流量分析-Wireshark

Wireshark 是一种开源、跨平台的网络数据包分析工具，能够嗅探和调查实时流量并检查数据包捕获 (PCAP)。它通常被用作最好的数据包分析工具之一。

图形化界面介绍

工具栏	主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式，包括过滤、排序、汇总、导出和合并。
显示过滤栏	主要查询和过滤部分。
最近的文件	最近调查的文件列表。您可以通过双击调用列出的文件。
捕获过滤器和接口	捕获过滤器和可用的嗅探点（网络接口）。网络接口是计算机和网络之间的连接点。软件连接（例如 lo、eth0 和 ens33）启用网络硬件。
状态栏	工具状态、配置文件和数字数据包信息。

数据包列表面板	每个数据包的摘要（源地址和目标地址、协议和数据包信息）。您可以单击列表以选择一个数据包以进行进一步调查。选择数据包后，详细信息将显示在其他面板中。
数据包详细信息窗格	所选数据包的详细协议分解。
数据包字节窗格	所选数据包的十六进制和解码 ASCII 表示。它根据详细信息窗格中单击的部分突出显示数据包字段。

合并数据包

文件详情

了解文件详细信息很有帮助。特别是在处理多个 pcap 文件时，有时需要了解并回忆文件详细信息（文件哈希、捕获时间、捕获文件注释、接口和统计信息）以识别文件、对其进行分类和确定优先级。通过“统计信息 --> 捕获文件属性”或单击窗口左下角的“pcap 图标”查看详细信息。

导出对象

设置时间格式

专家信息

严重性	颜色	信息
Chat	蓝色	有关常规工作流程的信息。
Note	青色	值得注意的事件，如应用程序错误代码。
Warn	黄色	异常错误代码或问题陈述等警告。
Error	红色	格式错误的数据包之类的问题。

数据包过滤

捕获过滤器

只抓取特定的流量，抓取流量时无法更改

过滤器语法

• Scope:host, net, port and portrange.

host 1.1.1.1
net 1.0.0.0/24
port 80

• Direction: src, dst, src or dst, src and dst

src 1.1.1.1
src 1.1.1.1 and dst 1.1.1.2

• Protocol:ether, wlan, ip, ip6, arp, rarp, tcp and udp

tcp
tcp and port 80

显示过滤器

只显示筛选的流量，抓取流量时可以更改

比较运算符

English	C-like	描述	例子
eq	==	平等的	ip.src == 1.1.1.1
ne	!=	不等于	ip.src != 1.1.1.1
gt	>	比...更棒	ip.ttl > 240
lt	<	少于	ip.ttl < 240
ge	>=	大于或等于	ip.ttl >= 0xFA
le	<=	小于或等于	ip.ttl <= 0xA

逻辑表达式

English	C-like	描述	例子
and	&&	逻辑与	ip.src == 1.1.1.1 and ip.dst == 1.1.1.2
or	||	逻辑或	ip.src == 1.1.1.1 or ip.src == 1.1.1.2
not	!	逻辑非	not ip.src == 1.1.1.1 注意：不推荐使用 !=value；使用它可能会提供不一致的结果。建议使用 !(value) 样式以获得更一致的结果。

IP过滤

筛选	描述
ip	显示所有 IP 数据包。
ip.addr == 10.10.10.111	显示所有包含 IP 地址 10.10.10.111 的数据包。
ip.addr == 10.10.10.0/24	显示所有包含来自 10.10.10.0/24 子网的 IP 地址的数据包。
ip.src == 10.10.10.111	显示所有来自 10.10.10.111 的数据包
ip.dst == 10.10.10.111	显示发送到 10.10.10.111 的所有数据包

TCP/UDP过滤

筛选	描述	筛选	表达
tcp.port == 80	查看所有80端口的TCP数据包	udp.port == 53	显示所有端口为 53 的 UDP 数据包
tcp.srcport == 1234	显示来自端口 1234 的所有 TCP 数据包	udp.srcport == 1234	显示所有来自端口1234 的 UDP 数据包
tcp.dstport == 80	显示发送到端口 80 的所有 TCP 数据包	udp.dstport == 5353	显示发送到端口 5353 的所有 UDP 数据包

应用层过滤

筛选	描述	筛选	描述
http	显示所有 HTTP 数据包	dns	显示所有 DNS 数据包
http.response.code == 200	显示所有带有 HTTP 响应代码“200”的数据包	dns.flags.response == 0	显示所有 DNS 请求
http.request.method == "GET"	显示所有 HTTP GET 请求	dns.flags.response == 1	显示所有 DNS 响应
http.request.method == "POST"	显示所有 HTTP POST 请求	dns.qry.type == 1	显示所有 DNS“A”记录

高级过滤

筛选	描述	备注
http contains "Apache"	在数据包中搜索带有Apache的字符串	区分大小写
http matches "apache"	在数据包中搜索带有apache的字符串	不区分大小写
tcp.port in {80,443}	查找80，443端口
string(ip.ttl) matches "[02468]$"	查询ttl值为偶数的

TCP

• 依靠三次握手（需要完成握手过程）。
• 通常具有大于 1024 字节的窗口大小，因为由于协议的性质，请求需要一些数据。

Open TCPPort	Open TCPPort	Closed TCPPort
SYN --> <-- SYN, ACK ACK -->	SYN --> <-- SYN, ACK ACK --> RST, ACK -->	SYN --> <-- RST, ACK

tcp.flags.syn == 1 and tcp.flags.ack == 0 and tcp.window_size > 1024

tcp.seq == 1 and tcp.flags.ack == 1 and tcp.flags.reset != 1

SYN

• 不依赖三次握手（不需要完成握手过程）。
• 数据包小于或等于1024字节。

打开 TCP 端口	关闭 TCP 端口
同步--> <-- 同步，确认 RST-->	同步--> <-- RST，确认

tcp.flags.syn == 1 and tcp.flags.ack == 0 and tcp.window_size < 1024

tcp.seq == 1 and tcp.flags.ack == 1 and tcp.flags.reset != 1

UDP

• 不需要握手过程
• 不提示打开端口
• 关闭端口ICMP报错

Open UDPPort	Closed UDPPort
UDP packet -->	UDP packet --> ICMP Type 3, Code 3 message. (Destination unreachable, port unreachable)

udp.length == 8

icmp.code == 3

not(icmp.code == 3) and (udp.dstport < 70) and (udp.dstport > 55)

ARP

arp.opcode == 1

arp.duplicate-address-detected

arp and (arp.opcode == 1) and (arp.src.hw_mac == xx:xx:xx:xx:xx:xx)

DHCP

dhcp.option.dhcp == 1

dhcp.option.dhcp == 3

dhcp.option.dhcp == 5

dhcp.option.dhcp == 6

dhcp.option.hostname matches "hostname"

dhcp.option.domain_name matches "domain"

NetBIOS

nbns.name matches "name"

Kerberos

kerberos.CNameString == "name"

kerberos.pvon == 5

kerberos.realm matches ".org"

ICMP

隧道协议：TCP、HTTP、SSH

data.len > 64 and icmp

FTP

描述	Wireshark 过滤器
全局搜索	ftp
“FTP”选项可轻松获取唾手可得的果实： x1x 系列：信息请求响应。 x2x 系列：连接消息。 x3x 系列：身份验证消息。 注：“200”表示命令成功。
211：系统状态。 212：目录状态。 213：文件状态	ftp.response.code == 211
220：服务就绪。 227：进入被动模式。 228：长被动模式。 229：扩展被动模式。	ftp.response.code == 220
230：用户登录。 231：用户注销。 331: 有效的用户名。 430：无效的用户名或密码 530：没有登录，密码无效。	ftp.response.code == 230
user：用户名。 pass：密码。 cwd：当前工作目录。 list：清单。	ftp.request.command == "USER" ftp.request.command == "PASS"
蛮力信号：列出失败的登录尝试。 暴力破解信号：列出目标用户名。 密码喷射信号：列出静态密码的目标。	ftp.response.code == 530

HTTP

描述	Wireshark 过滤器
全局搜索 注意：HTTP2 是 HTTP 协议的修订版，具有更好的性能和安全性。它支持二进制数据传输和请求&响应多路复用。	http http2
GET POST Request：列出所有请求	http.request.method == "GET" http.request.method == "POST" http.request
200 OK：请求成功。 301 永久移动：资源被移动到新的 URL/路径（永久）。 302 临时移动：资源被移动到新的 URL/路径（临时）。 400 Bad Request：服务器不理解请求。 401 Unauthorised：URL 需要授权（登录等）。 403 Forbidden：无法访问请求的 URL。 404 Not Found：服务器找不到请求的 URL。 405 Method Not Allowed：使用的方法不合适或被阻止。 408 Request Timeout：请求看起来比服务器等待时间长。 500 Internal Server Error：请求未完成，意外错误。 503 Service Unavailable：请求未完成服务器或服务已关闭。	http.response.code == 200 http.response.code == 301 http.response.code == 400
User-Agent：Web 服务器应用程序的浏览器和操作系统标识。 Request URI：指向从服务器请求的资源。 Full URI：完整的URI信息。	http.user_agent matches "nmap" http.request.uri matches "admin" http.request.full_uri matches "admin"
Server：服务器服务名称。 Host：服务器的主机名 Connection：连接状态。 Line-based text data：服务器提供的明文数据。 HTML From URL Encode：Web 表单信息。	http.server matches "apache" http.host matches "host" http.connection == "keep-alive" data-text-lines matches "admin"

HTTPS

描述	Wireshark 过滤器
Request：列出所有请求 TLS：全局 TLS 搜索 TLS 客户端请求 TLS 服务器响应 本地简单服务发现协议 (SSDP) 注意：SSDP 是一种提供网络服务广告和发现的网络协议。	http.request tls tls.handshake.type == 1 tls.handshake.type == 2 ssdp

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取