wireshark进行网络取证_1)使用wireshark进行网络取证,进行数据监听 2)分析网络协议,数据包 3)追踪数据包,

实验目标：

1. 使用Wireshark进行网络取证，进行数据监听
2. 分析网络协议，数据包
3. 追踪数据包，保存原始数据，还原原始数据

1）先在CMD命令提示符上ping baidu.com 以获取其IP地址。

然后在过滤器上输入目标的IP地址及所需的协议。

2）Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame: 物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息

（3）Internet Protocol Version 4: 互联网层IP包头部信息

（4）Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

了解TCP包中的每个字段，并与wireshark捕获的数据包一一对应。

TCP数据报格式如下图：

在wireshark中详细的信息如下：

获到的数据包，每个数据包包含编号，时间截，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

3)将要抓取的图片发送给任意QQ好友

因为我们发送的图片是jpg格式，所以图片的16进制编码头几位为ffd8ff，其他格式自行查询

这时，通过追踪TCP流以及文件头编码的搜索，我们找到对应的数据流，并且追踪TCP流

抓取传输过程中的.jpg文件

追踪流

将其显示为原始数据保存到本地

完成这个以后，将保存下来的文件用winhex打开

这时把 “FF D8 FF”前面删掉即可得到图片。

将FFD8FF前面的删除