Wireshark 抓包及常用协议分析

已于 2024-12-17 16:08:22 修改
阅读量1.6k 收藏 31
点赞数 11
文章标签: wireshark 测试工具 网络
于 2024-12-17 15:51:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80814292/article/details/144537560
版权

Wireshark 是一款功能强大的开源网络协议分析工具,广泛应用于网络故障排除、网络安全分析、协议开发和教育等领域。它能够捕获网络数据包,并以易于理解的格式展示数据包的内容和结构。以下将详细介绍如何使用 Wireshark 进行抓包以及如何分析常用的网络协议。

一、Wireshark 简介

1.1 功能特点

  • 实时抓包:实时捕获网络接口上的数据包。
  • 多种协议支持:支持超过 1000 种网络协议的分析。
  • 强大的过滤功能:使用 BPF(Berkeley Packet Filter)语法进行数据包过滤。
  • 图形化界面:以图形化方式展示数据包的时间线、协议层次结构等。
  • 统计功能:提供各种统计信息,如协议分布、流量统计等。
  • 解密功能:支持多种加密协议(如 SSL/TLS、WPA/WPA2)的解密。

1.2 应用场景

  • 网络故障排除:分析网络延迟、丢包等问题。
  • 网络安全分析:检测网络中的异常流量、恶意软件通信等。
  • 协议开发与测试:分析协议实现是否符合规范,测试协议性能。
  • 教学与学习:学习网络协议的工作原理和交互过程。

二、Wireshark 安装

2.1 下载

前往 Wireshark 官方网站 下载适用于你操作系统的安装包。

2.2 安装

  • Windows

    • 运行下载的安装程序,按照提示完成安装。
    • 安装过程中可以选择安装 WinPcap 或 Npcap,这些是 Wireshark 捕获网络数据包所需的驱动程序。

  • macOS

    • 使用 Homebrew 安装: 
       
      bash
       
      brew install --cask wireshark

       
    • 或者下载 DMG 包进行安装。
  •  
    Linux
     
  
    • 使用包管理器安装,例如在 Ubuntu 上: 
       
      bash
       
      sudo apt update
sudo apt install wireshark

       
    • 安装过程中会提示是否允许非超级用户捕获数据包,建议选择“是”。
 

 

三、使用 Wireshark 抓包
 

 

3.1 选择网络接口
 

启动 Wireshark 后,会显示可用的网络接口列表。选择你要捕获数据包的网络接口(例如,以太网接口、无线网络接口等)。
 

3.2 开始捕获
 

点击“开始捕获”按钮(鲨鱼图标)开始捕获数据包。你也可以使用快捷键 Ctrl + E 开始捕获。
 

3.3 捕获过滤器
 

为了减少捕获的数据量,可以使用捕获过滤器。例如:
 

  • 捕获特定 IP 地址的数据包
    host 192.168.1.100

     
  • 捕获特定端口的数据包
    port 80

     
  • 捕获 TCP 协议的数据包
    tcp

     
 

3.4 停止捕获
 

点击“停止捕获”按钮(红色方块)停止捕获数据包。
 

3.5 保存捕获的数据
 

点击“文件” -> “保存” 将捕获的数据保存为 .pcap 或 .pcapng 文件,方便后续分析。
 

 

四、Wireshark 界面介绍
 

4.1 主界面
 

  • 数据包列表窗格:显示捕获的所有数据包列表。
  • 数据包详情窗格:显示选中数据包的详细信息,包括协议层次结构、数据包内容等。
  • 数据包字节窗格:以十六进制和 ASCII 格式显示选中数据包的内容。
 

4.2 常用功能
 

  • 颜色编码:不同类型的数据包以不同颜色显示,例如 TCP 握手包为绿色,HTTP 请求为蓝色等。
  • 时间显示:可以设置数据包的时间显示方式,例如相对时间、绝对时间等。
  • 标记数据包:可以标记感兴趣的数据包,方便后续查找和分析。
 

 

五、常用协议分析
 

5.1 TCP/IP 协议
 

5.1.1 TCP 三次握手
 

TCP 连接建立过程:
 

1.SYN:客户端发送 SYN 包,表示希望建立连接。
 

2.SYN-ACK:服务器回复 SYN-ACK 包,确认收到 SYN 包,并表示同意建立连接。
 

3.ACK:客户端发送 ACK 包,确认收到 SYN-ACK 包,连接建立。
 

在 Wireshark 中,可以通过过滤 tcp.flags.syn == 1 来查看 SYN 包。
 

5.1.2 TCP 四次挥手
 

TCP 连接断开过程:
 

1.FIN:客户端发送 FIN 包,表示希望断开连接。
 

2.ACK:服务器回复 ACK 包,确认收到 FIN 包。
 

3.FIN:服务器发送 FIN 包,表示同意断开连接。
 

4.ACK:客户端回复 ACK 包,确认收到 FIN 包,连接断开。
 

在 Wireshark 中,可以通过过滤 tcp.flags.fin == 1 来查看 FIN 包。
 

5.2 HTTP 协议
 

5.2.1 HTTP 请求
 

HTTP 请求包包含以下信息:
 

  • 请求方法:如 GET、POST 等。
  • 请求 URL:请求的资源路径。
  • HTTP 版本:如 HTTP/1.1。
  • 请求头:包含各种头部信息,如 Host、User-Agent、Cookie 等。
  • 请求体(可选):如 POST 请求的表单数据。
 

5.2.2 HTTP 响应
 

HTTP 响应包包含以下信息:
 

  • 状态码:如 200 OK、404 Not Found 等。
  • HTTP 版本:如 HTTP/1.1。
  • 响应头:包含各种头部信息,如 Content-Type、Content-Length、Set-Cookie 等。
  • 响应体:服务器返回的内容,如 HTML 页面、图片等。
 

5.3 DNS 协议
 

DNS 查询和响应:
 

  • DNS 查询包:客户端向 DNS 服务器发送查询请求,请求解析域名对应的 IP 地址。
  • DNS 响应包:DNS 服务器回复查询结果,包含查询到的 IP 地址。
 

在 Wireshark 中,可以通过过滤 dns 来查看 DNS 数据包。
 

5.4 DHCP 协议
 

DHCP 动态主机配置协议:
 

  • DHCP Discover:客户端广播寻找 DHCP 服务器。
  • DHCP Offer:DHCP 服务器回复客户端,提供 IP 地址等信息。
  • DHCP Request:客户端请求使用提供的 IP 地址。
  • DHCP ACK:DHCP 服务器确认客户端的请求,分配 IP 地址。
 

在 Wireshark 中,可以通过过滤 dhcp 来查看 DHCP 数据包。
 

5.5 ARP 协议
 

ARP 地址解析协议:
 

  • ARP 请求:主机发送 ARP 请求,询问目标 IP 地址对应的 MAC 地址。
  • ARP 回复:目标主机回复 ARP 请求,提供自己的 MAC 地址。
 

在 Wireshark 中,可以通过过滤 arp 来查看 ARP 数据包。
 

5.6 SSL/TLS 协议
 

SSL/TLS 加密协议:
 

  •  
    握手过程
     
    1.Client Hello:客户端发送 Client Hello 消息,包含支持的协议版本、加密算法等。
     
    2.Server Hello:服务器回复 Server Hello 消息,选择协议版本、加密算法等。
     
    3.Certificate:服务器发送证书,客户端验证证书。
     
    4.Server Key Exchange(可选):服务器发送密钥交换信息。
     
    5.Server Hello Done:服务器发送 Server Hello Done 消息。
     
    6.Client Key Exchange:客户端发送密钥交换信息。
     
    7.Change Cipher Spec:客户端发送 Change Cipher Spec 消息,表示后续通信将使用协商的密钥进行加密。
     
    8.Finished:客户端发送 Finished 消息,验证握手过程。
     
    9.Change Cipher Spec:服务器发送 Change Cipher Spec 消息。
     
    10.Finished:服务器发送 Finished 消息,验证握手过程。
     
  • 数据加密传输:握手完成后,数据包内容将被加密传输。
 

在 Wireshark 中,可以通过过滤 ssl 或 tls 来查看 SSL/TLS 数据包。
 

 

六、常用 Wireshark 过滤技巧
 

6.1 基本过滤
 

  •  
    协议过滤
     
  
    • http:过滤 HTTP 协议数据包
    • tcp:过滤 TCP 协议数据包
    • udp:过滤 UDP 协议数据包
    • dns:过滤 DNS 协议数据包
    • dhcp:过滤 DHCP 协议数据包
    • arp:过滤 ARP 协议数据包
    • ssl 或 tls:过滤 SSL/TLS 协议数据包
  •  
    IP 地址过滤
     
  
    • ip.addr == 192.168.1.100:过滤 IP 地址为 192.168.1.100 的数据包
    • ip.src == 192.168.1.100:过滤源 IP 地址为 192.168.1.100 的数据包
    • ip.dst == 192.168.1.100:过滤目标 IP 地址为 192.168.1.100 的数据包
  •  
    端口过滤
     
  
    • tcp.port == 80:过滤 TCP 端口为 80 的数据包
    • udp.port == 53:过滤 UDP 端口为 53 的数据包
 

6.2 组合过滤
 

  • http && ip.addr == 192.168.1.100:过滤 HTTP 协议且 IP 地址为 192.168.1.100 的数据包
  • tcp.port == 80 || udp.port == 53:过滤 TCP 端口为 80 或 UDP 端口为 53 的数据包
 

6.3 高级过滤
 

  •  
    过滤特定 HTTP 方法
     
  
    • http.request.method == "GET":过滤 HTTP GET 请求
    • http.request.method == "POST":过滤 HTTP POST 请求
  •  
    过滤特定 HTTP 状态码
     
  
    • http.response.code == 200:过滤 HTTP 状态码为 200 的响应
    • http.response.code == 404:过滤 HTTP 状态码为 404 的响应
  •  
    过滤特定字符串
     
  
    • frame contains "keyword":过滤包含特定字符串的数据包
 

 

七、Wireshark 分析技巧
 

7.1 跟踪 TCP 流
 

右键点击一个 TCP 数据包,选择“跟踪 TCP 流”,可以查看完整的 TCP 会话内容,包括 HTTP 请求和响应等。
 

7.2 统计功能
 

  • 协议层次结构:点击“统计” -> “协议层次结构”,查看不同协议的数据包数量和比例。
  • 流量统计:点击“统计” -> “流量统计”,查看不同协议、IP 地址、端口等的流量统计信息。
  • IO 图:点击“统计” -> “IO 图”,查看网络流量的时间变化趋势。
 

7.3 数据包搜索
 

  • 搜索特定字符串:点击“编辑” -> “查找数据包”,可以搜索数据包内容中的特定字符串。
  • 标记数据包:右键点击一个数据包,选择“标记数据包”,可以标记感兴趣的数据包,方便后续查找。
 

7.4 数据包导出
 

  • 导出特定数据包:点击“文件” -> “导出指定数据包”,可以导出符合过滤条件的数据包。
  • 导出数据包详细信息:右键点击一个数据包,选择“导出分组详细信息”,可以导出数据包详细信息为文本文件。
 

 

八、常见问题与解决方案
 

8.1 无法捕获数据包
 

  • 权限问题:确保以管理员权限运行 Wireshark。
  • 驱动程序问题:确保安装了 WinPcap 或 Npcap。
  • 网络接口问题:确保选择了正确的网络接口。
 

8.2 捕获到的数据包很少
 

  • 过滤器问题:检查捕获过滤器是否设置得太严格。
  • 网络流量问题:确认网络中有足够的流量。
 

8.3 协议解析错误
 

  • 协议版本问题:确认捕获到的数据包协议版本与 Wireshark 支持的版本一致。
  • 加密问题:确认是否需要解密 SSL/TLS 数据包。
 

 

九、总结
 

Wireshark 是一款功能强大的网络协议分析工具,能够帮助我们深入了解网络通信的细节。通过掌握 Wireshark 的基本使用方法和常用协议的分析技巧,可以有效地进行网络故障排除、安全分析、协议开发等工作。
 

希望本篇内容能够帮助你更好地使用 Wireshark 进行网络分析。如有进一步的问题,欢迎随时提问!

                

        

    

  



    


            

  



          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
菜鸟啄

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值