抓包工具以及报文解析
包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。
mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候
设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓
Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文
eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件
tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1
tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正
常关断的标志RST是TCP连接制关断的标志。强统计心跳报文有无失丢在statistics-conversations里选择UDP可以看到所有装置的UDP报文统计。一般情况下相同型号装置的UDP 报文的数量应该相等最多相差1到2个如果个别装置数量异常则可能是有心跳报文失可以以该装置的位址过滤条件进行进一步档。丢为找报工具是归档里面的抓61850的报文监视工具。如下打开包工具点击左侧第二个按开始设置抓钮选择本电脑网位址就是本地连接里面设置的卡IP位址
设置要监视的装置的IP位址格式为host 198.120.0.72。点击browse按设置存储档案名及路径钮设置长期包存储选中抓按包大小存贮抓m代表MB可以是KB或者GB按时间存储如下图把这个选项勾上就可以时显示资料便於档问题。即找点击“start”按开始包。钮抓destination这两个MAC位址都是IL2215B的MAC位址source是实际网的卡MAC位址就是大家平时所说的MAC地址destination是组播地址在SCD中写体现在填goose.txt文件中。下面以一组报文进行分析我们实际分析GOOSE报文的时候一般只需要分析IEC 61850 GOOSE下面的报文可。即StNum如果状态没有变化每一帧报文的档相同如果状态变化了则档加
1.SqNum如果状态没有变化每一帧报文的档加1如果状态变化了则档零。清在资料集中的每一个档他反应的是最后一次变位的档也就是当前的档下面的SOE时间表示最后一次
状态变位元发生的时间是格林威治时间比当前时间档了即8个小时。时间品质反应最后一次状态变位元发生时候的时间品质而不是当前状态的时间品质。报文中资料集与装置的GOOSE档中的资料集一致顺序也一致要想看某个档是否变位以及什即时候变位直接在麼GOOSE的资料集中到这个点然后到报文中数数数到这个点找既可以看他的档。或者在SCD的资料集中这个点在资料集中的位置也可以。找时包的时候不能保存只有停止包了才能保存所的包点击“即抓抓抓File”下的“save”或者“save as”可。将保存的报文拖到程式主介面视可自动打开。即窗即Unix 后台可以使用snoop命令来包常用的命令如下抓snoop -d bge0 -o xx.snoop-d接受包的设备名网路介面网名称卡---A网-o 全数据包xx.snoop 档案名。这是和网抓卡beg0通讯的所有的资料包。snoop –o xx.snoop scada1198.120.0.181 198.120.xx.xx-o 全数据包xx.snoop 档案名scada1198.120.0.181 后台机的机器名或者IP198.120.xx.xx 装置的IP。此命令是后台机抓scada1和装置198.120.xx..xx之间的所有的资料包。“Ctrl”“c”可停止包这个包的时性差一点信号上来后在等一分钟在停止资即
抓抓即料包。因报分分析工具的限制有的时候为snoop的资料包在打开的时候报单个报文过大导抓致整个报无法分析。所以在包的时候有条件还是使用抓HUB包比较好。抓
Ethereal -抓包、报文分析工具
Ethereal -抓包、报文分析工具 Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。 主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。 在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤
设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。抓包配置好就可以点击“Start”开始抓包了。 抓包结束,按“停止”按钮即可停止。为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。 注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。常用
有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。偶尔出现属于正常现象,完全不出现说明网络状态上佳。 tcp.flags.reset==1。SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。 统计心跳报文有无丢失。在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。一般情况下,相同型号装置的UDP报文的数量应该相等,最多相差1到2个,如果个别装置数量异常,则可能是有心跳报文丢失,可以以该装置的地址为过滤条件进行进一步查找。 抓取的报文可以点击“保存”按钮进行保存,以后就可以点击“打开”按钮查看已保存的报文包。保存报文时首先选择保存目录,再在“Packet Range”里“Captured(保存捕捉到的所有报文)”、“Displayed(保存屏幕显示的报文)”和“All packets(保存所有的数据包)”、“Selected packets only(保存选中的数据包)”、“Marked packets only(保存标记过的数据包)”配合选用,最后填上保存文件名点“OK”即可。
101规约报文解析
101规约(2002版)报文解析速查 1、初始化 ●主站发: 10 49 4F 98 16 目的:给地址为4F的子站发请求链路状态命令。 子站回答:10 0B 4F 5A 16 目的:子站向主站响应链路状态。 ●主站发: 10 40 4F 8F 16 目的:给地址为4F的子站发复位通信单元命令。 子站回答:10 20 4F 6F 16 目的:ACD位置1,表明子站向主站请求1级数据上送。 ●主站发: 10 7A 4F C9 16 目的:向地址为4F的子站发召唤1级数据命令。 子站回答:68 09 09 68 28 4F 46 01 04 4F 00 00 00 11 16 (ASDU70,CON=28,COT=4) 目的:子站以ASDU70(初始化结束)响应主站的召唤。并ACD位置1,表明子站继续 向主站请求1级数据上送。 后面跟随时间同步和总查询。 2、对时 ●主站发:68 0F 0F 68 73 00 67 01 06 00 00 00 CD 85 36 0D 1E 0C 04 A4 16 目的:给地址为0的子站发对时命令。 对时时间为:04年12月31日13时54分34秒253毫秒 报文解析:
子站发:68 0F 0F 68 80 00 67 01 07 00 00 00 F7 01 36 0D 1E 0C 04 58 16 目的:以ASDU67响应主站对时命令。 3、 总召唤 ● 主站发:68 09 09 68 53 4F 64 01 06 4F 00 00 14 70 16 目的:向地址为4F 的子站发总召唤命令。 子站回答:10 20 4F 6F 16 目的:ACD 位置1,表明子站向主站请求1级数据上送。 ● 主站发:10 5A 4F A9 16 目的:向地址为4F 的子站发召唤1级数据的命令。 子站回答:68 09 09 68 28 4F 64 01 07 4F 00 00 14 46 16 目的:子站响应总召唤,ACD 位置1。 ● 主站发: 10 7A 4F C9 16 目的:主站向子站召唤1级数据。 子站回答:68 87 87 68 28 4F 01 7F 14 4F 01 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 00 00 00 00 00 E7 16
南网2002-101规约报文解释
101规约解读 一、101远动规约的基本对话过程 1)初始化过程(链路两端均已上电时):主站向子站询问链路状态,子站 以链路状态回答主站,主站复位远方链路,子站确认回答;子站向主 站询问链路状态,主站以链路状态回答子站,子站复位远方链路,主 站确认回答;主站发总召唤命令,子站以全数据回答,主站发送时钟 同步命令,子站以同步时钟事件回答。 2)基本问答过程:主站在初始化完毕,并召唤过全数据和时钟同步之后, 开始轮询二级数据;而子站如果存在二级数据或一级数据,直接以数 据回答,如不存在,则以否定报文回答(否定回答是单个字符“E5H”, 也可以“无所请求数据”确认帧回答)。 3)其他问答过程:遥控选择命令以遥控选择确认帧回答,遥控执行命令 以遥控执行确认帧回答,召唤电度命令以传送电度数据帧回答。 链路报文格式 1)固定帧长帧格式 固定长帧报文就是链路初始化报文 主站:10 49 06 4F 16 (召唤链路状态) 子站:10 0B 06 11 16 (状态正常) 主站:10 40 06 46 16 (复位远方链路) 子站:10 20 06 26 16 (确认) 主站:10 5A 06 60 16(召唤一级数据) 子站:ES(没有所召唤的数据) 二、总召 主站--子站 68 09 09 68 5 3 066401 060600 00 14 DE 16 68 09 09 68 73 01 64 01 06 01 00 00 14 F4 16 主 子:总召唤命令帧C_IC_NA_1
子站――主站 68 09 09 68 28 066401070600 00 14B4 16 遥测点号从16385开始
wireshark抓包分析实验报告
Wireshark抓包分析实验 若惜年 一、实验目的: 1.学习安装使用wireshark软件,能在电脑上抓包。 2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。 二、实验内容: 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文: IP报文分析: 从图中可以看出: IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符:0xd74b 标志:0x02 比特偏移:0 寿命:48 上层协议:TCP 首部校验和:0x5c12 源IP地址为:119.75.222.18 目的IP为:192.168.1.108
从图中可以看出: 源端口号:1891 目的端口号:8000 udp报文长度为:28 检验和:0x58d7 数据长度:20 bytes UDP协议是一种无需建立连接的协议,它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。
第一次握手: 从图中看出: 源端口号:56770 目的端口号:80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。
第二次握手: 从图中看出: 源端口号是:80 目的端口号为:56770 序列号为:0 ack为:1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。
第三次握手: 从图中看出: 源端口:56770 目的端口:80 序列号为:1 ACK为:1 首部长为:20bytes Acknowledgement为1表示包含确认的报文 所以,看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。
101规约报文解释解析
IEC870-5-101规约报文解释 一、规约格式简介 1、祯格式 101规约的基本祯格式如下所示,具体的解释请参照规约手册,这里不再重复。固定祯长格式: 可变祯长格式: 规约中不同的命令,可能采用不同的祯格式。 2、控制域功能码说明 主站下发子站功能码 子站上送主站功能码 二、主站初始化RTU下发命令流程(以非平衡方式通信)
以下adrs 表示链路地址(一般为rtu 站址),comadr 表示公共地址(一般为rtu 站址),infadr_l 表示信息体地址低位,infadr_h 表示信息体地址高位,CS 表示祯校验和。对时祯为长时标方式。 1、 询问链路状态 10 49 adrs CS 16 子站回答 10 80 adrs CS 2、 复位远方链路 10 40 adrs CS 子站回答 10 89 adrs CS 3、 总召唤 68 10 10 68 16 子站确认 68 09 09 68 80 adrs 64 01 07 comadr 00 00 14 CS 16 子站发送遥测遥信祯(下面将详细解释) 子站发送总召唤结束祯 68 09 09 68 88 adrs 64 01 0a comadr 00 00 14 CS 16 4、 如果没有召唤全则进行分组召唤 下发命令码: 68 09 09 68 7b adrs 64 01 05 comadr 子站发送遥测遥信祯(和总召唤的一样,只是信息体地址会有所区别) 5、 发对时令 68 0f 0f 68 53 adrs 67 01 06 comadr 00 00 milliseconds_l milliseconds_h minutes hours day month year CS 16 子站确认祯 68 0f 0f 68 80 adrs 67 01 07 comadr 00 00 milliseconds_l milliseconds_h minutes hours day month year CS 16 6、 召唤全电度 68 09 09 68 73 adrs 65 01 06 comadr 00 00 45 CS 16 子站发送电度总召唤确认祯 68 09 09 68 80 adrs 65 01 07 comadr 00 00 45 CS 16 子站发送电度祯(下面将详细讲述) 子站发送电度结束祯 68 09 09 68 80 adrs 65 01 0a comadr 00 00 45 CS 16 7、 如果电度没有召唤全则进行分组召唤电度 68 09 09 68 7b adrs 65 01 05 comadr
wireshark抓包教程
Wireshark图解教程(简介、抓包、过滤器)配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的 数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、 邮箱、msn、账号等的密码!! Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.sodocs.net/doc/5a10631925.html,”网站时的截图。 1.MENUS(菜单) 2.SHORTCUTS(快捷方式) 3.DISPLAY FILTER(显示过滤器) 4.PACKET LIST PANE(封包列表) 5.PACKET DETAILS PANE(封包详细信息) 6.DISSECTOR PANE(16进制数据) 7.MISCELLANOUS(杂项)
1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: -"File"(文件)-"Edit"(编辑)-"View"(查看)-"Go"(转到)-"Capture"(捕获)-"Analyze"(分析)-"Statistics"(统计) -"Help"(帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKET LIST PANE(封包列表)
wireshark抓包分析了解相关协议工作原理
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.sodocs.net/doc/5a10631925.html,抓到的包与访问https://www.sodocs.net/doc/5a10631925.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping https://www.sodocs.net/doc/5a10631925.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing https://www.sodocs.net/doc/5a10631925.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问https://www.sodocs.net/doc/5a10631925.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问https://www.sodocs.net/doc/5a10631925.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问https://www.sodocs.net/doc/5a10631925.html, 的IP地址,DNS服务器210.45.176.18给出https://www.sodocs.net/doc/5a10631925.html,的IP地址为210.45.176.3
101规约(1997版)报文解析汇总
101规约(1997版)报文解析速查 1、 初始化 ● 主站发: 10 69 01 6A 16 目的:给地址为1的子站发请求链路状态命令。 子站回答:10 8B 01 8C 16 目的:子站向主站响应链路状态。 ● 主站发: 10 40 01 41 16 目的:给地址为1的子站发复位通信单元命令。 子站回答:10 80 01 81 16 目的:确认,响应主站初始化结束。 后面跟随时间同步和总查询。 2、 对时 ● 主站发:68 0F 0F 68 53 00 67 01 06 00 00 00 CD 85 36 0D 1E 0C 04 A4 16 目的:给地址为0的子站发对时命令。 对时时间为:04年12月31日 13时54分34秒253毫秒 报文解析: 子站发:68 0F 0F 68 80 00 67 01 07 00 00 00 F7 01 36 0D 1E 0C 04 58 16 目的:以ASDU67响应主站对时命令。
3、 总召唤 主站发:68 09 09 68 53 4F 64 01 06 4F 00 00 14 70 16 目的:向地址为4F 的子站发总召唤命令。 子站回答:68 09 09 68 80 4F 64 01 07 4F 00 00 14 46 16 目的:子站响应总召唤。 子站回答:68 87 87 68 88 4F 01 FF 14 4F 01 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 00 00 00 00 00 E7 16 目的:子站向主站以ASDU1方式上送全遥信第一帧。 报文解析: 子站回答:68 87 87 68 88 4F 01 FF 14 4F 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 61 16
Wireshark的抓包及过滤规则实验
Wireshark的抓包及过滤规则实验 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。 Wireshark的优势: - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。 Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 实验一抓ARP包 一:安装并运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。 二:几分钟后就捕获到许多的数据包了,主界面如图所示:
如上图所示,可看到很多捕获的数据。 第一列是捕获数据的编号; 第二列是捕获数据的相对时间,从开始捕获算为0.000秒; 第三列是源地址,第四列是目的地址; 第五列是数据包的信息。 选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据 三:开始分析数据 在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮
截图(替换掉该图) 现在只有ARP协议了,其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。如下图所示: 截图(替换掉该图) 现在展开第一行。看到的结果如下: 截图(替换掉该图)
新浪微博抓包分析
新浪微博抓包分析 摘要:数据包捕获及分析主要实现了对网络上的数据包进行捕获及分析。在包分析功能模块,根据报文协议的格式,把抓到的包进行解析,从而得到网络层和传输层协议的报头内容等信息。本次研究通过对新浪微博的网络数据包进行捕捉,分析数据包的结构,从而掌握数据包捕获和数据包分析的相关知识。 关键词:包分析;协议;数据包 1序言 本实验研究通过技术手段捕获数据包并加以分析。Ether Peek5.1是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过Ether Peek对TCP、SMTP和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。计算机网络安全、信息安全已经成为一个国际性的问题,每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元,且这个数字正在不断增加。网络数据包的捕获与分析对研究计算机网络安全问题有着重要意义。网络安全问题既包括网络系统的安全,又包括网络信息的安全和机密性。 2抓包工具介绍及抓包原理 2.1工具介绍 目前常用的抓包工具有Sniffer,wireshark,WinNetCap,WinSock Expert,EtherPeek等。本次实验研究是在windows XP系统环境下安装EtherPeek进行抓包。EtherPeek是个用来截取网络数据包的工具,主要用监听统计和捕获数据包两种方式进行网络分析。它只能截取同一HUB的包,也就是说假如你的便携装了EtherPeek,那么你的便携必须与你要监控的目的地址和源地址中的一个接在同一HUB上。有了这个工具,如果5250仿真或telnet仿真出了问题,就可以用它来截取数据包,保存下来,再进行分析。 2.2数据包捕获原理 在通常情况下,网络通信的套接字程序只能响应与自己硬件地址相匹配的或
101报文解析
101规约报文分析 ①主站链路请求报文:10 49 01 4A 16 启动字符:10H 控制域: 49H --> 0100 1001 DIR(传输方向位)=0 PRM(启动报文位)=1 主站-->从站 FCB(帧计数位)=0 FCV(帧计数有效位)=0(无效) 功能码=9 召唤链路状态 链路地址域:01H 帧校验和:4AH (前面除启动字符外的所有字节的累加) 结束字符:16H ②从站链路请求响应报文:10 8B 01 8C 16 启动字符:10H 控制域: 8BH --> 1000 1011 DIR(传输方向位)=1 PRM(启动报文位)=0 从站-->主站 ACD(要求访问位)=0(无一级数据) DFC(数据位)=0(表示子站可以继续接收数据) 功能码=11 以链路状态或访问请求回答请求帧
链路地址域:01H 帧校验和:8CH (前面除启动字符外的所有字节的累加)结束字符:16H ③主站链路复位请求报文:10 40 01 41 16 启动字符:10H 控制域: 40H --> 0100 0000 DIR(传输方向位)=0 PRM(启动报文位)=1 主站-->从站FCB(帧计数位)=0 FCV(帧计数有效位)=0(无效) 功能码=0 复位远方链路 链路地址域:01H 帧校验和:41H (前面除启动字符外的所有字节的累加)结束字符:16H ④从站链路复位响应报文:10 80 01 81 16 启动字符:10H 控制域: 80H --> 1000 0000 DIR(传输方向位)=1 PRM(启动报文位)=0 从站-->主站
ACD(要求访问位)=0(无一级数据) DFC(数据位)=0(表示子站可以继续接收数据) 功能码=0 确认 链路地址域:01H 帧校验和:81H (前面除启动字符外的所有字节的累加) 结束字符:16H ⑤主站召唤2级数据报文:10 7B 01 7C 16 启动字符:10H 控制域: 7BH --> 0111 1011 DIR(传输方向位)=0 PRM(启动报文位)=1 主站-->从站 FCB(帧计数位)=1 FCV(帧计数有效位)=1(有效) 功能码=11 召唤用户2级数据 链路地址域:01H 帧校验和:7CH 结束字符:16H ⑥从站无所召唤数据响应报文:10 89 01 8A 16 启动字符:10H
以太网常用抓包工具介绍_464713
v1.0 可编辑可修改 i RTUB_105_C1 以太网常用抓包工具介绍 课程目标: 课程目标1:了解常见抓包软件 课程目标2:掌握根据需要选择使用抓包软件并分析报文
v1.0 可编辑可修改 目录 第1章以太网常用抓包工具介绍.............................................................................................................. 1-1 1.1 摘要 ................................................................................................................................................ 1-1 1.2 简介 ................................................................................................................................................ 1-1 1.3 抓包工具介绍 ................................................................................................................................ 1-2 1.4 Sniffer使用教程 .......................................................................................................................... 1-3 1.4.1 概述 ..................................................................................................................................... 1-3 1.4.2 功能简介 ............................................................................................................................. 1-3 1.4.3 报文捕获解析 ..................................................................................................................... 1-4 1.4.4 设置捕获条件 ..................................................................................................................... 1-8 1.4.5 报文放送 ........................................................................................................................... 1-10 1.4.6 网络监视功能 ................................................................................................................... 1-12 1.4.7 数据报文解码详解 ........................................................................................................... 1-14 1.5 ethreal的使用方法 .................................................................................................................... 1-28 1.5.1 ethreal使用-入门 ......................................................................................................... 1-28 1.5.2 ethereal使用-capture选项 ......................................................................................... 1-30 1.5.3 ethereal的抓包过滤器 ................................................................................................... 1-31 1.6 EtherPeekNX ................................................................................................................................ 1-35 1.6.1 过滤条件设置 ................................................................................................................... 1-35 1.6.2 设置多个过滤条件 ........................................................................................................... 1-41 1.6.3 保存数据包 ....................................................................................................................... 1-45 1.6.4 分析数据包 ....................................................................................................................... 1-47 1.6.5 扩展功能 ............................................................................................................................. 1-1 1.6.6 简单分析问题的功能 ......................................................................................................... 1-5 1.6.7 部分解码功能 ..................................................................................................................... 1-9 1.6.8 案例 ..................................................................................................................................... 1-1 1.7 SpyNet ............................................................................................................................................ 1-1 1.7.1 使用简介 ............................................................................................................................. 1-1 1.7.2 使用步骤: ......................................................................................................................... 1-2 i
101规约报文分析(适用初学者)
101规约报文分析 ①站链路请求报文:10 49 01 4A 16 启动字符:10H 控制域: 49H --> 0100 1001 DIR(传输方向位)=0 PRM(启动报文位)=1 主站-->从站 FCB(帧计数位)=0 FCV(帧计数有效位)=0(无效) 功能码=9 召唤链路状态 链路地址域:01H 帧校验和:4AH (前面除启动字符外的所有字节的累加) 结束字符:16H ②从站链路请求响应报文:10 8B 01 8C 16 启动字符:10H 控制域: 8BH --> 1000 1011 DIR(传输方向位)=1 PRM(启动报文位)=0 从站-->主站 ACD(要求访问位)=0(无一级数据) DFC(数据位)=0(表示子站可以继续接收数据) 功能码=11 以链路状态或访问请求回答请求帧链路地址域:01H 帧校验和:8CH (前面除启动字符外的所有字节的累加) 结束字符:16H ③主站链路复位请求报文:10 40 01 41 16 启动字符:10H 控制域: 40H --> 0100 0000 DIR(传输方向位)=0 PRM(启动报文位)=1 主站-->从站 FCB(帧计数位)=0 FCV(帧计数有效位)=0(无效) 功能码=0 复位远方链路 链路地址域:01H 帧校验和:41H (前面除启动字符外的所有字节的累加) 结束字符:16H ④从站链路复位响应报文:10 80 01 81 16 启动字符:10H 控制域: 80H --> 1000 0000 DIR(传输方向位)=1 PRM(启动报文位)=0 从站-->主站 ACD(要求访问位)=0(无一级数据) DFC(数据位)=0(表示子站可以继续接收数据)
【小技巧】wireshark定位抓包与定位查看
【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。 目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图:
101规约报文解析
<1 0 101规约(2002版)报文解析速查 1、 初始化 主站发:10 49 4F 98 16 目的:给地址为4F 的子站发请求链路状态命令。 子站回答:10 0B 4F 5A 16 目的:子站向主站响应链路状态。 主站发:10 40 4F 8F 16 目的:给地址为4F 的子站发复位通信单元命令。 子站回答:10 20 4F 6F 16 目的:ACD 位置1,表明子站向主站请求 1级数据上送。 主站发:10 7A 4F C9 16 目的:向地址为4F 的子站发召唤1级数据命令。 子站回答:68 09 09 68 28 4F 46 01 04 4F 00 00 00 11 16 (ASDU70,CON=28 ,COT=4) 目的:子站以 ASDU70(初始化结束)响应主站的召唤。并 ACD 位置1,表明子站继续 向主站请求1级数据上送。 后面跟随时间同步和总查询。 2、 对时 主站发:68 0F 0F 68 73 00 67 01 06 00 00 00 CD 85 36 0D 1E 0C 04 A4 16 目的:给地址为0的子站发对时命令。 对时时间为:04年12月31日13时54分34秒253毫秒 报文解析: 101规约(2002版)报文解析 四方
子站发:68 OF OF 68 80 00 67 01 07 00 00 00 F7 01 36 0D 1E 0C 04 58 16 目的:以ASDU6刀向应主站对时命令。 3、总召唤 主站发:68 09 09 68 53 4F 64 01 06 4F 00 00 14 70 16 目的:向地址为4F 的子站发总召唤命令。 子站回答:10 20 4F 6F 16 目的:ACD 位置1,表明子站向主站请求 1级数据上送。 主站发:10 5A 4F A9 16 目的:向地址为4F 的子站发召唤1级数据的命令。 子站回答:68 09 09 68 28 4F 64 01 07 4F 00 00 14 46 16 目的:子站响应总召唤, ACD 位置1。 主站发:10 7A 4F C9 16 目的:主站向子站召唤 1级数据。 子站回答:68 87 87 68 28 4F 01 7F 14 4F 01 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 0000 0000 0000 00 00 00 00 00 00 00 01 01 0100 00 00 00 00 00 00 00 00 00 0000 0000 0000 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 0000 0101 0100 00 00 00 00 01 01 00 00 00 0000 00 00 00 00 00 00 00 00 00 0000 0000 0001 四方 101规约(2002版)报文解析