怎么通过wireshark抓包分析网络风暴
发布网友
发布时间:2022-04-25 00:22
我来回答
共1个回答
热心网友
时间:2023-10-17 09:22
启动wireshark后,选择工具栏中的快捷键(红色标记的按钮)即可Start a new live capture。
主界面上也有一个interface list(如下图红色标记1),列出了系统中安装的网卡,选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题:弹出一个对话框说 NPF driver 没有启动,无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行,然后输入 net start npf,启动NPf服务。
重新启动wireshark就可以抓包了。
抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框,具体设置如下:
Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。
Limit each packet:*每个包的大小,缺省情况不*。
Capture packets in promiscuous mode:是否打开混杂模式。如果打开,抓 取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:过滤器。只抓取满足过滤规则的包。
File:可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer: 是否使用循环缓冲。缺省情况下不使用,即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中,如下图所示:
为了使抓取的包更有针对性,在抓包之前,开启了QQ的视频聊天,因为QQ视频所使用的是UDP协议,所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
使用wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。
上图的数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口:58459,目的端口:54062)。
中间的是协议树,如下图:
通过此协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。
最下面是以十六进制显示的数据包的具体内容,如图:
这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流,对于一个多字节数值(比如十进制1014 = 0x03 f6),在进行网络传输的时候,先传递哪个字节,即先传递高位“03”还是先传递低位“f6”。 也就是说,当接收端收到第一个字节的时候,它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明:
最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length:1014, 它的十六进制表示是0x03f6, 从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),所以可知,网络字节序采用的是大端模式。
怀疑一个局域网中毒了,如何查看是哪一台在狂发包?
用科来网络分析系统来查看。分析下,能看到每台电脑的发包情况。注意要注册,没有注册那就找破解版,要不看不了又说我骗你!还要注意的是用来监控的这台电脑的网线要接到镜像口上才能完全监控,否则可能会不完全,只能看到一部分!
microct分析软件
英华检测|工业CT设备销售|工业ct和X射线检测服务丨4008959688 英华检测(上海)有限公司,专业从事工业CT/X射线设备销售及配套工业CT/X射线检测服务。目前在上海、东莞、北京、西安分别设有办公室,总部位于上海。公司计划将在全国其他区域设立实验...
单位局域网不知道是否有网络风暴,请高手指导?
建议打开arp防火墙,查杀内网病毒
eNSP实验(二)MAC帧分析 & 广播风暴
通过Wireshark工具进行抓包,过滤条件设置为:ip.dst == 192.168.10.121 && icmp,查看报文信息,其中MAC帧信息如图3-2所示: 与Ethernet Ⅱ报文封装结构对比,可以分析MAC帧的格式,Ethernet Ⅱ报文封装结构如图3-3所示: 广播风暴的概念:一个数据帧...
学校网络铺设,多个交换机互联爆网
1、看看C交换机下面有没有环路,最好把所有交换机的STP生成树都开启。2、可能是C交换机下面有什么设备出了问题,或者是广播风暴,你用wireshark这个软件去抓包分析一下,应该有助于你找到问题所在。你的交换机都起了管理地址了吧,如果没地址你就不好找了。
网络阻塞怎么办
3. P2P类软件占用过多带宽 迅雷、BT等P2P软件以及在线视频都会占用大量的带宽,因此,我们在检测网速变慢的原因的时候要确定,局域网内是否有人使用P2P软件下载,是否有人在线视频。判断此类问题最好用流量监测工具,如wireshark、wfilter(超级嗅探狗)。4. ARP病毒以及蠕虫病毒 采用ARP欺骗的木马病毒发作...
wireshark广播风暴是arp包么
wireshark广播风暴是arp包arp一次请求由广播的请求报文和单播的应答报文组成
公司静态IP重复,知道是IP冲突,也知道MAC,但是就是不知道设备哪几台,PI...
大多数路由器和交换机都有ARP表,可以显示网络中设备的IP地址和MAC地址。步骤:登录到路由器或交换机的管理界面。查找ARP表(通常在网络设置或状态页面)。查看ARP表,查找重复的IP地址和对应的MAC地址。4. 使用Wireshark进行网络流量捕获 Wireshark是一款强大的网络协议分析工具,可以捕获并分析网络流量。...
怎么抓取局域网内手机数据
1、使用网络嗅探工具,也就是俗称sniffer的工具,这类工具有很多,有专业的sniffer pro,也有iris的抓包工具,还有许多简单点的。这种是通过抓取低层数据包,并根据上层HTTP、FTP、MAIL等协议解码,功能强弱跟软件有关。2、原理就是将我们的网卡设置为混杂模式。我们知道网卡在链路层通信时的地址是MAC,...
最近网络总是频繁的掉线
通常的做法1.拔网线,通过逐步排查,把攻击点从网络隔离。2.所有电脑重启,目的同上。这样可以暂时缓解该问题,属于治本不只根。专业的做法:通过使用Sniffer,Wireshark等抓包工具对内网进行分析。这个方法就需要读者了解各种协议的通信过程,具备很强的分析能力,还得耐心多多。找出发攻击的终端,进行处理。...
为什么我的16口交换机只能连8个电脑 插了9个电脑就不行了 全部断网_百...
这需要慢慢排查原因。1.确认是任意8个电脑接上去都没有问题吗?2.确定第九个电脑的连线是不是有短路故障等 3.通过wireshark抓包分析是不是网络风暴,如果是你的网络就是存在广播风暴