WireShark 使用说明

最新推荐文章于 2024-05-07 22:00:00 发布
最新推荐文章于 2024-05-07 22:00:00 发布
阅读量1.7k 收藏 6
点赞数 4
分类专栏: 网络安全 文章标签: wireshark windows node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AnitaSun/article/details/120436030
版权

拦截本地回环数据

  • 本机访问本机的回环数据是不经过网卡的(比如在本地访问搭建在本机上的web服务),但我们经常有服务搭建在本机的操作也经常有拦截本地回环数据包加以分析的需求,所以我们环要拦载回环数据包
  • 以管理员身份运行cmd
  • 使用ipconfig查看本机ip和网关
    在这里插入图片描述
Windows 添加路由

  • 在命令行下输入route命令,会有对应的提示信息
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • 添加一条路由条目
    route add 173.18.18.0 mask 255.255.255.0 172.18.18.1
    运用:假设自己的网关是172.18.18.1,要访问的同事的网关173.18.18.222,但是ping不通,价格路由之后就可以ping通了

  • 添加一条永久路由条目
    route -p add 173.18.18.0 mask 255.255.255.0 172.18.18.1

  • 删除路由条目
    route delete 173.18.18.0

  • 查看所有的路由表信息
    route print

使用以下命令添加路由,指定回环数据也要先转发到网关
  • route add IP地址 mask 255.255.255.255 网关 metric 1

基本使用

开始抓包

在这里插入图片描述

显示过滤器
  • 过滤器的网址
    在这里插入图片描述
  • 找到自己分析的内容,可以使用过滤器
  • 在过滤器那一栏中填入 http.request.method == "GET",然后用Chrome浏览器访问http://fanyi-pro.baidu.com/index
    在这里插入图片描述
  • 常用的过滤器
    tcp、udp 前者表示只显示tcp,后者表示只显示udp。也可以!tcp,表示显示除了tcp之外的。还可以tcp or udp,表示显示tcp和udp。
    ip.src == 192.168.1.120 and ip.dst == 208.101.60.87 ,ip.src表示客户端ip(源地址ip)、ip.dst表示服务器ip(目标地址ip)
    tcp.port == 80 || udp.srcport == 80 ,tcp.port 表示tcp的端口为80,udp.srcport表示udp源端口为80。||表示或者和or等效,&&和and等效。(还有tcp.srcport、tcp.dstport等等)
捕获过滤器
  • 可以在捕获阶段就过滤掉无用的流量
  • udp、tcp 前者表示只显示tcp,后者表示只显示udp。也可以!tcp,表示显示除了tcp之外的。还可以tcp or udp,表示显示tcp和udp。
  • host 192.168.1.110 ,表示只捕获ip地址为192.168.1.110的封包(这里的语法和显示过滤器不一样,请注意)
  • dst port 80 or port 443、not port 53,表达端口的过滤(这里的语法和显示过滤器不一样,请注意)
    在这里插入图片描述
着色规则
  • 不同颜色代表不同含义
  • 具体规则可以查看 识图 -> 着色规则
    在这里插入图片描述
抓取localhost(环回地址)
  • localhost走的其实是npcap loopback adapter网卡(环回网卡),Wireshark抓包其实就是对网卡抓包。所以,Wireshark肯定是可以对localhost等环回地址进行抓包,只要捕获的时候选中网卡即可。
    在这里插入图片描述
抓取移动设备流量

如果要抓取移动设备,可以先在笔记本电脑开启wifi热点。捕获对应的虚拟网卡,最后用手机连上wifi就可以进行抓包了。
win10自带了wifi热点,不用去找第三方的wifi热点软件了。如果手机连不上,可以尝试关掉笔记本的防火墙试试。
在这里插入图片描述

TCP / IP 四层协议

在这里插入图片描述

  • 下面的动图是各层对应的数据
    在这里插入图片描述
    从上面的动图我们可以发现,应用层到传输层再到网络层到以太网层,其对应的数据包也在对应的往前移。
    我们可以想象一下,应用层数据往上传递,每经过一层就包上一个新得信封。等数据送到目的主机,然后每往下一层就拆一个信封,最后拆到应用层也就是最开始得数据了。
    在这里插入图片描述

TCP 三次握手

在这里插入图片描述
那么在Wireshark中怎么观察呢。我们还是以http://fanyi-pro.baidu.com/地址为例。首先打开Chrome输入地址,F12打开浏览器的Network面板,刷新页面在面板中找到服务器IP。 打开Wireshark开始抓包,并在显示过滤器只显示IP地址对应的数据。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

TCP 四次挥手

除了三次握手,还有对应的四次挥手。不知道是不是我网络不好,“挥手”的时候老是出现重传错误干扰(就是前面说的那种红字黑底封包)。下面是我本地环境自己写代码的抓包效果。
与握手不同是挥手是发送FIN标志位断开连接,其他都差不多。
在这里插入图片描述
在这里插入图片描述

HTTPS 的抓包

因为HTTPS是HTTP的基础下加入SSL加密层,所以Wireshark抓到是密文。也就看不到请求参数和响应结果,甚至连url链接都是密文。
要想在Wireshark抓包明文数据,可进行如下操作:

  • 1、windows电脑配置环境变量 SSLKEYLOGFILE D:\testssl.txt
    在这里插入图片描述
  • 2、Wireshark 编辑 - 首选项 - Protocols - TLS 最后一个选中D:\testssl.txt。
    在这里插入图片描述
    如果是HTTP2可以进行http2.headers.method == "GET"或http2.headers.method == “POST”,如果是HTTP可以进行http.request.method == "GET"过滤。

UDP 协议

Wireshark除了可以抓包TCP同样也可以对UDP进行抓包
在这里插入图片描述
其实这个抓取的是BACnet报文,而这个BACnetIP正是基于UDP的一个协议。

设置每次抓包的大小

在这里插入图片描述

性能三板斧

  • 看一下平均速度
    在这里插入图片描述
  • 单击Statistics–>Service Response Time–>ONC-RPC–>Program:NFS Version:3–>Create Stat,可以看到各项操作的Service Response Time
  • 看专家信息
    在这里插入图片描述
Anita-Sun
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WireShark操作入门
Libra_Ng
11-07 446
软件界面基本操作 查找Ctrl+F 标记报文Ctrl+M或右键菜单 时间显示格式 相对时间设置Ctrl+T 捕获选项Ctrl+K:Capture–>Option 数据捕获环境参数设置 名字解析 类型 MAC地址解析(Resolve MAC address):MAC转换成IP 网络层名字解析(Resolve network-layer names):IP转换成DNS名称(网...
WireShark使用及分析
想你所想,做你所做
12-07 474
一、什么是WireSharkWireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 二、如何抓包? 1.Windows抓包 ①安装WireShark软件后,打开; ②点击菜单“Capture”->“Interfaces”,如下图所示: ③选择要进行截包的网络接口,然后点击其右侧的Start。出现如下图: 注意:当存在多个网卡,或安装了虚拟机存在虚拟网络接口,要正确选择捕获的网络接口 ④停止捕获 点击菜单“Capture”->
WireShark如何抓取本地localhost的包
学而不思则罔
11-26 1万+
    今天将自己的电脑既作为客户端又作为服务端进行一个程序的测试,想着用WireShark来抓包分析一下问题,但由于WireShark只能抓取经过电脑网卡的包,由于我是使用localhost或者127.0.0.1进行测试的,流量是不经过电脑网卡的,所以WireShark无法抓包,一番查找之下找到了解决方法。 1 . 以管理员身份打开命令提示符 2 . 输入 route add 本机ip ma...
Wireshark零基础使用教程(超详细)
A_991128a的博客
10-14 3579
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
超详细的wireshark抓包使用教程
最新发布
白帽黑客八哥的博客
05-07 6071
目录前言Wireshark软件安装Wireshark 开始抓包示例Wireshakr抓包界面介绍Wireshark过滤器设置Wireshark抓包分析TCP三次握手Wireshark分析常用操作Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。
localhost与127.0.0.1和本机ip的区别
你当像鸟飞往你的山~~
08-30 1570
localhost与127的区别
Wireshark使用指南
潮听哥的博客
03-10 1万+
一、Wireshark简介 Wireshark是一种用于剖析网络流量和分析数据包的开源工具。 二、如何捕获报文 点击 捕获->选项,打开捕获窗口 网卡设备/流量/捕获过滤器,点击“开始”按钮开始抓包 输出(指定缓存文件)/选项(显示、名称解析、自动停止抓包条件) 面板 点击捕获->停止,停止抓包 Input 输出 选项 Wireshark面板 快捷工具栏 数据包的颜色 设置时间格式 数据包列表面板的标记符号 四种流跟踪...
wireshark使用说明
08-13
使用Wireshark时,有两种主要的过滤器类型: - **抓包过滤器**:在捕获数据包之前设置,通过“Capture”菜单下的“Capture Filters”进行配置,可以减少捕获的数据包数量,提高效率。例如,只捕获特定IP的ICMP...
wireshark使用说明.docx
08-17
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
wireshark使用说明_wireshark_源码
10-04
本篇文章将详细探讨Wireshark使用方法。 一、Wireshark基础 1. **安装与启动**:Wireshark支持多种操作系统,包括Windows、Linux和macOS。用户可以通过官方网站下载最新版本的安装包,按照提示进行安装。启动后...
Wireshark没有windows 本身的网卡,抓不到你本地网卡的包
nature_yi的博客
01-11 1万+
下载wireshark 地址:https://www.wireshark.org/download/ 安装,打开后发现没有windows 本身的网卡,查了一下,是Windows 本身抓包服务没有开启。 打开Wireshark Legacy 在Start 下面没有 本地连接 相关的选项,也就是说你抓不到你本地网卡的包,如下图所示: 解决方法: 以管理员方式运行 cmd.exe,非管理员运行会提示拒...
wireshark使用教程
热门推荐
白清羽的博客
07-26 4万+
文章来源:https://blog.csdn.net/qq_30682027/article/details/83021901 文章目录 1. 安装 2. 使用技巧 2.1. 捕获过滤器表达式 2.2. 开始捕获 2.3. 捕获结果 2.3.1. 着色规则 2.3.2. 数据包的大致结构 2.3.3. 示例 2.3.3.1. 三次握手 2.3.3.2. 四次挥手 2.3.3.3. tcp/ip数...
Wireshark详细使用教程
kuokay的博客
05-18 4万+
简介 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。WireShark可以比喻做硬件工程的万用表、示波器,同样我们网络工程师或者软件工程师可以利用wireshark来进行分析网络。 wireshark可以做哪些事情? 1、利用wireshark进行tcp/ip知识的学习 在进行学习tcp/ip基础知识尤其是网络协议时异常枯燥,因为网络的问题看不见摸不着,所以很难.
Wireshark实验(计算机网络)
weixin_59049031的博客
12-30 1138
答:至少经过了50跳。
计算机网络——wireshark抓包
mainjay的博客
11-01 2584
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q9dseZJ5-1636377150201)(http://i.niupic.com/images/2021/11/08/9G4R.png)]当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。
wireshark抓取本地进程间通信的http报文
cook307765990的专栏
11-03 4130
将Tomcat服务器和页面都放在本机进行程序调试时,WireShark没法抓取本地电脑两个进程间的socket通信(Wireshark只能捕捉网卡收到的数据) 解决方法:在本机路由表中添加一条通往本机IP地址的路由信息; 1、运行中输入cmd,打开dos窗口; 2、dos窗口中输入route print,打印路由表信息; 3、dos窗口中输入route add 10.168.17.100
计算机网络Wireshark抓包实操
被无情调岗的痛苦狗头
12-23 9838
计算机网络分层Wireshark抓包分析实操一、Wireshark简介二、实操内容(一)数据链路层 一、Wireshark简介 Wireshark常用于网络通信的抓包分析,通过抓取通信过程中的数据包,分析其中所携带的信息,进一步了解网络通信的过程。 熟悉Wireshark的用户界面、基本操作以及特殊操作,如信息的过滤与指定条件的抓包等,可以提高我们的工作效率。具体内容可参考Wireshark抓包图文详解 二、实操内容 本次实操按照计算机网络的分层结构,对数据链路层、网络层、传输层、应用层进行抓包分析,
Wireshark-----抓包分析
HakuMaster的博客
07-13 1万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网卡,例如WLAN,点击确定即可;
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值