如何用Wireshark捕获USB数据

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何用Wireshark捕获USB数据相关的知识,希望对你有一定的参考价值。

启动wireshark后,选择工具栏中的快捷键(红色标记的按钮)即可Start a new live capture。

主界面上也有一个interface list(如下图红色标记1),列出了系统中安装的网卡,选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题:弹出一个对话框说 NPF driver 没有启动,无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行,然后输入 net start npf,启动NPf服务。
重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框,具体设置如下:
Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。
Limit each packet:限制每个包的大小,缺省情况不限制。
Capture packets in promiscuous mode:是否打开混杂模式。如果打开,抓 取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:过滤器。只抓取满足过滤规则的包。
File:可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer: 是否使用循环缓冲。缺省情况下不使用,即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中,如下图所示:

为了使抓取的包更有针对性,在抓包之前,开启了QQ的视频聊天,因为QQ视频所使用的是UDP协议,所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口:58459,目的端口:54062)。

中间的是协议树,如下图:

通过此协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。

最下面是以十六进制显示的数据包的具体内容,如图:

这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流,对于一个多字节数值(比如十进制1014 = 0x03 f6),在进行网络传输的时候,先传递哪个字节,即先传递高位“03”还是先传递低位“f6”。 也就是说,当接收端收到第一个字节的时候,它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明:

最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length:1014, 它的十六进制表示是0x03f6, 从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),所以可知,网络字节序采用的是大端模式。
参考技术A 1、打菜单项Capture菜单CaptureOptions选项;2、找设置面板项Captureallinpromiscuousmode选项;3、Captureallinpromiscuousmode选项默认选状态修改该状态未选状态;4、始抓包原理析:1)网络混杂模态允许网络装置窃听且阅读抵达每网络包运行模式网络侦听服务器运行用捕获及保存所数据包便析(比于监听网络使用情况);2)太区域网络(LAN)混杂模态指传输每数据包都能网络转接器接且阅读操作模式混杂模态必须每网络转接器支持必须主机操作系统输入/输驱器支持混杂模态用监督网络使用率3)混杂模态非混杂模态相数据包非混杂模态传输候所区域网络装置听数据并且判断包含数据包网络位址否数据包进入区域网络装置直达具确网络位址装置装置接收且读取数据;4)WinXP部线网卡支持混杂模式支持混杂模式限网卡价格菲

Wireshark数据抓包教程之Wireshark捕获数据

Wireshark数据抓包教程之Wireshark捕获数据

Wireshark抓包方法

在使用Wireshark捕获以太网数据,能够捕获分析到自己的数据包,也能够去捕获同一局域网内,在知道对方IP地址的情况下,捕获到对方的数据包。

Wireshark捕获自己的数据包

假设client经过路由器直接上网。如图1.28所看到的。在该图中,PCA安装Wireshark,能够在该主机上直接捕获自己的数据。

技术分享图片

1.28??在主机上捕获数据

Wireshark捕获别人的数据包

假设都在一个局域网内,而且知道别人的IP地址的话,也能够利用Wireshark捕获到别人的数据包。具体方法例如以下:

1.port映射

局域网内。在同一交换机下工作的PC机,如图1.29所看到的。PCAPCB在同一交换机下工作。PCA安装Wireshark后。把交换机上随意一个PC机的数据port做镜像,设置交换机来复制全部数据到用户交换port下的Wiresharkport。这时PCA就能够抓取到其它PC机的数据了。如抓取PCB的数据。

2.使用集线器

我们能够把图1.29中的交换机换成集线器,这种话全部的数据包都是通发的。也就是说,无论是谁的数据包都会发到这个集线器上的每一个计算机。

仅仅要将网卡设置为混杂模式就能抓到别人的包。

3.利用ARP欺骗

我们都知道。发送、接受数据都要经过路由器,如图1.30所看到的。

该图中PCA安装Wireshark后,能够利用ARP欺骗,来抓取PCBPCCPCBPCC之间的数据包了。PCA在局域网内发送ARP包,使其它计算机都误以为它是网关。这种话。其它计算机都会将它们的数据包发送到PCA那里,因此PCA就能够抓到它们的包了。

技术分享图片

1.29??捕获PCB数据包??????????????1.30??捕获数据包

Wireshark捕获数据

通过上述的学习,下载安装好Wireshark后。就能够利用它来捕获数据了。以下以开发版(中文版)1.99.7为例解说怎样来捕获数据。

Wireshark怎样捕获数据

Windows窗体程序中启动Wireshark。如图1.31所看到的的界面。

技术分享图片

1.31??Wireshark主界面?1.32??捕获网络数据

在该界面能够看到本地连接、VMware Network Adapter VMnet1VMware Network Adapter VMnet8,这是3个捕获网络接口。本机中有3个,假设使用其它电脑网络捕获接口可能是不同的。仅仅有选择了捕获网络接口。才干进行捕获网络数据。

因此首先选择网络接口。这里选择本地连接作为捕获网络接口,然后单击图中技术分享图片button,将进行捕获网络数据,如图1.32所看到的。

?

单击图中的button停止捕获。

我们能够把捕获到的数据保存起来。单击图中的button,显示如图1.33所看到的的界面。

技术分享图片

1.33??保存捕获数据?1.34??打开捕获文件

在该界面能够选择保存捕获数据的位置,并对保存的文件进行命名。然后单击“保存”button就可以。

这里保存在桌面。文件名称称为Wireshark

Wireshark打开捕获文件

当我们把捕获到的数据保存起来。以便下次查看。那么怎么去打开已经捕获好的文件呢?这里将做一个介绍。

1在启动Wireshark的界面中。单击打开button技术分享图片,弹出打开对话框,如图1.34所看到的。?

2在该界面选择捕获文件保存的位置,然后单击“打开”button就可以打开捕获的文件。

Wireshark高速入门

在学会使用Wireshark捕获数据的基础上,还要进一步的理解Wireshark各部分的用途。本节将进行具体解说。

Wireshark主窗体界面介绍

打开一个捕获文件,如图1.35所看到的:

技术分享图片

1.35??Wireshark主窗体界面???1.36??菜单条

在图1.35中。以编号的形式已将Wireshark每部分标出。

以下分别介绍每部分的含义,例如以下所看到的:

  • q??①标题栏——用于显示文件名称称、捕获的设备名称。

  • q??②菜单条——Wireshark的标准菜单条。

  • q??③工具栏——经常使用功能快捷图标button。

  • q??④显示过滤区域——降低查看数据的复杂度。

  • q??Packet List面板——显示每一个数据帧的摘要。

  • q??Packet Details面板——分析封包的具体信息。

  • q??Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。

  • q??⑧状态栏——分组、已显示、已标记帧的数量,配置文件。

以上简单的介绍了Wireshark主窗体界面的各部分的含义。以下对每一个部分进行具体的介绍

Wireshark菜单条介绍

Wireshark的菜单条界面如图1.36所看到的。在该界面中被涂掉的两个菜单,在工具栏中进行介绍。?

该菜单条中每一个button的作用例如以下所看到的:

  • q??文件:打开文件集、保存包、导出HTTP对象。

  • q??编辑:搜索包、标记包及设置时间属性等。

  • q??视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色等。

  • q??分析:创建显示过滤器宏、查看启用协议、保存关注解码。

  • q??统计:构建图表并打开各种协议统计窗体。

  • q??电话:运行全部语音功能(图表、图形、回放)

  • q??蓝牙:ATT服务设置。

  • q??帮助:学习Wireshark全球存储和个人配置文件

Wireshark工具栏介绍

当用户具体了解工具栏中每一个button的作用后,用户就能够高速的进行各种操作。

在工具栏中,每一个button的作用如图1.37所看到的。

技术分享图片

1.37??工具栏???1.38??Wireshark面板

?Wireshark面板介绍

Wireshark有三个面板,各自是Packet List面板、Packet Details面板、Packet Bytes面板。这三个面板的位置,如图1.38所看到的。?

在该界面将三个面板已经标出。这三个面板之间是互相关联的。假设希望在Packet Details面板中查看一个单独的数据包的具体内容。必须在Packet List面板中单击选中那个数据包。选中该数据包之后,才干够通过在Packet Details面板中选择数据包的某个字段进行分析,从而在Packet Bytes面板中查看对应字段的字节信息。

以下介绍面板的内容。

1.Packet List面板

该面板用表格的形式显示了当前捕获文件里的全部数据包。从图1.38中,能够看到该面板中共同拥有七列,每列内容例如以下所看到的:

  • q??NoNumber)列:包的编号。

    该编号不会发生改变,即使使用了过滤也相同如此。

  • q??Time列:包的时间戳。时间格式能够自己设置。

  • q??SourceDestination列:显示包的源地址和目标地址。

  • q??Protocol列:显示包的协议类型。

  • q??Length列:显示包的长度。

  • q??Info列:显示包的附加信息。

在该面板中,能够对面板中的列进行排序、调整列位置、隐藏列、显示列、重命名或删除列等操作。以下以样例的形式将分别介绍在该面板中可操作的功能。

【实例1-4】演示Packet List面板中可实现的功能。例如以下所看到的:

1列排序

打开一个捕获文件http.pcapng,如图1.39所看到的。

技术分享图片

1.39??http.pcapng捕获文件?1.40??排序Protocol

该界面显示了http.pcapng捕获文件里的数据包。

默认Wireshark是以数据包编号由低到高排序。

比如。要对Protocol列排序,单击Protocol列标题,将显示如图1.40所看到的的界面。

将该界面与图1.39进行比較,能够发现有非常大变化。从该界面能够看到No列的顺序发生了变化,协议列開始都为ARP

2移动列位置

如移动http.pcapng捕获文件里的Protocol列,到Time后面。使用鼠标选择Protocol列。然后拖拽该列到Time后面,将显示如图1.41所看到的的界面。

技术分享图片

1.41??移动Protocol?1.42??列操作选项

3隐藏、重命名、删除列

在捕获文件http.pacpng中,右键单击Packet List面板的随意列标题,将弹出一个下拉菜单,如图1.42所看到的。

  • q??隐藏列、恢复列:在弹出的菜单中能够看到Packet List面板中的七列标题前都有对勾。想隐藏哪列,单击该列,对勾消失菜单消失该列隐藏。如想恢复该列,右击Packet List面板中随意列的标题,以相同的方式就可以恢复。

  • q??重命名列:在弹出的菜单中单击编辑列,显示如图1.43所看到的的界面。

技术分享图片

1.44??Wireshark首选项

该界面出如今Packet List面板的上方,在该界面的左端的标题文本框进行重命名。

然后单击右端的确定button就可以

  • q??删除列、恢复列:在弹出的菜单中单击最以下的删除本列选项就可以。恢复列需单击Column Preferences...选项。(或者在菜单条中依次选择“编辑”|“首选项”,在弹出的界面左側单击列就可以)弹出Wireshark首选项框。如图1.44所看到的。

    ?

单击左下角的button,自己主动新建了一个标题为New Column的列,而且类型为Number。能够双击标题和类型进行更改。

创建好以后单击OKbutton就可以。

Wireshark中,还能够对Packet List面板中全部数据包进行很多操作,如标记、忽略、设置分组等。

用户能够通过右键单击不论什么一个数据包,查看可用的选项,如图1.45所看到的。

技术分享图片

1.45??可用选项?1.46??菜单条?

在该界面显示了在Packet List面板中,数据包的可用选项。在该选项中,使用标记分组能够高速的找出有问题的数据包。

2.Packet Details面板

该面板分层次地显示了一个数据包中的内容。而且能够通过展开或收缩来显示这个数据包中所捕获到的全部内容。

Packet Details面板中,默认显示的数据的具体信息都是合并的。假设要查看。能够单击每行前面的小三角展开帧的会话。用户也能够选择当中一行并右键单击,弹出菜单条。

如图1.46所看到的。?

在菜单条中选择展开子树(单个会话)或展开全部会话。

3.Packet Bytes面板

该面板中的内容可能是最令人困惑的。

由于它显示了一个数据包未经处理的原始样子,也就是其在链路上传播时的样子。

在该面板中的数据是以十六进制和ASCII格式显示了帧的内容。当在Packet Details面板中选择随意一个字段后,在Packet Bytes面板中包括该字段的字节也高亮显示。假设不想看到Packet Bytes面板的话,能够在菜单条中依次选择“视图”|“分组字节流(B)”命令将其关闭。当查看的时候,使用相同的方法将其打开。

Wireshark状态栏介绍

状态栏是由两个button和三列组成的。当中。这三列的大小在必要时能够调整。状态栏中每部分含义如图1.47所看到的。

技术分享图片

1.47??状态栏

以下分别具体介绍下状态栏中每部分的作用。例如以下所看到的:

  • q??:该button是专家信息button。

    该button的颜色是为了显示包括在专家信息窗体中最高水平的信息。

    专家信息窗体能够提醒用户。在捕获文件里的网络问题和数据包的凝视

  • q??:该button是捕获文件凝视button。单击该button,能够加入、编辑或查看一个捕获文件的凝视。该功能仅仅能够在以.pcapng格式保存的捕获文件使用。

  • q??第一列(获取字段、捕获或捕获文件信息):当在捕获文件里选择某个字段时,在状态栏中将能够看到文件名称和列大小。假设点击Packet Bytes面板中的一个字段,将在状态栏中会显示其字段名。而且Packet Details面板也在发生着变化。

  • q??第二列(包数):当打开一个捕获文件时,在状态栏中的第二列将显示该文件的总包数。在图1.47中。显示了捕获的数据包数量、显示包数和载入时间。假设当前捕获文件里有包被标记,则状态栏中将会出现标记包数。

  • q??第三列(配置文件):表示当前使用的文件。在图1.47中,表示正在使用Default?文件。

    文件能够创建,这样就能够自己定制Wireshark的环境。

本文选自:Wireshark数据抓包基础教程大学霸内部资料。转载请注明出处,尊重技术尊重IT人!


以上是关于如何用Wireshark捕获USB数据的主要内容,如果未能解决你的问题,请参考以下文章

如何用wireshark查看网络流量

Windows 7:嗅探到本地主机的 TCP 套接字

如何用wireshark分析抓包

如何用wireshark对tcp进行抓包

如何用wireshark抓取两个路由器之间的数据包

使用wireshark抓包,捕获get访问请求,如何得到图示数据