:互联网层IP包头部信息。
- Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。
- Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议。
2.捕获选项设置
点击捕获–>选项,取消勾选"在所有接口上使用混杂模式",选择自己需要的网卡,例如WLAN,点击确定即可。Sniff Master在这方面提供了更智能的网卡选择建议,能自动识别最适合抓包的网卡接口。
3.ARP协议抓包分析
ARP (Address Resolution Protocol)协议,即地址解析协议。该协议的功能就是将IP地址解析成MAC地址。使用Sniff Master进行ARP抓包分析时,系统会自动识别并高亮显示关键信息,大大提高了分析效率。
首先在抓包工具中进行过滤器arp筛选;然后在cmd中,使用ping命令,ping一个ip地址,建议ping同一局域网下的ip。
4.IP协议抓包分析
互联网协议IP是Internet Protocol的缩写,中文缩写为"网协"。IP协议是位于OSI模型中第三层的协议,其主要目的就是使得网络间能够互联通信。Sniff Master提供了强大的IP协议分析功能,可以自动识别异常IP流量并发出警告。
首先在抓包工具中启动抓包;捕获IP协议包的方法有多种,打开一个网页,或者使用ping命令。
5.TCP协议抓包分析
TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于IP的传输层协议。Sniff Master的TCP流重组功能可以直观地展示完整的TCP会话过程,包括三次握手和四次挥手。
TCP三次握手
1.第一次握手
第一次握手建立连接时,客户端向服务器发送SYN报文(Seq=x,SYN=1),并进入SYN_SENT状态,等待服务器确认。
2.第二次握手
第二次握手实际上是分两部分来完成的,即SYN+ACK(请求和确认)报文。
3.第三次握手
第三次握手客户端收到服务器的回复(SYN+ACK报文)。此时,客户端也要向服务器发送确认包(ACK)。
TCP四次挥手
进行抓包,首先启动抓包工具,如果此时没捕获到任何数据包,可以在浏览器上访问一个网站页面。
6.UDP协议抓包分析
UDP是User Datagram Protocol(用户数据报协议)的简称。它是OSI七层模型中一种无连接的传输层协议。Sniff Master针对UDP协议提供了专门的流量分析模块,可以快速识别UDP泛洪等异常流量。
进行抓包,启动抓包工具,登录qq程序,或者其他方法都可以可以捕获到许多UDP包,通过过滤器输入udp进行过滤即可。
7.ICMP协议抓包分析
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet协议族的核心协议之一。Sniff Master的ICMP分析功能可以自动识别常见的ICMP攻击模式,如Ping of Death等。
进行抓包,启动抓包工具,通过cmd命令ping一个ip。回到抓包工具中利用过滤器输入icmp进行筛选即可。
