2024年网安最全超详细的wireshark抓包使用教程_抓包工具wireshark

于 2024-05-03 15:48:09 发布
阅读量2.1k 收藏 19
点赞数 27
分类专栏: 程序员 文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281648/article/details/138417918
版权

Wireshark软件安装

软件下载路径:wireshark官网。按照系统版本选择下载,下载完成后,按照软件提示一路Next安装。

说明:如果你是Win10系统,安装完成后,选择抓包但是不显示网卡,下载win10pcap兼容性安装包。下载路径:win10pcap兼容性安装包

Wireshark 开始抓包示例

先介绍一个使用wireshark工具抓取ping命令操作的示例,让读者可以先上手操作感受一下抓包的具体过程。

1、打开wireshark 2.6.5,主界面如下:

2、选择菜单栏上Capture -> Option,勾选WLAN网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡)。点击Start。启动抓包。

3、wireshark启动后,wireshark处于抓包状态中。

4、执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com。

5、操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 119.75.217.26 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包。说明:协议名称icmp要小写。

5、wireshark抓包完成,就这么简单。关于wireshark显示过滤条件、抓包过滤条件、以及如何查看数据包中的详细内容在后面介绍。

下面是给大家分享的一些网络安全学习资料,需要的下方免费领取哦

网络安全大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

Wireshakr抓包界面介绍

说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器),  用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。

2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为

(1)Frame:   物理层的数据帧概况

(2)Ethernet II: 数据链路层以太网帧头部信息

(3)Internet Protocol Version 4: 互联网层IP包头部信息

(4)Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

(5)Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

4. Dissector Pane(数据包字节区)。

Wireshark过滤器设置

初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己需要抓取的数据包部分。wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

(1)抓包过滤器

捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

如何使用?可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下:

(2)显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。同样上述场景,在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包,如下

执行ping www.huawei.com获取的数据包列表如下

观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法。**在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。**下面介绍一下两者间的语法以及它们的区别。

wireshark过滤器表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

(1)协议过滤

比较简单,直接在抓包过滤框中直接输入协议名即可。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

(2)IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

(3)端口过滤

port 80

src port 80

dst port 80

(4)逻辑运算符&& 与、|| 或、!非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

!broadcast 不抓取广播数据包

2、显示过滤器语法和实例

(1)比较操作符

比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

(2)协议过滤

比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

(3) ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

(4)端口过滤

tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

(5) Http模式过滤

http.request.method==“GET”,   只显示HTTP GET方法的。

(6)逻辑运算符为 and/or/not

过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

(7)按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

看到这, 基本上对wireshak有了初步了解。

Wireshark抓包分析TCP三次握手

(1)TCP三次握手连接建立过程

Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;

Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;

Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。

(2)wireshark抓包获取访问指定服务端数据包

Step1:启动wireshark抓包,打开浏览器输入www.huawei.com。

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281648
关注
  • 27
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SIP呼叫流程分析和Wireshark抓包.rar_sip_sip呼叫抓包_wireshark_wireshark抓sip包_联
09-23
本教程将深入探讨SIP呼叫流程,并通过Wireshark这一强大的网络封包分析工具,讲解如何捕获和分析SIP通信数据。 首先,我们需要理解SIP呼叫的基本流程。一个典型的SIP呼叫过程包括以下步骤: 1. **注册**:用户代理...
浅谈Wireshark的使用
weixin_45756876的博客
09-13 5476
首先我们要清楚网络嗅探技术 。是一种黑客常用的窃听技术。它是一把双刃剑,一方面攻击者手中的入侵手段之一,另一方面也是网络安全管理人员必备的工具,今天我们就介绍一下WiresharkWireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 ...
《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(2)-Wireshark在Windows系统上安装部署
北京-宏哥的博客
02-22 1271
上一篇主要讲解一下软件的介绍以及软件的抓包原理。这里讲一下如何在Windows系统安装WireShark
详细wireshark抓包使用教程_抓包工具wireshark(2)
最新发布
2401_84253380的博客
04-27 1130
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
wireshark抓包的使用,详细,收藏这一篇就够了
Javachichi的博客
12-29 1万+
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&且、||或、!ip.addr==192.168.23.1 显示主机地址为192.168.23.1的数据包。ip.dstr==192.168.23.1 显示目标地址为192.168.23.1的数据包。=(不等于)、>(大于)、=(大于等于)、
抓包神器 Wireshark,帮你快速定位线上网络故障(2)
一猿小讲
12-22 2609
1Wireshark:界面与基本操作正式分享之前,先简单介绍一下 WiresharkWireshark 的前称是 Ethereal,该开源软件的功能正如其名,用来还原以太网的真相。...
网络安全工具——Wireshark抓包工具
p36273的博客
05-22 3万+
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。混杂模式概述:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
wireshark抓包工具的使用
热门推荐
m0_70618214的博客
08-21 3万+
WireShark网络封包分析软件 主要分为这几个界面:① Display Filter (显示过滤器):用于过滤。② Packet List Pane (封包列表):显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同代表抓取封包的协议不同。③ Packet Details Pane (封包详细信息),:显示封包中的字段。④ Dissector Pane (16进制数据)⑤ Miscellanous (地址栏,杂项)
wireshark抓包详细图文教程
bayfeath的专栏
02-27 1万+
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
详细wireshark抓包使用教程
Forget_liu的博客
05-26 1万+
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
【保姆级教学】抓包工具Wireshark使用教程
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-16 9959
首先安装完了之后,我们打开抓包软件可以看到有很多的网络接口,那我们应该如何选择呢?选择我们现在正在上网的网卡这里用的wifi 就直接抓wlan这个网卡了。直接鼠标双击点进去可以看到有很多的数据包整体来说,界面主要分为以下几部分:菜单栏:Wireshark的标准菜单栏。工具栏:常用功能的快捷图标按钮,提供快速访问菜单中经常用到的项目的功能。过滤器:提供处理当前显示过滤得方法。Packet List面板:显示每个数据帧的摘要。
wireshark进行手机抓包,有详细步骤
07-05
在这里,我们将详细介绍如何使用Wireshark进行手机抓包,掌握这项技能可以帮助您更好地理解网络通信机理、排除网络故障、开发网络应用程序等。 Wireshark的安装和配置 在开始手机抓包之前,我们需要先安装和配置...
Wireshark抓包软件使用教程.pptx
12-02
Wireshark抓包软件使用教程 Wireshark是一款功能强大的网络协议分析软件,能够捕捉和分析网络协议数据包。下面是Wireshark的主要功能和使用方法: 一、菜单介绍 Wireshark的菜单栏包括File、Edit、View、Go、...
网络抓包工具wireshark入门教程详解
10-17
Wireshark是一个网络数据包分析软件,功能非常强大,奈何他是英文版的,今天就为大家详细介绍一下网络抓包工具wireshark使用教程
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
详细Wireshark安装保姆级教程,Wireshark抓包(网络分析),收藏这一篇就够了
Ava_289468的博客
11-09 2352
2024最新版】详细Wireshark安装保姆级教程,Wireshark抓包(网络分析) WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。
Wireshark 网络故障排查实战
悦分享
11-08 2859
按照DHCP协议的要求,客户端会在网络中广播“DHCP Discover”请求,用来寻找DHCP服务器,而当服务器收到这个请求之后,会用DHCP Offer来响应DHCP DISCOVER报文,此报文携带了各种配置信息。如果服务器正常工作,但是应用程序却是无法访问的,仅仅在客户端进行数据包捕获获取的信息可能并不足以找到故障的原因。好了,如果之前的检查都没有问题的话,那么从现在开始起,发出的数据包将远离我们,踏上去往目标服务器的路上,虽然不到一秒,但是这个数据包可能已经穿越了半个世界。
wireshark 抓包工具使用
09-02
使用Wireshark抓包工具的步骤如下: 1. 下载和安装Wireshark:从Wireshark官方网站上下载适用于您的操作系统的Wireshark软件,并按照提示进行安装。 2. 打开Wireshark:打开Wireshark软件,您将看到一个主界面,显示所有正在进行的网络活动。 3. 选择网络接口:从菜单栏中选择要监视的网络接口。如果您不确定应该选择哪个接口,可以选择默认接口。 4. 开始抓包:点击“开始”按钮开始抓包Wireshark将开始捕获网络流量,并在列表中显示数据包。 5. 过滤数据包:根据需要使用过滤器来筛选显示的数据包。Wireshark提供了两种过滤器:显示过滤器和抓包过滤器。显示过滤器用于筛选显示的数据包,而抓包过滤器用于仅捕获特定类型的数据包。 6. 分析数据包:Wireshark会以列表和详细视图的形式显示捕获的数据包。您可以选择一个数据包,并查看其详细信息,如源IP地址、目标IP地址、协议类型等。 7. 停止抓包:当您满意地捕获了足够的数据包后,可以点击“停止”按钮停止抓包过程。 请注意,为了使用Wireshark抓包工具,您需要有一些基本的网络知识,并且对网络协议和数据包有一定的了解。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [详细wireshark抓包使用教程](https://blog.csdn.net/Forget_liu/article/details/130884990)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值