秋的回憶2017.03.26 回答

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。 主介面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網絡卡，選擇其中一個可以接收資料的的網絡卡也可以開始抓包。 在啟動時候也許會遇到這樣的問題：彈出一個對話方塊說 NPF driver 沒有啟動，無法抓包。在win7或Vista下找到C： \system\system32下的cmd。exe 以管理員身份執行，然後輸入 net start npf，啟動NPf服務。 重新啟動wireshark就可以抓包了。 抓包之前也可以做一些設定，如上紅色圖示記2，點選後進入設定對話方塊，具體設定如下： Interface：指定在哪個介面（網絡卡）上抓包（系統會自動選擇一塊網絡卡）。 Limit each packet：限制每個包的大小，預設情況不限制。 Capture packets in promiscuous mode：是否開啟混雜模式。如果開啟，抓 取所有的資料包。一般情況下只需要監聽本機收到或者發出的包，因此應該關閉這個選項。 Filter：過濾器。只抓取滿足過濾規則的包。 File：可輸入檔名稱將抓到的包寫到指定的檔案中。 Use ring buffer： 是否使用迴圈緩衝。預設情況下不使用，即一直抓包。迴圈緩衝只有在寫檔案的時候才有效。如果使用了迴圈緩衝，還需要設定檔案的數目，檔案多大時回捲。 Update list of packets in real time：如果複選框被選中，可以使每個資料包在被截獲時就實時顯示出來，而不是在嗅探過程結束之後才顯示所有截獲的資料包。 單擊“OK”按鈕開始抓包，系統顯示出接收的不同資料包的統計資訊，單擊“Stop”按鈕停止抓包後，所抓包的分析結果顯示在面板中，如下圖所示： 為了使抓取的包更有針對性，在抓包之前，開啟了QQ的影片聊天，因為QQ影片所使用的是UDP協議，所以抓取的包大部分是採用UDP協議的包。 3、對抓包結果的說明 wireshark的抓包結果整個視窗被分成三部分：最上面為資料包列表，用來顯示截獲的每個資料包的總結性資訊；中間為協議樹，用來顯示選定的資料包所屬的協議資訊；最下邊是以十六進位制形式表示的資料包內容，用來顯示資料包在物理層上傳輸時的最終形式。 使用wireshark可以很方便地對截獲的資料包進行分析，包括該資料包的源地址、目的地址、所屬協議等。 上圖的資料包列表中，第一列是編號（如第1個包），第二列是擷取時間（0。000000），第三列source是源地址（115。155。39。93），第四列destination是目的地址（115。155。39。112），第五列protocol是這個包使用的協議（這裡是UDP協議），第六列info是一些其它的資訊，包括源埠號和目的埠號（源埠：58459，目的埠：54062）。 中間的是協議樹，如下圖： 透過此協議樹可以得到被截獲資料包的更多資訊，如主機的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP埠號（user datagram protocol）以及UDP協議的具體內容（data）。 最下面是以十六進位制顯示的資料包的具體內容，如圖： 這是被截獲的資料包在物理媒體上傳輸時的最終形式，當在協議樹中選中某行時，與其對應的十六進位制程式碼同樣會被選中，這樣就可以很方便的對各種協議的資料包進行分析。 4、驗證網路位元組序 網路上的資料流是位元組流，對於一個多位元組數值（比如十進位制1014 = 0x03 f6），在進行網路傳輸的時候，先傳遞哪個位元組，即先傳遞高位“03”還是先傳遞低位“f6”。 也就是說，當接收端收到第一個位元組的時候，它是將這個位元組作為高位還是低位來處理。 下面透過截圖具體說明： 最下面是物理媒體上傳輸的位元組流的最終形式，都是16進製表示，傳送時按順序先發送00 23 54 c3 …00 03 f6 …接收時也按此順序接收位元組。 選中total length：1014， 它的十六進位制表示是0x03f6， 從下面的藍色選中區域可以看到，03在前面，f6在後面，即高位元組資料在低地址，低位元組資料在高地址（圖中地址從上到下從左到右依次遞增），所以可知，網路位元組序採用的是大端模式。