好久沒寫電腦文章了
非常重要的網路安全資訊
如果您直接將網路線插在Core switch上
可以直接抓從這台switch上的封包
有圖有真相~~您不可不信
如果 core switch 的 Port 是設定為 Trunk
而且 PVID 定義包含所有 Port 在內的話
即使沒做 mirror port 設定
也是可以擷取到所有的封包
如果您要使用的話請到
Wireshark的操作介面
Wireshark雖然不是商業軟體,但是所提供軟體介面相當優秀
具備完整的過濾器和統計分析的功能。
其操作介面分成幾個主要的部份,包括最上方的功能表和各種工具列、網路封包的清單、封包的標頭和封包的內容,
並且以不同的顏色來代表各種不同的通訊協定或是過濾條件。這樣的設計讓使用者在擷取網路封包的過程中,
就能夠即時瞭解目前網路上所傳送的網路封包類型。
由於Wireshark可以解析超過七百種的通訊協定,因此幾乎所有協定都能夠解碼,
就算將來有新的通訊協定推出,也會因為其採用開放原始碼的授權方式,
而能夠快速地發展解析新通訊協定所需要的程式,這對於適應未來網路的發展相當重要。
另外,在網路封包清單中,可以針對不同的網路通訊協定或過濾規則指定顏色
這種設計方式可以協助使用者快速辨識各種不同通訊協定,
或是過濾規則符合目前網路流量的情況,能夠更直覺地進行後續處理。
操作方式~~短片~~很恐怖ㄥ
WireShark軟體介面說明
Wireshark軟體介面總共分為幾個部份
功能表列:提供Wireshark各項細部功能設定。
工具圖示:快速執行圖示。
Filter 工具列:提供封包過濾功能,可針對需要的封包資訊進行篩選。
Capture : 選擇電腦上的網卡,即開始進行封包擷取。
Capture Options:設定過濾條件。
Open:開啟已擷取封包的檔案。
三、 擷取封包
擷取方法1:點選工具列上的圖示
選擇擷取封的網卡,目前電腦上安裝的網卡為Realtek,按下Start。
若不知道是那張網卡,也可以從IP欄位得知是那張網卡要擷取封包。
擷取方法2:在Capture欄位上
點選擷取封包的網卡【Realtek PCIe GBE Family Controller】。
目前電腦上安裝的網卡為Realtek,
所以在Capture欄位中點選【Realtek PCIe GBE Family Controller】,即可立即執行擷取封包動作。
停止擷取只需按下畫面上的按鈕,即可停止擷取封包。
四、 封包分析
Wireshark擷取後的封包可從2個地方來觀察
4-1. 封包列表窗格 (Packet List pane)。
在封包列表視窗中(Packet List pane)目前有5個欄位:
No : 擷取封包數
Time:封包擷取時間(預設從開始擷取為第0秒)
Source:封包傳送來源
Destination:封包傳送目地
Protocol:傳輸協定
Info:有關封包的其他訊息內容。
在封包窗格中,可以看到許多不同的顏色,每個顏色代表不同的通訊協定或是事件
顏色的對應可在工能表中的【View > Coloring Rules】,或點選工具圖示。
在Coloring Rules對話視窗中,每個顏色對應的設定如下圖:
4-2. 封包詳細資訊 (Packet Detail pane)。
當點選封包列表中的其中一筆資料時,在封包詳細資訊窗格中
會以樹枝化狀呈現該筆封包的詳細資訊,包含封包擷取的大小、時間、來源、目的、協定等資訊。
當選封包列表窗格中的第一個封包,可以看到封包來源為D-Link_c6:16:4c這張網卡
往Broadcast(FF:FF:FF:FF:FF:FF:FF)送出一個ARP協定的請求(ARP Request)。
4-3. 顯示過濾的封包
封包擷取時,不管是不是屬於該電腦的封包
都會將網卡上所收到的封包全部都擷取下來, 此時會看到封包列表窗格中
有許多不同協定的封包正在傳送,如果只想看到某些協定或IP的封包傳送狀況時
就會變的很不方便,捲軸要向下拉很長才能看到需要的資訊,透過Filter工具列,就能過濾需要的封包資訊。
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
國外更詳細的 操作 (英文)
分享一支影片 請耐心看完 就可以 知道怎麼分析封包資料了
以上資料提供(微軟首席MCT 蘇老師提供)
留言列表
