Wireshark是世界上最流行的网络协议分析工具,可以对网卡采用混杂模式进行监听,获取到所有流经的网络流量。但是对于一些新手来说,捕获特定协议的过程将会非常困难,官方提供了几十种协议的捕捉包,可以下载后在Wireshark中打开分析学习使用。
工具/原料
Wireshark (1.10.2 版本)
方法/步骤
1
打开程序主界面,可以看到 主界面上→Sample Captures ,点击将会打开Wireshark Wiki 提供的一些样例包下载。也可以通过Help菜单中找到 Sample Captures 进行样例包下载。
2
这时候会打开您的默认浏览器,自动跳转到样例包的介绍页面上,您可以通过Ctrl+F的方式查找要分析的协议,这里我们查找ARP协议。
3
通过上一步的查找,我们找到了需要分析的协议,这里ARP还有RARP两个协议,我们只选择ARP-storm.pcap 进行下载。
4
弹出下载确认窗体,保存到您需要的位置。
5
然后回到 Wireshark的主界面,可以通过工作区的 打开 ,或者 文件 → 打开 进行文件的查找和打开。
6
选定文件的同时,下方会出现很多的选项,其他经验会做详细的介绍,这里直接默认确定打开即可。
7
可以看到清一色的ARP Strom包 出现了,是大量的询问 IP地址的请求包,如果网络中充斥着大量请求,应该是遭到攻击了。
8
双击某一条记录可以看到超详细的包的内容。下面窗体是原始的二级制内容,上面是解析出的内容,可以看到详细的帧内容。
注意事项
这些Sample都是非常纯正经典的,可以作为协议学习工具