抓包工具以及报文解析

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

利用OmniPeek进行空口抓包以及802.11报文分析omnipeek是一款不错的网络报文扫描软件，他不仅可以扫描有线网络下的报文信息，还可以针对无线网卡进行监控和扫描。

通过该软件我们就可以更清晰更快捷的定位无线网络故障，根据扫描结果调整自己无线设备的位置和参数信息。

一、OmniPeek能做什么和其他sniffer工具一样OmniPeek可以针对自己网卡接收和发送的每个报文进行分析和保存，另外还可以针对一些广播报文进行分析，结合各种过滤规则可以让我们更清楚的了解当前网络中存在的问题。

当然和其他sniffer工具不同的是OmniPeek可以针对无线网卡进行监控，通过对无线报文的分析了解无线网络的运行状况，让用户可以清楚的知道无线网络使用的频段，信号强弱，SSID信息等内容。

二、安装OmniPeek软件第一步：下载后运行主程序将进行自解压操作，我们指定一个路径点“unzip”解压按钮即可。

第二步：到解压缩目录中找到可执行安装程序，运行后选择第一行的install OmniPe ek。

第三步：出现OmniPeek安装向导，我们点“NEXT”按钮继续操作。

第四步：经过注册步骤后同意安装许可协议。

第五步：在安装过程中会要求在本机安装.net framework 2.0程序，我们点YES即可自动安装。

第六步：软件会自动将.net framework 2.0安装到本地硬盘，大概需要几分钟的时间。

第七步：顺利安装.NET Framework 2.0后点完成按钮返回到OmniPeek安装向导。

第八步：选择安装类型，一般为了更好的分析网络我们选择“Complete”完全安装，点“NEXT”按钮继续。

第九步：接下来是选择安装的语言，只有英文和日文两种，对于我们大多数用户来说选择英文界面即可。

第十步：同样除了.NET Framework 2.0程序外我们还需要在本机安装Microsoft Visual C++ 2005程序，点确定开始安装。

用wireshark分析Http 和Dns 报文一、http请求报文和响应报文wireshark所抓的一个含有http请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。

而wireshark抓到的就是链路层的一帧。

图中解释：Frame 18：所抓帧的序号是11，大小是409字节Ethernet ：以太网，有线局域网技术，属链路层Inernet Protocol：即IP协议，也称网际协议，属网络层Transmisson Control Protocol：即TCP协议，也称传输控制协议。

属传输层Hypertext transfer protocol：即http协议，也称超文本传输协议。

属应用层图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本我们发现，报文里有对请求行字段的相关解释。

该报文请求的是一个对象，该对象是图像。

首部行：Accept: */*Referer: /这是网站网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：Accept: */*Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性（ET ags值）在ETags的值中可以体现，是否改变User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1Acookie，允许站点跟踪用户，coolie ID是7ab350574834b14b3、分析http的响应报文，针对上面请求报文的响应报文如下：wireshark对于2中http请求报文的响应报文：展开http响应报文：报文分析：状态行：HTTP/1.0 200 OK首部行：Content-Length: 159 内容长度Accept-Ranges: bytes 接受范围Server: nginx 服务器X-Cache: MISS from 经过了缓存服务器Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type: image/gif 内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。

常用抓包工具及其用途
抓包工具是一种网络安全工具，主要用于捕获和分析网络数据包。

以下是几种常用的抓包工具及其用途：
1. Wireshark：是一款流行的开源抓包工具。

它可以捕获网络上的所有数据包，并对其进行解析和分析。

Wireshark可以用于诊断网络故障、检测网络攻击和监控网络流量等任务。

2. tcpdump：是一个命令行工具，用于捕获和分析网络数据包。

它可以实时监控网络流量，并生成纪录文件以供分析。

tcpdump可以用于网络监控、调试和分析等任务。

3. Fiddler：是一个免费的代理服务器，用于捕获和分析网络数据包。

它可以监控HTTP和HTTPS流量，并提供一些有用的调试工具，例如请求和响应的查看器、断点、自动响应等。

4. Burp Suite：是一组集成的工具，用于测试Web应用程序的
安全性。

它可以拦截和修改HTTP和HTTPS的请求和响应，并提供一
系列的漏洞扫描和攻击工具，例如SQL注入、XSS攻击等。

总之，抓包工具可以帮助网络管理员和安全研究人员更好地了解网络流量和数据包，从而加强网络安全和保护敏感数据。

- 1 -。

抓包的分析报告1. 引言本文旨在通过对抓包数据的分析，对网络通信进行深入研究，从而揭示网络传输过程中的细节以及可能存在的安全隐患。

通过抓包分析，我们可以获取传输的原始数据，进而发现网络问题并进行相关的优化工作。

2. 抓包工具介绍抓包是一种网络分析的方法，通过获取网络中的数据包来进行深入分析。

常用的抓包工具包括 Wireshark、Tcpdump 等。

在本文中，我们使用 Wireshark 这一流行的抓包工具进行数据包分析。

Wireshark 是一款开源的网络协议分析软件，支持多种操作系统，用户可以通过 Wireshark 捕获和分析网络数据包，以便于查找和解决网络问题。

3. 抓包分析步骤3.1 抓包设置在开始抓包前，需要正确设置抓包工具。

我们需要指定要抓取的接口，以及过滤器来选择我们感兴趣的数据包。

为了保证抓包的有效性，可以在抓包前关闭一些不必要的网络应用，以减少干扰。

3.2 开始抓包设置完毕后，点击“开始”按钮开始进行抓包。

此时，Wireshark 将开始捕获网络数据包。

3.3 数据包过滤捕获到的数据包可能非常庞大，我们需要进行过滤以便于查找特定的数据包。

Wireshark 提供了强大的过滤功能，可以根据协议、源/目标 IP 地址、端口号等条件进行筛选。

3.4 数据包分析捕获到感兴趣的数据包后，我们可以对数据包进行深入分析。

Wireshark 提供了丰富的功能，可以查看每个数据包的详细信息，包括源/目标地址、端口号、协议类型、数据内容等。

4. 抓包分析实例为了更好地理解抓包过程和分析方法，我们将给出一个具体的抓包分析实例。

4.1 实验目标分析某网站的登录过程，并观察登录过程中的数据传输。

4.2 实验步骤•打开 Wireshark 并设置抓包过滤器为 HTTP。

•在浏览器中访问目标网站并进行登录。

•通过 Wireshark 捕获登录过程中的数据包。

•分析捕获到的数据包，观察登录过程中的数据传输情况。

报文分析工具培训一、wireshark介绍（功能、基本使用方法、帮助）wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

1. wireshark功能：∙支持UNIX和Windows平台∙在接口实时捕捉包∙能详细显示包的详细协议信息∙可以打开/保存捕捉的包∙可以导入导出其他捕捉程序支持的包数据格式∙可以通过多种方式过滤包∙多种方式查找包∙通过过滤以多种色彩显示包∙创建多种统计分析∙…2. wireshark基本使用方法：（1）、双击“桌面图标”或执行文件“wireshark.exe”（2）、进入wireshark主界面后，点击左上角图标（3）、在弹出的“抓包网卡选项”中，选择自己机器的物理网卡，并点击“Start”，开始抓包录制工作。

（此处，我抓包使用的物理网卡为：192.168.100.61）此时，软件抓包显示区域内数据不断变化（4）、点击wireshark停止键，结束抓包过程（5）、点击wireshark软件左上角“File”后，选择“Save”选项，在弹出的对话框中，输入存档文件名后，点击“保存”，完成数据包存储工作。

3. wireshark帮助选择主菜单中的“Help”项，出现帮助菜单。

帮助菜单包含以下几项：Contents：打开一个基本的帮助系统。

Manual Pages：使用手册（HTML网页）Supported Protocols：Wireshark支持的协议清单About Wireshark：弹出信息窗口显示Wireshark的一些相关信息，如插件，目录等二、wireshark抓取报文高级使用在开始抓包前，点击“Filter”在“Filter string”项，输入过滤条件，点击“OK”1. 根据MAC地址过滤条件抓取报文太以网头过滤eth.dst == A0:00:00:04:C5:84 // 过滤目标maceth.src eq A0:00:00:04:C5:84 // 过滤来源maceth.dst==A0:00:00:04:C5:84eth.dst==A0-00-00-04-C5-84eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的2. 根据IP地址过滤条件抓取报文如来源IP或者目标IP等于某个IPip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP3. 根据TCP协议过滤条件抓取报文tcp4. 根据UDP协议过滤条件抓取报文udp5. 根据端口过滤条件抓取报文tcp.port eq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.port eq 2722tcp.port eq 80 or udp.port eq 80tcp.dstport == 80 // 只显tcp协议的目标端口80tcp.srcport == 80 // 只显tcp协议的来源端口80udp.port eq 150006. 根据过滤规则之间的与或非条件抓取报文（1）过滤规则之间相与：用and连接过滤规则（2）过滤规则之间相或：用or连接过滤规则三、wireshark显示报文高级使用打开已经截取好的报文点击“Filter”在“Filter string”项，输入过滤条件，点击“OK”1. 根据MAC地址过滤条件显示报文5. 根据端口过滤条件显示报文6. 根据过滤规则之间的与或非条件显示报文（1）过滤规则之间相与：（2）过滤规则之间相或：（3）过滤规则相非四、wireshark使用实战举例说明：根据IP筛选报文：ip.addr == 192.168.0.182根据源IP筛选报文：ip.src == 192.168.0.182根据目的IP筛选报文：ip.dst == 192.168.0.182根据物理地址筛选报文：eth.addr == 00:16:ec:71:d9:98 根据源物理地址筛选报文：eth.src == 00:16:ec:71:d9:98 根据目的物理地址筛选报文：eth.dst == 00:16:ec:71:d9:98根据非IP筛选报文：!(ip.addr == 192.168.0.182)根据TCP端口筛选报文：tcp.port == 8080根据源TCP端口筛选报文：tcp.srcport == 8080根据目的TCP端口筛选报文：tcp.dstport == 8080根据UDP端口筛选报文：udp.port == 11955根据源UDP端口筛选报文：udp.srcport == 11955根据目的UDP端口筛选报文：udp.dstport == 11955根据HTTP协议关键字“GET”筛选：http contains 47:45:54根据HTTP协议关键字“200 OK”筛选：http contains 32:30:30根据HTTP协议关键字“302”筛选：根据edonkey协议关键字“kademlia”筛选：edonkey contains e4根据udp报文中“edonkey”和“Unknown”关键字筛选重定向报文：（电驴重定向）udp contains e3:941. 过滤和分析BT重定向服务器返回的报文2. 过滤和分析emule重定向服务器返回的报文1.根据重定向MAC地址过滤2.右键Follow UDP Follow3.右键>> decode as >> Transport >> 选择EDONKEY协议>> OK4.分析出了重定向报文3. 过滤和分析thunder重定向服务器返回的报文五、tcpdump介绍(功能、基本使用方法)tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。

61850典型报文解析说明1 平台现利用ethereal报文抓捕工具抓取部分典型报文解析说明。

1.1报告类61850报告服务，是一项非常重要的ACSI服务，它通过SCSM映射为MMS协议中的InformationReport服务，我们在调试过程中通过捕包工具得到的61850报告报文，都是经过ASN.1编码后的InformationReport数据。

1.1.1InformationReport相关数据结构下表是InformationReport的数据结构：InformationReport的数据结构定义DL/T860.72 报告格式参数名条件报告ID（RptID）始终存在报告中包括的选择区域（Reported OptFlds）始终存在顺序编号（SeqNum）当OptFlds.sequence-number 或OptFlds中full-sequence-number 为 TRUE时存在入口时间（TImeOfEntry）当OptFlds.report-time-stamp 为 TRUE时存在数据集（DatSet）当OptFlds.data-set-name 为TRUE时存在发生缓冲溢出（BufOvfl）当OptFlds. buffer-overflow 为TRUE时存在入口标识（EntryID）当OptFlds. entry 为TRUE时存在子序号（SubSeqNum）当OptFlds.segmentation 为TRUE时存在有后续数据段（MoreSegmentFollow）当OptFlds.segmentation 为TRUE时存在包含位串（Inclusion-bitstring）始终存在数据引用（data-reference(s)）当OptFlds.data-reference为TRUE时存在值（value(s)）始终存在原因代码（ReasonCode(s)）当OptFlds.reason-for-inclusion 为TRUE时存在其中：RptID：作为不同报告间的唯一标识符，在报文中是始终存在的。

61850典型报文解析说明1 平台现利用ethereal报文抓捕工具抓取部分典型报文解析说明。

1.1报告类61850报告服务，是一项非常重要的ACSI服务，它通过SCSM映射为MMS协议中的InformationReport服务，我们在调试过程中通过捕包工具得到的61850报告报文，都是经过ASN.1编码后的InformationReport数据。

1.1.1InformationReport相关数据结构下表是InformationReport的数据结构：InformationReport的数据结构定义其中：RptID：作为不同报告间的唯一标识符，在报文中是始终存在的。

OptFlds：决定了报文拼装中可选成员出现与否，该属性值对于报文解析非常重要，在61850-7-2中BRCB.OptFlds和URCB.OptFlds定义不同，在标准-8-1中通过引入保留位，保证了OptFlds定义的一致性，整合后的OptFlds各位含义如下：OptFlds数据定义（DataChange）、数据更新（DataUpdata）、品质变化（QualityChange）、完整性周期（IntegerPd）和总召唤（GI）。

ResonCode也是Bitstring类型，× × × × × × × ×待扩展GIIntgPdDdupQchgDchg保留触发选项的存储形式1.1.2 InformationReport报文解析建好数据库，连接好装置后，启动SCADA服务器，并用ethereal抓报文，根据报告格式进行解析。

图1为ethereal解析出来的报文。

解释如下：1、报告的RptID为BR04_brcbRelayDin03，其中03为报告实例号2、报告的选项域，报告中包含哪些选项，按位标识，0为不存在，1为存在。

3、顺序编号SeqNum，由OptFlds决定其是否存在4、溢出标志BufOvfl，由OptFlds决定其是否存在5、入口标识EntryID，由OptFlds决定其是否存在6、InclusionBitstring（该报告中出现的数据集成员），由报文可知该数据集共有137个成员，其中只有第29个数据集成员上送报告7、数据集成员Value，数据集成员值为一个结构8、value的stval（状态值）9、value的q（品质）10、value的t（时标）11、报告的触发原因类型为：数据变化（按位为保留、数据变化、品质变化、数据更新、完整性、总召唤，0为无1为有）图1 InformationReport1.2定值类定值服务可以分为SGCB控制块相关服务和定值相关服务。