封包分析.doc

封包分析1
为了方便分析,我们把图片都放到一起大家看看!
上面发送的封包是
下面发送的封包内容是:
我们比较一下两个封包,可以发现,相同的部分很多,按我们的分析应该差别只应该在“ee”与"ff"的区别,因为发送的内容只有这点差别,但是上面的封包显示出来的却不是这样,为什么?
其实,他们确实是一样的,在IE的封包里面,01、02、03、04都代表点的意思,也就是代表:"."这个意思,那么你再分析就发现完全和我们预料的一样了,这里是IE发送的封包,没有加密的,您可以直接读出来的!但是这不是10进制,而是16进制,因此,我们必须把它翻译成为10进制,以方便我们阅读,怎么办?
别忘了,我在WPE下载页给出了一个Asic II工具,现在就用吧,
好,我们来翻译这个封包,前面的不管,我们只关心封包里面的数据:打开Asic II工具,输入"W",点查看,看到了什么?------“77”(十六进制),看到了吧,我们输入的有3个“W”,这里是不是有3个77啊?前面已经讲过,02代表点号,那么,接下来是不是也是我们预料的是“f”呢?我们继续用工具查一下看看,果然不出我们分析所料,真是f,不用多猜了,接下来的内容就是".com"怎么样?是不是很简单呢?下面我们把这个过程完整地给大家演示一遍!
首先,拔掉网线(这里是为了简单才拔的,其实不拔也可以,只是会出现返回封包,不容易辨认)打开WPE,然后, Exproler, Exproler程序,然后点拦截封包, Exproler中输入一个简单的网址,按回车后,在WPE中开始拦截,看到发送了一个封包后,点停止,就看到我们需要的封包了,下面是图解过程:

2. Exproler
,
3. Exproler程序,点两下
4. Exproler中输入回车

点三角形
当收到封包后点红色的正方形,封包就出现了!
注意,图上的最后一副图的左上角有个蓝色的“S”,意思是:这个后面的封包是发送的,英文的单词是"sent"如果出现的是“R”,那么意思是它后面的封包是接受到的而不是发送的,区别如下图!
五代科技
 
封包分析2
经过前一章的讲解,相信大家对封包有了粗略的了解,这一章是要大家分析封包,其实封包的拦截不是很宽难,难就难在封包的分析上,从习惯上来说,大家都习惯辨认10进制的东西,对16进制,实在是不习惯,没关系,我们会让大家逐渐习惯的!如果大家愿意更好地掌握16进制,强烈建议大家手里拿一张Asic II码对照表,这样可以方便大家学习,不仅可以反查,而且可以顺查!方便多了!
前一节,我们把网线拔了,先在查上吧,难题要来了!准备好了吗,好,LET‘S GO!
先看下面的图片!
我们来分析一下上面的内容!
首先几点说明, Exproler进行的封包操作,请求的地址暂时不说,您可以分析出来的!下面是分析说明!
首先,本地发送请求到服务器!发送内容是“21”,注意:您一定很容易地认为发送的是“21”,其实,数字也好,字母也好,一定要注意,全都是16进制的,所以,这个“21”不是我们平常的21,而是16进制的21,那我们来算一下21等于多少(计算21转换为10进制等于多少)?21(16位)=2 x 16 + 1 = 33 (10进制),关于进制计算,我们专门的