好久沒寫電腦文章了

非常重要的網路安全資訊

如果您直接將網路線插在Core switch上

可以直接抓從這台switch上的封包

有圖有真相~~您不可不信

1907490_1442825146038249_6977808698343395910_n  

如果 core switch 的 Port 是設定為 Trunk

而且 PVID 定義包含所有 Port 在內的話

即使沒做 mirror port 設定

也是可以擷取到所有的封包

 

如果您要使用的話請到

Wireshark 1.12.6 免安裝版

 

Wireshark的操作介面

 

Wireshark雖然不是商業軟體,但是所提供軟體介面相當優秀

具備完整的過濾器和統計分析的功能。

其操作介面分成幾個主要的部份,包括最上方的功能表和各種工具列、網路封包的清單、封包的標頭和封包的內容,

並且以不同的顏色來代表各種不同的通訊協定或是過濾條件。這樣的設計讓使用者在擷取網路封包的過程中,

就能夠即時瞭解目前網路上所傳送的網路封包類型。

 

由於Wireshark可以解析超過七百種的通訊協定,因此幾乎所有協定都能夠解碼,

就算將來有新的通訊協定推出,也會因為其採用開放原始碼的授權方式,

而能夠快速地發展解析新通訊協定所需要的程式,這對於適應未來網路的發展相當重要。

 

另外,在網路封包清單中,可以針對不同的網路通訊協定或過濾規則指定顏色

這種設計方式可以協助使用者快速辨識各種不同通訊協定,

或是過濾規則符合目前網路流量的情況,能夠更直覺地進行後續處理。

操作方式~~短片~~很恐怖ㄥ

WireShark軟體介面說明

image036.jpg  

Wireshark軟體介面總共分為幾個部份

 

image037.jpg  

功能表列:提供Wireshark各項細部功能設定。

工具圖示:快速執行圖示。

Filter 工具列:提供封包過濾功能,可針對需要的封包資訊進行篩選。

image038.jpg  image039.jpg  

 

Capture : 選擇電腦上的網卡,即開始進行封包擷取。

 

Capture Options:設定過濾條件。

 

Open:開啟已擷取封包的檔案。

 

 

 

三、       擷取封包

 

擷取方法1:點選工具列上的圖示

 

image041.jpg  

選擇擷取封的網卡,目前電腦上安裝的網卡為Realtek,按下Start

若不知道是那張網卡,也可以從IP欄位得知是那張網卡要擷取封包。

image043.jpg  

擷取方法2:在Capture欄位上

點選擷取封包的網卡Realtek PCIe GBE Family Controller】。

image045.jpg  

 

目前電腦上安裝的網卡為Realtek

所以在Capture欄位中點選Realtek PCIe GBE Family Controller,即可立即執行擷取封包動作。

 

 

 

停止擷取只需按下畫面上的按鈕,即可停止擷取封包。

image047.jpg  

 

 

 

 

 

四、       封包分析

Wireshark擷取後的封包可從2個地方來觀察

image050.jpg  

 

4-1.      封包列表窗格 (Packet List pane)

 

image051.jpg  

 

在封包列表視窗中(Packet List pane)目前有5個欄位:

 

No : 擷取封包數

 

Time:封包擷取時間(預設從開始擷取為第0)

 

Source:封包傳送來源

 

Destination:封包傳送目地

 

Protocol:傳輸協定

 

Info有關封包的其他訊息內容。

 

 

 

在封包窗格中,可以看到許多不同的顏色,每個顏色代表不同的通訊協定或是事件

顏色的對應可在工能表中的【View >  Coloring Rules】,或點選工具圖示。

image053.jpg  

Coloring Rules對話視窗中,每個顏色對應的設定如下圖:

 

image054.jpg  

4-2.      封包詳細資訊 (Packet Detail pane)

當點選封包列表中的其中一筆資料時,在封包詳細資訊窗格中

會以樹枝化狀呈現該筆封包的詳細資訊,包含封包擷取的大小、時間、來源、目的、協定等資訊。

image055.jpg  

 

當選封包列表窗格中的第一個封包,可以看到封包來源為D-Link_c6:16:4c這張網卡

Broadcast(FF:FF:FF:FF:FF:FF:FF)送出一個ARP協定的請求(ARP Request)

 

 

 

4-3.      顯示過濾的封包

image056.jpg  

封包擷取時,不管是不是屬於該電腦的封包

都會將網卡上所收到的封包全部都擷取下來, 此時會看到封包列表窗格中

有許多不同協定的封包正在傳送,如果只想看到某些協定或IP的封包傳送狀況時

就會變的很不方便,捲軸要向下拉很長才能看到需要的資訊,透過Filter工具列,就能過濾需要的封包資訊。

 

 

 //////////////////////////////////////////////////////////////////////////////////////////////////////////////////

 

 

 

 國外更詳細的 操作 (英文)

分享一支影片 請耐心看完 就可以 知道怎麼分析封包資料了

以上資料提供(微軟首席MCT 蘇老師提供)

雞蛋貓異想世界 發表在 痞客邦 PIXNET 留言(0) 人氣()