8021x抓包详解

1.当用户有上网需求时打开80

2.1X客户端程序，输入用户名和口令，发起连接请求。此时客户端程序将发出请求认证的报文给交换机，启动一次认证过程。

如下：

Frame 90 (64 bytes on wire, 64 bytes captured)

Arrival Time: Nov 27, 2006 16:27:33.446030000

Time delta from previous packet: 3.105345000 seconds

Time since reference or first frame: 5.082965000 seconds

Frame Number: 90

Packet Length: 64 bytes

Capture Length: 64 bytes

Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03

Destination: 01:80:c2:00:00:03 (Spanning-tree-(for-bridges)_03)

Source: 00:e0:4c:d7:65:cd (RealtekS_d7:65:cd)

Type: 802.1X Authentication (0x888e)

Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...

Frame check sequence: 0xa5a5a5a5 (incorrect, should be 0xcc6d5b40)

802.1x Authentication

Version: 1

Type: Start (1)

Length: 0

2.交换机在收到请求认证的数据帧后，将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。

Frame 91 (64 bytes on wire, 64 bytes captured)

Arrival Time: Nov 27, 2006 16:27:33.447236000

Time delta from previous packet: 0.001206000 seconds

Time since reference or first frame: 5.084171000 seconds

Frame Number: 91

Packet Length: 64 bytes

Capture Length: 64 bytes

Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd

Destination: 00:e0:4c:d7:65:cd (RealtekS_d7:65:cd)

Source: 00:03:0f:01:3a:5a (DigitalC_01:3a:5a)

Type: 802.1X Authentication (0x888e)

Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...

Frame check sequence: 0xa5a5a5a5 (incorrect, should be 0x7d263869)

802.1x Authentication

Version: 1

Type: EAP Packet (0)

Length: 5

Extensible Authentication Protocol

Code: Request (1)

Id: 1

Length: 5

Type: Identity [RFC3748] (1)

3.客户端程序响应交换机的请求，将包含用户名信息的一个EAP-Response/Identity送给交换机，交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。

Frame 148 (77 bytes on wire, 77 bytes captured)

Arrival Time: Nov 27, 2006 16:27:36.446199000

Time delta from previous packet: 2.998963000 seconds

Time since reference or first frame: 8.083134000 seconds

Frame Number: 148

Packet Length: 77 bytes

Capture Length: 77 bytes

Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03

Destination: 01:80:c2:00:00:03 (Spanning-tree-(for-bridges)_03)

Source: 00:e0:4c:d7:65:cd (RealtekS_d7:65:cd)

Type: 802.1X Authentication (0x888e)

802.1x Authentication

Version: 1

Type: EAP Packet (0)

Length: 59

Extensible Authentication Protocol

Code: Response (2)

Id: 1

Length: 13

Type: Identity [RFC3748] (1)

Identity (8 bytes): 03051020

4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字Challenge对它进行加密处理（MD5），通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge。

Frame 154 (64 bytes on wire, 64 bytes captured)

Arrival Time: Nov 27, 2006 16:27:36.567003000

Time delta from previous packet: 0.120804000 seconds

Time since reference or first frame: 8.203938000 seconds

Frame Number: 154

Packet Length: 64 bytes

Capture Length: 64 bytes

Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd

Destination: 00:e0:4c:d7:65:cd (RealtekS_d7:65:cd)

Source: 00:03:0f:01:3a:5a (DigitalC_01:3a:5a)

Type: 802.1X Authentication (0x888e)

Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...

Frame check sequence: 0xa5a5a5a5 (incorrect, should be 0x4ec1ac73)

802.1x Authentication

Version: 1

Type: EAP Packet (0)

Length: 22

Extensible Authentication Protocol

Code: Request (1)

Id: 2

Length: 22

Type: MD5-Challenge [RFC3748] (4)

Value-Size: 16

Value: 1CBFEE2149E38D2928DABB4772D285EB

5.客户端收到EAP-Request/MD5-Challenge报文后，用该加密字对口令部分进行加密处理（MD5）给交换机发送在EAP-Response/MD5-Challenge回应，交换机将Challenge，Challenged Password和用户名一起送到RADIUS 服务器进行认证。

Frame 199 (94 bytes on wire, 94 bytes captured)

Arrival Time: Nov 27, 2006 16:27:39.446161000

Time delta from previous packet: 2.879158000 seconds

Time since reference or first frame: 11.083096000 seconds

Frame Number: 199

Packet Length: 94 bytes

Capture Length: 94 bytes

Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03

Destination: 01:80:c2:00:00:03 (Spanning-tree-(for-bridges)_03)

Source: 00:e0:4c:d7:65:cd (RealtekS_d7:65:cd)

Type: 802.1X Authentication (0x888e)

802.1x Authentication

Version: 1

Type: EAP Packet (0)

Length: 76

Extensible Authentication Protocol

Code: Response (2)

Id: 2

Length: 30

Type: MD5-Challenge [RFC3748] (4)

Value-Size: 16

Value: CBAC378ABB609123D2BB412840AEC614

Extra data (8 bytes): 3033303531303230

6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果认证成功，则向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，保持交换机端口的关闭状态，只允许认证信息数据通过。

Frame 205 (243 bytes on wire, 243 bytes captured)

Arrival Time: Nov 27, 2006 16:27:39.632706000

Time delta from previous packet: 0.186545000 seconds

Time since reference or first frame: 11.269641000 seconds

Frame Number: 205

Packet Length: 243 bytes

Capture Length: 243 bytes

Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd Destination: 00:e0:4c:d7:65:cd (RealtekS_d7:65:cd) Source: 00:03:0f:01:3a:5a (DigitalC_01:3a:5a)

Type: 802.1X Authentication (0x888e)

802.1x Authentication

Version: 1

Type: EAP Packet (0)

Length: 225

Extensible Authentication Protocol

Code: Success (3)

Id: 0

Length: 4

Ethereal -抓包、报文分析工具

Ethereal -抓包、报文分析工具 Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。 主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。 在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤

设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。抓包配置好就可以点击“Start”开始抓包了。 抓包结束，按“停止”按钮即可停止。为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。 注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。常用

有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。偶尔出现属于正常现象，完全不出现说明网络状态上佳。 tcp.flags.reset==1。SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。 统计心跳报文有无丢失。在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。一般情况下，相同型号装置的UDP报文的数量应该相等，最多相差1到2个，如果个别装置数量异常，则可能是有心跳报文丢失，可以以该装置的地址为过滤条件进行进一步查找。 抓取的报文可以点击“保存”按钮进行保存，以后就可以点击“打开”按钮查看已保存的报文包。保存报文时首先选择保存目录，再在“Packet Range”里“Captured（保存捕捉到的所有报文）”、“Displayed（保存屏幕显示的报文）”和“All packets（保存所有的数据包）”、“Selected packets only（保存选中的数据包）”、“Marked packets only（保存标记过的数据包）”配合选用，最后填上保存文件名点“OK”即可。

Linux下抓包工具tcpdump应用详解

TCPDUMP简介 在传统的网络分析和测试技术中，嗅探器(sniffer)是最常见，也是最重要的技术之一。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。对于网络管理人员来说，使用嗅探器可以随时掌握网络的实际情况，在网络性能急剧下降的时候，可以通过sniffer 工具来分析原因，找出造成网络阻塞的来源。对于网络程序员来说,通过sniffer工具来调试程序。 用过windows平台上的sniffer工具(例如，netxray和sniffer pro软件)的朋友可能都知道，在共享式的局域网中，采用sniffer工具简直可以对网络中的所有流量一览无余！Sniffer 工具实际上就是一个网络上的抓包工具，同时还可以对抓到的包进行分析。由于在共享式的网络中，信息包是会广播到网络中所有主机的网络接口，只不过在没有使用sniffer工具之前，主机的网络设备会判断该信息包是否应该接收，这样它就会抛弃不应该接收的信息包，sniffer工具却使主机的网络设备接收所有到达的信息包，这样就达到了网络监听的效果。 Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是必不可少的。所以，今天我们就来看看Linux中强大的网络数据采集分析工具——TcpDump。 用简单的话来定义tcpdump，就是：dump the traffice on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东东之一。 顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。 普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。 －－－－－－－－－－－－－－－－－－－－－－－ bash-2.02# tcpdump

以太网常用抓包工具介绍_464713

v1.0 可编辑可修改 i RTUB_105_C1 以太网常用抓包工具介绍 课程目标： 课程目标1：了解常见抓包软件 课程目标2：掌握根据需要选择使用抓包软件并分析报文

v1.0 可编辑可修改 目录 第1章以太网常用抓包工具介绍.............................................................................................................. 1-1 1.1 摘要 ................................................................................................................................................ 1-1 1.2 简介 ................................................................................................................................................ 1-1 1.3 抓包工具介绍 ................................................................................................................................ 1-2 1.4 Sniffer使用教程 .......................................................................................................................... 1-3 1.4.1 概述 ..................................................................................................................................... 1-3 1.4.2 功能简介 ............................................................................................................................. 1-3 1.4.3 报文捕获解析 ..................................................................................................................... 1-4 1.4.4 设置捕获条件 ..................................................................................................................... 1-8 1.4.5 报文放送 ........................................................................................................................... 1-10 1.4.6 网络监视功能 ................................................................................................................... 1-12 1.4.7 数据报文解码详解 ........................................................................................................... 1-14 1.5 ethreal的使用方法 .................................................................................................................... 1-28 1.5.1 ethreal使用－入门 ......................................................................................................... 1-28 1.5.2 ethereal使用－capture选项 ......................................................................................... 1-30 1.5.3 ethereal的抓包过滤器 ................................................................................................... 1-31 1.6 EtherPeekNX ................................................................................................................................ 1-35 1.6.1 过滤条件设置 ................................................................................................................... 1-35 1.6.2 设置多个过滤条件 ........................................................................................................... 1-41 1.6.3 保存数据包 ....................................................................................................................... 1-45 1.6.4 分析数据包 ....................................................................................................................... 1-47 1.6.5 扩展功能 ............................................................................................................................. 1-1 1.6.6 简单分析问题的功能 ......................................................................................................... 1-5 1.6.7 部分解码功能 ..................................................................................................................... 1-9 1.6.8 案例 ..................................................................................................................................... 1-1 1.7 SpyNet ............................................................................................................................................ 1-1 1.7.1 使用简介 ............................................................................................................................. 1-1 1.7.2 使用步骤： ......................................................................................................................... 1-2 i

wireshark抓包分析实验报告

Wireshark抓包分析实验 若惜年 一、实验目的： 1.学习安装使用wireshark软件，能在电脑上抓包。 2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。 二、实验内容： 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文： IP报文分析： 从图中可以看出： IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符：0xd74b 标志：0x02 比特偏移：0 寿命：48 上层协议：TCP 首部校验和：0x5c12 源IP地址为：119.75.222.18 目的IP为：192.168.1.108

从图中可以看出： 源端口号：1891 目的端口号：8000 udp报文长度为：28 检验和：0x58d7 数据长度：20 bytes UDP协议是一种无需建立连接的协议，它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手： 从图中看出： 源端口号：56770 目的端口号：80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手： 从图中看出： 源端口号是：80 目的端口号为：56770 序列号为：0 ack为：1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手： 从图中看出： 源端口：56770 目的端口：80 序列号为：1 ACK为：1 首部长为：20bytes Acknowledgement为1表示包含确认的报文 所以，看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

抓包工具演示

Wireshark抓包软件简单使用 wireshark是一款抓包软件，比较易用，在平常可以利用它抓包，分析协议或者监控网络。 一、抓包使用简单过程： Wireshark启动界面： 看到启动界面后，现在主要会用到这几个按钮：

2.点击“开始”获取抓取结果（抓取到的为未加密数据）

4.显示结果：

加密数据抓取： 抓取结果：

二、捕捉过滤器使用方法： Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用“src or dst”作为关键字。 例如，”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。 Host(s): 可能的值：net, port, host, portrange. 如果没有指定此值，则默认使用”host”关键字。 例如，”src 10.1.1.1″与”src host 10.1.1.1″相同。 Logical Operations（逻辑运算）: 可能的值：not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。 例如，

“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。 例子： tcp dst port 3128 //捕捉目的TCP端口为3128的封包。 ip src host 10.1.1.1 //捕捉来源IP地址为10.1.1.1的封包。 host 10.1.2.3 //捕捉目的或来源IP地址为10.1.2.3的封包。 ether host e0-05-c5-44-b1-3c //捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac 地址即可。 src portrange 2000-2500 //捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。 not imcp //显示除了icmp以外的所有封包。（icmp通常被ping工具使用） src host 10.7.2.12 and not dst net 10.200.0.0/16 //显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。 (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 //捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。 src net 192.168.0.0/24 src net 192.168.0.0 mask 255.255.255.0 //捕捉源地址为192.168.0.0网络内的所有封包。

Tcpdump的安装

Tcpdump的安装(TCP/IP sniffer工具) 在如今众多的黑客技术中，嗅探器(sniffer)是最常见，也是最重要的技术之一。用过windows平台上的sniffer工具(例如，netxray和sniffer pro软件)的朋友可能都知道，在共享式的局域网中，采用sniffer工具简直可以对网络中的所有流量一览无余！Sniffer工具实际上就是一个网络上的抓包工具，同时还可以对抓到的包进行分析。由于在共享式的网络中，信息包是会广播到网络中所有主机的网络接口，只不过在没有使用sniffer工具之前，主机的网络设备会判断该信息包是否应该接收，这样它就会抛弃不应该接收的信息包，sniffer工具却使主机的网络设备接收所有到达的信息包，这样就达到了网络监听的效果。其实，sniffer工具既可以适合于黑客的使用，也同样有利于网络管理员和网络程序员。对于网络管理人员来说，使用嗅探器可以随时掌握网络的实际情况，在网络性能急剧下降的时候，可以通过sniffer工具来分析原因，找出造成网络阻塞的来源。对于网络程序员来说,通过sniffer工具来调试程序。 下面就向大家介绍一个在linux下优秀的嗅探器-------tcpdump.(我们下面的 操作都在redhat 6.2 linux 2.2.14的环境中经过实际测试.) 一. Tcpdump的安装 在linux下tcpdump的安装十分简单，一般由两种安装方式。一种是以rpm 包的形式来进行安装。另外一种是以源程序的形式安装。 1．rpm包的形式安装 这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。以超级用户登录，使用命令如下： #rpm -ivh tcpdump-3_4a5.rpm 这样tcpdump就顺利地安装到你的linux系统中。怎么样，很简单吧。 2．源程序的安装 既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实，linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。 ·第一步取得源程序在源程序的安装方式中，我们首先要取得tcpdump 的源程序分发包，这种分发包有两种形式，一种是tar压缩包(tcpdump-3_4a5.tar.Z),另一种是rpm的分发包(tcpdump-3_4a5.src.rpm)。这两种 形式的内容都是一样的，不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开： #tar xvfz tcpdump-3_4a5.tar.Z rpm的包可以使用如下命令安装:

wireshark抓包分析了解相关协议工作原理

安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月

Wireshark抓包分析了解相关协议工作原理 学生：康谦班级：09计算机2班学号：09168168 指导教师：饶元 （安徽农业大学信息与计算机学院合肥） 摘要：本文首先ping同一网段和ping不同网段间的IP地址，通过分析用wireshark抓到的包，了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.sodocs.net/doc/6310979024.html,抓到的包与访问https://www.sodocs.net/doc/6310979024.html,抓到的包之间的区别，分析了访问二者网络之间的不同。 关键字：ping 同一网段不同网段 wireshark 协议域名服务器 正文： 一、ping隔壁计算机与ping https://www.sodocs.net/doc/6310979024.html,抓到的包有何不同，为什么？（1）、ping隔壁计算机 ARP包：

ping包： （2）ing https://www.sodocs.net/doc/6310979024.html, ARP包：

Ping包： （3）考虑如何过滤两种ping过程所交互的arp包、ping包；分析抓到的包有

何不同。 答：ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题，如果要找的主机和源主机不在同一个局域网上，就会解析出网 关的硬件地址。 二、访问https://www.sodocs.net/doc/6310979024.html,，抓取收发到的数据包，分析整个访问过程。（1）、访问https://www.sodocs.net/doc/6310979024.html, ARP（网络层）： ARP用于解析IP地址与硬件地址的映射，本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组，询问IP地址为192.168.0.10的硬件地址，IP地址为192.168.0.100所在的主机见到自己的IP 地址，于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS（应用层）： DNS用于将域名解析为IP地址，首先源主机发送请求报文询问https://www.sodocs.net/doc/6310979024.html, 的IP地址，DNS服务器210.45.176.18给出https://www.sodocs.net/doc/6310979024.html,的IP地址为210.45.176.3

WIN8系统抓包工具使用介绍

抓包过程简要说明 对于工程上某些需要确认网管下发到设备上的数据或者设备上报给网管的数据正确性，需要对网卡进行数据抓包分析。现将详细的抓包方法进行说明（此版本抓包工具可用于windows server2003、WIN7和windows server2008操作系统上，其他的没试用过） 说明： windows server2008操作系统有两种，一种32位，一种64位。 查看操作系统位数的方法有两种（输入命令后可能会等待5~20s时间）： 1、运行---输入“cmd”---在命令提示符窗口中输入“systeminfo”---找到其中的“System type:（系统类型）”对应的就是了。 2、运行DXDIAG就可以查看系统位数了。x86代表32位,X64代表64位! 该抓包工具根据操作系统位数有以下区别，x86为32位操作系统，x64为64位操作系统。本文档以32位操作系统为例进行说明。 步骤一：将附件的netmon_34.rar解压到任何位置，例如D:\ 步骤二：运行D:\netmon_3\ NM34_x86.exe文件，执行安装，步骤中全部选择默认安装即可。安装完成后，桌面会生成Microsoft Network Monitor 3.4的快捷图标。 步骤三：双击运行Microsoft Network Monitor 3.4，在菜单栏选择Tools->Options..可以看到下面的面板，在Faster Parsing上点击右键选择Create->Create From Selected,

步骤四：在Create New Parser Profile面板中可以自己命名Name（本例中命名为fiberhome_set，可自定义）, 并选中路径列表中的第2项，然后选择Open Folder,

Tcpdump常用命令及基础故障定位

tcpdump基础 Tcpdump常用命令及基础故障定位3板斧！ 在老4k系统和TOS中的.1平台和.8平台（猎豹）支持TCPDUMP命令。 Tcpdump中and、not、or、host、port、grep、-e、-vv参数的使用: 例1：在eth1口抓包，只显示地址为10.1.1.1和icmp协议的报文。 Tcpdump –i eth1 host 10.1.1.1 and icmp 例2：在所有的接口抓包，不显示4000端口的管理报文，和23端口的telnet报文。 Tcpdump –i any not port 4000 and not port 23 （在同时管理的时候很实用） 例3：在eth1口抓包，显示地址为211.1.1.1或10.1.1.1的报文。 Tcpdump –i eth1 host 211.1.1.1 or host 10.1.1.1 （针对MAP前后的地址同时抓包定位时非常实用） 例4：在所有的接口抓包，显示地址为10.1.1.1报文。 Tcpdump |grep host 10.1.1.1 （在adls环境中非常实用，封装了PPPOE的报文也能抓到，但是TOS不支持grep 的参数了） 在tos系统中，X86的平台下才有抓包的工具，－n表示不需要域名解析，加快抓包的速度。 并且-evv比老的4k系统中，能抓到更多的信息，其中还包括校验和。 例5：System tcpdump –i any –evv -n （TOS系统中最后必须加-n的参数，才能保证抓包的速度） 例6：System tcpdump –i ipsec0-n（TOS支持在ipsec0中抓包，来判断数据流是否进入隧道） 例7：System tcpdump –i ppp0-n（TOS支持在ppp0中抓包，来判断数据流是否进入PPPoE的封装） 下面的4个实例，详细阐述了目的地址转换时如何通过TCPDUMP抓包来快速定位故障点。 现场通过抓包来定位故障原因是最准确高效的方法： 下面抓包中，客户端源地址为168.36.126.1MAP地址为209.136.47.12服务器真实地址为11.68.21.12 对于目的地址转换，天融信也俗称为MAP转换。 例1、如果业务、ping都不通，抓包时只有第一个请求报文，没有匹配MAP转换，说明: A: 防火墙没有到真实服务器的路由,而导致不能匹配MAP策略。 B: 或者是防火墙上没有开放对应的访问策略。 TOS# system tcpdump -i any host 168.36.126.1 -n 04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length 64 例2、如果业务、ping都不通，抓包是匹配了MAP转换策略，说明： A: 对方的服务没有回应。 B: 或者对方回应了但是路由错误，回应数据包没有到防火墙。 TOS# system tcpdump -i any host 168.36.126.1 -n 04:19:03.400000 IP 168.36.126.1 > 209.136.47.12: ICMP echo request, id 10706, seq 4161, length 64 04:19:03.404216 IP 168.36.126.1 > 11.68.21.12: ICMP echo request, id 10706, seq 4161, length 64 例3、如果业务、ping都不通，抓包显示最后一个报文没有正常转换，说明： A: 防火墙上没有回指路由，而导致最后的报文没有发出。 TOS# system tcpdump -i any host 168.36.126.1 -n 04:19:03.400000 IP 168.36.126.1 >209.136.47.12: ICMP echo request, id 10706, seq 4161, length 64

新浪微博抓包分析

新浪微博抓包分析 摘要：数据包捕获及分析主要实现了对网络上的数据包进行捕获及分析。在包分析功能模块，根据报文协议的格式，把抓到的包进行解析，从而得到网络层和传输层协议的报头内容等信息。本次研究通过对新浪微博的网络数据包进行捕捉，分析数据包的结构，从而掌握数据包捕获和数据包分析的相关知识。 关键词：包分析；协议；数据包 1序言 本实验研究通过技术手段捕获数据包并加以分析。Ether Peek5.1是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过Ether Peek对TCP、SMTP和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。计算机网络安全、信息安全已经成为一个国际性的问题，每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加。网络数据包的捕获与分析对研究计算机网络安全问题有着重要意义。网络安全问题既包括网络系统的安全，又包括网络信息的安全和机密性。 2抓包工具介绍及抓包原理 2.1工具介绍 目前常用的抓包工具有Sniffer，wireshark，WinNetCap，WinSock Expert，EtherPeek等。本次实验研究是在windows XP系统环境下安装EtherPeek进行抓包。EtherPeek是个用来截取网络数据包的工具，主要用监听统计和捕获数据包两种方式进行网络分析。它只能截取同一HUB的包，也就是说假如你的便携装了EtherPeek，那么你的便携必须与你要监控的目的地址和源地址中的一个接在同一HUB上。有了这个工具，如果5250仿真或telnet仿真出了问题，就可以用它来截取数据包，保存下来，再进行分析。 2.2数据包捕获原理 在通常情况下，网络通信的套接字程序只能响应与自己硬件地址相匹配的或

Tcpdump命令详解

tcpdump用法详解(1) (2006-04-13 14:23:04) 转载 分类：Linux专题 tcpdump采用命令行方式，它的命令格式为： tcpdump [ -adeflnNOpqStvx ] [ -c 数量] [ -F 文件名] [ -i 网络接口] [ -r 文件名] [ -s snaplen ] [ -T 类型] [ -w 文件名] [表达式] (1). tcpdump的选项介绍 -a 将网络地址和广播地址转变成名字； -d 将匹配信息包的代码以人们能够理解的汇编格式给出； -dd 将匹配信息包的代码以c语言程序段的格式给出； -ddd 将匹配信息包的代码以十进制的形式给出； -e 在输出行打印出数据链路层的头部信息； -f 将外部的Internet地址以数字的形式打印出来； -l 使标准输出变为缓冲行形式； -n 不把网络地址转换成名字； -t 在输出的每一行不打印时间戳； -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息； -vv 输出详细的报文信息； -c 在收到指定的包的数目后，tcpdump就会停止； -F 从指定的文件中读取表达式,忽略其它的表达式； -i 指定监听的网络接口； -r 从指定的文件中读取包(这些包一般通过-w选项产生)； -w 直接将包写入文件中，并不分析和打印出来； -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

(2). tcpdump的表达式介绍 表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。 第一种是关于类型的关键字，主要包括host，net，port, 例如host 210.27.48.2，指明210.27.48.2是一台主机，net 202.0.0.0 指明202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host. 第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。 第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。 除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是'not ' '! ', 与运算是'and','&&';或运算是'or' ,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。 A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包： #tcpdump host 210.27.48.1 B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用括号时，一定要 #tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 ) C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令： #tcpdump ip host 210.27.48.1 and ! 210.27.48.2 D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令： #tcpdump tcp port 23 host 210.27.48.1

抓包工具使用简介

抓包工具wireshark使用简介 在wireshark安装包安装完成后，以管理员身份运行Wireshark.exe，进入wireshark主界面，如图1-1所示。 图1-1 wireshark主界面 在主界面上，在菜单栏中选择Capture->interface，在点击interface按钮弹出的对话框中点击start按钮，进入如图1-2所示界面。 图1-2启动wireshark 当您在客户端点击某路视频时，会出现如图1-3所示界面，目前我们播放视频采用的是UDP协议，你在抓包工具中看到的大部分数据包都是UDP数据包。此时如果你只想去查看给某台机器上发的数据包时，可以通过过滤条件进行过滤，比如我只想查看我给172.20.32.168这台机器上发送的数据包，那么你只需要在Filter后面输入

ip.dst==172.20.32.168即可，需要注意的是这里是“==”而不是“=”。多个条件之间用&&。 数据过滤操作如图1-4所示。 图1-3 视频数据展示界面 图1-4数据过滤界面 此时你看到的数据包就都是发给172.20.32.168的UDP数据包，此处需要说明的是如果你点击视频时播放不出来视频，那么是不会有持续的UDP数据包发给指定的客户端的，客户端控件播放不出来视频那就不是控件的问题了，因为就根本没有视频数据包发送到客户端。 如果你在抓包时发现有持续的数据包时，那么你想看一下你抓的数据包是否正常，能不能播放出来，那么也可以通过wireshark将抓的数据包保存成文件用VLC播放试一下，具体操作流程如下： （1）点击某条视频数据，右键选择decode as（如图1-5），此时会弹出如图1-6所示界面；（2）在如图1-6所示的界面上选择RTP，点击OK，此时就会把所有的UDP数据包转换成RTP数据包，转换之后界面如图1-7所示； （3）在图1-7所示的界面上，在菜单栏中选择Telephony，在下拉的菜单中选择RTP，在其子菜单中选择Stream analysis，会弹出如图1-8所示界面； （4）在图1-8所示的界面上点击Savepayload按钮，进入视频保存页面（如图1-9），选择你保存的位置并设置保存的视频文件名； （5）此时就会在保存的目录下生成出来对应的视频文件，此处需要说明的是视频文件不

tcpdump抓包并保存成cap文件

tcpdump抓包并保存成cap文件 首选介绍一下tcpdump的常用参数 tcpdump采用命令行方式，它的命令格式为： tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ] 1. tcpdump的选项介绍 -a 将网络地址和广播地址转变成名字； -d 将匹配信息包的代码以人们能够理解的汇编格式给出； -dd 将匹配信息包的代码以c语言程序段的格式给出； -ddd 将匹配信息包的代码以十进制的形式给出； -e 在输出行打印出数据链路层的头部信息； -f 将外部的Internet地址以数字的形式打印出来； -l 使标准输出变为缓冲行形式； -n 不把网络地址转换成名字； -t 在输出的每一行不打印时间戳； -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息； -vv 输出详细的报文信息； -c 在收到指定的包的数目后，tcpdump就会停止； -F 从指定的文件中读取表达式,忽略其它的表达式； -i 指定监听的网络接口； -r 从指定的文件中读取包(这些包一般通过-w选项产生)； -w 直接将包写入文件中，并不分析和打印出来； -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程过程 调用）和snmp（简单网络管理协议；） 当网络出现故障时，由于直接用tcpdump抓包分析有点困难，而且当网络中数据比较多时更不容易分析，使用tcpdump的-w参数+ethereal分析会很好的解决这个问题，具体参数如下： tcpdump -i eth1 -c 2000 -w eth1.cap -i eth1 只抓eth1口的数据 -c 2000代表数据包的个数，也就是只抓2000个数据包 -w eth1.cap 保存成cap文件，方便用ethereal分析 抓完数据包后ftp到你的FTP服务器，put一下，然后用ethereal软件打开就可以很直观的分析了 注：有时将.cap文件上传到FTP服务器后，发现用ethreal打开时提示数据包大于65535个，这是你在ftp上传或者下载的时候没有用bin的模式上传的原因。另：有的网站提示在tcpdump中用-s 0命令，例如 tcpdump -i eth1 -c 2000 -s0 -w eth1.cap，可实际运行该命令时系统却提示无效的参数,去掉-s 0参数即可例子： [root@localhost cdr]#tcpdump -i eth0 -t tcp -s 60000 -w diaoxian.cap [root@localhost cdr]# tcpdump host 58.240.72.195 -s 60000 -w x.cap