Wireshark抓包分析指南.docx_三一文库31doc.com

资源描述

《Wireshark抓包分析指南.docx》由会员分享，可在线阅读，更多相关《Wireshark抓包分析指南.docx（13页珍藏版）》请在三一文库上搜索。

1、Wireshark抓包指南目录Wireshark工具介绍Wireshark是一个网络数据库分析软件，功能十分强大。可以截取各种网络封包，包括HTTP, TCP, UDP, SIP等网络协议，显示网络封包的详细信息。二.Wireshark 安装下载，下载地址一根据自己笔记本系统选择合适的安装包2 安装步骤：3双击wireshark安装包，点击nextagreement信息，点击I Agress继续C选择组件，默认安装所有组件，点击next继续d.创建快捷方式，关联文件类型，点击next继续e.选择wireshark的安装路径，点击next继续Canceld选择安装WinPcap,该插件用于监听

2、网络的数据库，点击Instal 1安装:安装，点击next继续:d.点击I Agree继续:e.选择 Automatically start the WinPcap driver at boot time,点击 Instal 1 安装:f点击 finish 启动 wiresharko三.wireshark网卡配置点击菜单"Capture" >” Interface",选择所需要抓去信息的网卡:Wireshark: Capture InterfacesDevice|田卞地也ST 0田此炳田卞地连接法30 田 WLAN田本罐接Descriptic nIPPack

3、etsPackets/sMicrosoftfe80:4515:1db5:2773:362800DetailsReaitek PCIe FE Family Controllerfe8ft:bcc3:5e8:73d3:770600DetailsMicrosoftfe8tt: a063:fca9:c667:f2b900DetailsMicrosoftfe83:：ed43:2f5a:3490:70d4124DetailsTAPWindows Adapter V9fe80:c102:5258:6bc2:ac3600DetailsHelpStartStopOptions如果要抓取IAD的数据包，笔记本有线

4、网卡和IAD的网卡都连接在HUB上，在笔记本上抓取有线网卡的数据包即可抓到IAD的所有的数据库包。四SIP协议分析注册流程RHilSIHK401 UnnurhorizedRM；ISTI：R200 (JK通过sip关键字来过滤sip包伽sipVE®必曲“ Gear A:j Save Fter 11.(apNo. TimeScurcePrctccolDestifEfiwlaii CallU wo55 2014-02-25 B：56：50375M3KI(l192.168.179.109SIPy.17.6.57SS2 fO5e3a48f4Reqjest: REGISTER sip:58.1

5、7.6.57:60605620M-251J：56：5O.4792M紬胸SIP192.168.179.10966/ fM®4伽:401 imhxizM (1 birdings) I572014-02-2HJ：56：50.525M192.168,179.109SIPK.17.6.57799 冊购附脚猊:REGISTER $ip：58M6J7：E)6(i |582GM-25 B：56：5O.W00058.V.6.57SIP192.168.179.109553 fOSMStatus: 200 OK (1 bindings) |讯201M22M;57;见刚朋000192.168.179.109

6、SIP5S.U.6.57800fOMf4Re輕st; REC5TER sip:58.17.6.S7；O |53620M-255S.17.6.57SIP192.168.179.109554 fQ5e8a«l8f4Status: 200 OK (1 bindings) |呼叫流程A: 8O5O5. 172.16J 95.143:10543S:】72169534(SERVER)B： 80504172,16.195.143:5060可根据sip包头的Call-ID字段可以完整过滤出一个呼叫的流程：E session initiation Protocol (invite) Request-L

7、ine: INVITE sip:001391605397158.17.6.56:6060 SIP/2.0Method: INVITEQ Request-URI： sip:00139160539710.17.6.56:6060 Resent packet: False0 message Header3 To: <sip:OO13916O5?97ie58.17.6.56>田 From： 36791822160021001<sip:867918221600210D1Q58.17.5.56>；iag=b628Q253田 Via: SIP/2.0/UDP 192.168.179.

8、109:7034;branch=z9hG4bK-d8?54?-452603591-l-d87543-;rportcall-ID： !O5836OOO573eO3ca cseq: 1 INVITE田 contact: <sip:86791822160021001192.168.179.109:7034>Max-Forwards: 70Allow： INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, MOTIFY, MESSAGE, SUBSCRIBE, INFO content-Type: application/sdpUser-Agent: eyeB

9、ean release 3004t staup 16741Fie Edt 贩 Go taajr? M/s 舫鬼 T册吗 Tcd$ tab 那«M»» I丿I 丿 MB« jifirgtfi CalUIrre分析DTMF 方式可分为三种：SIP Info. RFC2833 和 Tone。SIP info为带外检测，即通过sip信令INFO方法携带DTMF信号。RFC2833为带內检测方式，通过过滤工101字段可获得dtmf的数据包Expressicr. der 如山詆袒 HeapTimeSaneProtDcdDesthatioiiIrngth M If

10、ro那西 2014-02-25 16:刃:1?.皿如192.M1'9.1O9OP MKT2M.1U.2B58Payload ty阴TP Evffit, OW Eicfit 8293312014-02-2516:刘:皿郎他 192.MU9.109RTP EVEKTM21.115.2158Payload rype=RPEm, o> Eight 8m 2014-02-25 16:刃:1 口研列(0 192.168.1/9.109RTF MKTno.2i.iis.2B58Payload tyjRTP Eveit, DW Eicfit 8m 血MM 16:3kl?.2821550Oj 13

11、2.MU9.109RTP EVENT210.21.115.2158Payload 能rtp Em, o> Eight 8293362014-02-25 16：B：17.291W 192.168.179.109RTP m210.21.118.2B58Payload 呼邨 m, ow Eicfit 8 (end)附 F 20U-02-25 16:3：17.291W：i 132.MU9.109RTP EYENT110.21.1112158Payload 能rtp N 眄 hinf Eight 8 (end)293«2M-2516：M：17.291fllO«) 192.MU9

12、.109htpM21.118.2B58Piyload tyjHTP w, ow Eicfit 8 (end)Tone为带內检测方式，需要使用语音分析软件对数据包进行解析才可判断是否使用toneo媒体分析RTP媒体可分为两段，IAD服务器；服务器IAD过滤RTP通过Invite或者200ok消息携带的rtp port字段使用 "67410f21al427al5" or = 8108 it滤：社 ap.Cal-D =xuo1=3108* Eresion. fleer kpv Save liber 11xapTineSore:rutoccDeiiiitef伽 M CdRD!rf

13、oill 2014-02-2517：廿佩册BOM192.168M109SIP/StP210.21.118.21J872 F«alReajest:珂ITE sip:0O16讪诚KL2LM2B | |3422014-0 17：H：B.4?a$ia»2M.2LU8.2BSIP观 109.10951921alSUM：ll)JTryin3532014-02-2517:H:IO.S5J27OMO210.21.118.2125IP/SEP192.109.109?S)ff410f21alStcti5： 183 Ringing |405 2014-02-2517:?5：L7.O3Kfl0no

14、.2LH8.aj5IP/SCP192.109.10981ff419f21alStcti6： 20) (K |W'2014-d2-：5 l':!5：17.4MOO192.168.V9.1095IPflO.21.118.21J515W21alR&:uest: fa sip:«M13«9WD.21.11L21311?；J5；1；.423« 192.168.UJ.1WRTP210.21.118.21;出PT=P.-T11 FOIl,朋蚯淞诙S牢迅Ti»WJ 2014-02-2517：?5：1?.OKOO 192.168.F9.109RTP

15、210.21.118.2132UPMTT11 FOIl, 55K=0mAE27,刈艰& TlK1Q? 1ffl m 1(fi2TP?m ?i ns ?n711PTsTTl < G '11 WVI gfsfhnrmM 饲人入 Ti+ Frau 311: Ill lyts(ri wre (6976 bits), 8?2 bytes cspired (8976 bits) tn interface 0I Etfernet I：. 5rc: HxfeiPr.cb:fl:il$ 阳汙O:d:fl血 Ost: Tp-LirkTj：5c:68 (e(«:05:c>:65

16、:5:&$；-interret Prctxol version I, Src:迎備门血(192.1179.105), 0$t: 210.21.115.213 (2lfl.21.U8.2B)I user ratagrar Protocol, src Port: TOM (70M), Dst Port: sip(5A6D)-：Sessioi initiati Protocol (ilfdTE)t Reest-Line: WE sip:«l迎幼航KIO.21.118出 SIP.'lDt 胞say rteaderE wssaje 和 ®E session Destr

17、iption Frotocolsession ctscriptiofi Protocol version (v); 0i arer.crfator, sssion id (o): 671 別23 研4业 m ipi 1忆就的sssicfi bn? ($): eye 购Hmticn irfomition (c): in :P41 见就 lW.l®E Tine cescriptiofi, active tiK (t): OQ:毗 cescriptim, naw ifd 股5或鱼迺巫理JJ) S 318 5101I 时tribute (a): alt:l 1: “咗抚OTTE!価論tNecia Attribute (a): frrp:lBl 045t Nedia Attribute (a): rtpup:100 sp-ed&JOJI Veda Aitnbute (a): rtpa=p:101 宙皿贰弋死他Media Aitribute (a):側(hev

展开阅读全文