WireShark 使用说明

最新推荐文章于 2024-05-07 22:00:00 发布
最新推荐文章于 2024-05-07 22:00:00 发布
阅读量1.7k 收藏 6
点赞数 4
分类专栏: 网络安全 文章标签: wireshark windows node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AnitaSun/article/details/120436030
版权

拦截本地回环数据

  • 本机访问本机的回环数据是不经过网卡的(比如在本地访问搭建在本机上的web服务),但我们经常有服务搭建在本机的操作也经常有拦截本地回环数据包加以分析的需求,所以我们环要拦载回环数据包
  • 以管理员身份运行cmd
  • 使用ipconfig查看本机ip和网关
    在这里插入图片描述
Windows 添加路由

  • 在命令行下输入route命令,会有对应的提示信息
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • 添加一条路由条目
    route add 173.18.18.0 mask 255.255.255.0 172.18.18.1
    运用:假设自己的网关是172.18.18.1,要访问的同事的网关173.18.18.222,但是ping不通,价格路由之后就可以ping通了

  • 添加一条永久路由条目
    route -p add 173.18.18.0 mask 255.255.255.0 172.18.18.1

  • 删除路由条目
    route delete 173.18.18.0

  • 查看所有的路由表信息
    route print

使用以下命令添加路由,指定回环数据也要先转发到网关
  • route add IP地址 mask 255.255.255.255 网关 metric 1

基本使用

开始抓包

在这里插入图片描述

显示过滤器
  • 过滤器的网址
    在这里插入图片描述
  • 找到自己分析的内容,可以使用过滤器
  • 在过滤器那一栏中填入 http.request.method == "GET",然后用Chrome浏览器访问http://fanyi-pro.baidu.com/index
    在这里插入图片描述
  • 常用的过滤器
    tcp、udp 前者表示只显示tcp,后者表示只显示udp。也可以!tcp,表示显示除了tcp之外的。还可以tcp or udp,表示显示tcp和udp。
    ip.src == 192.168.1.120 and ip.dst == 208.101.60.87 ,ip.src表示客户端ip(源地址ip)、ip.dst表示服务器ip(目标地址ip)
    tcp.port == 80 || udp.srcport == 80 ,tcp.port 表示tcp的端口为80,udp.srcport表示udp源端口为80。||表示或者和or等效,&&和and等效。(还有tcp.srcport、tcp.dstport等等)
捕获过滤器
  • 可以在捕获阶段就过滤掉无用的流量
  • udp、tcp 前者表示只显示tcp,后者表示只显示udp。也可以!tcp,表示显示除了tcp之外的。还可以tcp or udp,表示显示tcp和udp。
  • host 192.168.1.110 ,表示只捕获ip地址为192.168.1.110的封包(这里的语法和显示过滤器不一样,请注意)
  • dst port 80 or port 443、not port 53,表达端口的过滤(这里的语法和显示过滤器不一样,请注意)
    在这里插入图片描述
着色规则
  • 不同颜色代表不同含义
  • 具体规则可以查看 识图 -> 着色规则
    在这里插入图片描述
抓取localhost(环回地址)
  • localhost走的其实是npcap loopback adapter网卡(环回网卡),Wireshark抓包其实就是对网卡抓包。所以,Wireshark肯定是可以对localhost等环回地址进行抓包,只要捕获的时候选中网卡即可。
    在这里插入图片描述
抓取移动设备流量

如果要抓取移动设备,可以先在笔记本电脑开启wifi热点。捕获对应的虚拟网卡,最后用手机连上wifi就可以进行抓包了。
win10自带了wifi热点,不用去找第三方的wifi热点软件了。如果手机连不上,可以尝试关掉笔记本的防火墙试试。
在这里插入图片描述

TCP / IP 四层协议

在这里插入图片描述

  • 下面的动图是各层对应的数据
    在这里插入图片描述
    从上面的动图我们可以发现,应用层到传输层再到网络层到以太网层,其对应的数据包也在对应的往前移。
    我们可以想象一下,应用层数据往上传递,每经过一层就包上一个新得信封。等数据送到目的主机,然后每往下一层就拆一个信封,最后拆到应用层也就是最开始得数据了。
    在这里插入图片描述

TCP 三次握手

在这里插入图片描述
那么在Wireshark中怎么观察呢。我们还是以http://fanyi-pro.baidu.com/地址为例。首先打开Chrome输入地址,F12打开浏览器的Network面板,刷新页面在面板中找到服务器IP。 打开Wireshark开始抓包,并在显示过滤器只显示IP地址对应的数据。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

TCP 四次挥手

除了三次握手,还有对应的四次挥手。不知道是不是我网络不好,“挥手”的时候老是出现重传错误干扰(就是前面说的那种红字黑底封包)。下面是我本地环境自己写代码的抓包效果。
与握手不同是挥手是发送FIN标志位断开连接,其他都差不多。
在这里插入图片描述
在这里插入图片描述

HTTPS 的抓包

因为HTTPS是HTTP的基础下加入SSL加密层,所以Wireshark抓到是密文。也就看不到请求参数和响应结果,甚至连url链接都是密文。
要想在Wireshark抓包明文数据,可进行如下操作:

  • 1、windows电脑配置环境变量 SSLKEYLOGFILE D:\testssl.txt
    在这里插入图片描述
  • 2、Wireshark 编辑 - 首选项 - Protocols - TLS 最后一个选中D:\testssl.txt。
    在这里插入图片描述
    如果是HTTP2可以进行http2.headers.method == "GET"或http2.headers.method == “POST”,如果是HTTP可以进行http.request.method == "GET"过滤。

UDP 协议

Wireshark除了可以抓包TCP同样也可以对UDP进行抓包
在这里插入图片描述
其实这个抓取的是BACnet报文,而这个BACnetIP正是基于UDP的一个协议。

设置每次抓包的大小

在这里插入图片描述

性能三板斧

  • 看一下平均速度
    在这里插入图片描述
  • 单击Statistics–>Service Response Time–>ONC-RPC–>Program:NFS Version:3–>Create Stat,可以看到各项操作的Service Response Time
  • 看专家信息
    在这里插入图片描述
Anita-Sun
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
wireshark抓取本地进程间通信的http报文
cook307765990的专栏
11-03 4120
将Tomcat服务器和页面都放在本机进行程序调试时,WireShark没法抓取本地电脑两个进程间的socket通信(Wireshark只能捕捉网卡收到的数据) 解决方法:在本机路由表中添加一条通往本机IP地址的路由信息; 1、运行中输入cmd,打开dos窗口; 2、dos窗口中输入route print,打印路由表信息; 3、dos窗口中输入route add 10.168.17.100
利用 USB转485通过Wireshark抓取MSTP数据
chengxuyuan20100425的专栏
03-04 3172
1.准备USB转485的硬件设备,将+连到MSTP通讯的+,一连到MSTP的-. USB头插到PC上 2.下载wireshark,然后一路安装到底。安装完wireshark后,到https://sourceforge.net/projects/bacnet/files/bacnet-tools/下载BACnet 新版的tools,下载好后解压找到mstpcap.exe拷贝到wireshark安装目录中的extcap中。 3.打开wireshark软件,插好USB转485工具。按下图找到BACne..
超详细的wireshark抓包使用教程
最新发布
白帽黑客八哥的博客
05-07 4160
目录前言Wireshark软件安装Wireshark 开始抓包示例Wireshakr抓包界面介绍Wireshark过滤器设置Wireshark抓包分析TCP三次握手Wireshark分析常用操作Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。
WireShark 监听localhost本地包方法
vipchenvip的博客
09-05 4373
Wireshark 用户使用手册 ———— 使用数据包
永远的菜鸡小詹的博客
10-24 3151
文章目录查看已抓包弹出菜单 查看已抓包  一旦捕获了一些数据包或打开了以前保存的捕获文件,可以通过简单地单击数据包列表窗格中的数据包来查看显示在数据包列表窗格中的数据包,这将在树视图和字节视图窗格。然后可以展开树的任何部分以查看有关每个数据包中每个协议的详细信息。单击树中的项目将突出显示字节视图中的相应字节。 Wireshark 中显示了一个选择 TCP 数据包的示例,其中选择了一个 TCP 数据包进行查看。它还在选定的 TCP 标头中具有确认编号,在字节视图中显示为选定的字节。  如果在“捕获首选项”对
Wireshark抓本地包
XinShun的博客
07-06 4718
Wireshark抓本地包
wireshark使用说明
08-13
使用Wireshark时,有两种主要的过滤器类型: - **抓包过滤器**:在捕获数据包之前设置,通过“Capture”菜单下的“Capture Filters”进行配置,可以减少捕获的数据包数量,提高效率。例如,只捕获特定IP的ICMP...
wireshark使用说明.docx
08-17
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
wireshark使用说明_wireshark_源码
10-04
本篇文章将详细探讨Wireshark使用方法。 一、Wireshark基础 1. **安装与启动**:Wireshark支持多种操作系统,包括Windows、Linux和macOS。用户可以通过官方网站下载最新版本的安装包,按照提示进行安装。启动后...
wireshark抓包工具的使用
qq_42477665的博客
07-28 4004
wireshark抓包工具的使用概述使用 概述 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换 使用 1、 查看自己的IP地址和MAC地址。Windows系统用命令提示符查看,在运行中输入CMD,或在开始菜单“Windows附件”/“Windows系统”中打开命令提示符。在命令提示符中输入ipconfig -all,查看本机物理地址和I
wireshark使用
夏沫的杂物间
10-15 4671
Wireshark网络工具的一些操作分析及说明。。
wireshark使用手册
01-03
网络抓包神器wireshark的高级使用技巧
Wireshark 用户使用手册 ———— 文件处理
永远的菜鸡小詹的博客
10-18 4621
文章目录打开捕获文件打开的文件格式保存抓包保存的文件格式合并捕获文件导入十六进制Import From Hex Dump 对话框  我们将介绍捕获数据的输入和输出,例如打开各种捕获文件格式的捕获文件,以各种格式保存和导出捕获文件,将捕获文件合并在一起,导入包含数据包十六进制转储的文本文件,打印数据包等等操作。 打开捕获文件  “打开捕获文件”对话框允许您搜索包含先前捕获的数据包的捕获文件,以便在 Wireshark 中显示。 以下部分显示了 Wireshark“打开文件”对话框的一些示例。 此对话框的外观取
使用 wireshark 抓本地包
agathakuan的博客
10-28 9743
一般而言 windows 系統本地到本地ip 的傳輸不會經過網卡,因此無法由 wireshark 捕捉解析,本文介紹 wireshark 同步安裝 Npcap方式,藉此loopback本地ip 到 本地ip
wireshark抓包工具详细说明及操作使用
热门推荐
海绵的博客
01-24 20万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS
解决wireshark没有回环地址
寒夜孤星
11-23 4056
windows下,wireshark没有本地回环地址,导致在本地测试时无法抓取数据包。 解决对策:
wireshark如何抓取localhost包
weixin_30567471的博客
01-10 621
1.首先安装NPCAP下载地址:https://nmap.org/download.html安装时,记得勾上最后一个选项:wincap模式安装完成后,一定要重启系统2.安装wireshark在安装过程中,会检测到NPCAP,一步步完成即可。打开后,会看到Loopback Adapter,用这个就可以。 转载于:https://www.cnblogs.com/huiy/p/10250687.htm...
使用wireshark抓包工具 检测不到本地网卡
weixin_33921089的博客
03-22 5623
wireshark 抓包工具无法检测到自身的网卡 下载wireshark 地址:https://www.wireshark.org/download.html 安装,打开后发现没有windows 本身的网卡,查了一下,是Windows 本身抓包服务没有开启。 打开Wireshark Legacy 在Start 下面没有 本地连接 相关的选项,也就是说你抓不到你本地网卡的包 解决方法: 以管理员...
wireshark如何抓取本机包
暗淡亮点的博客
08-10 1968
windows系统没有提供本地回环网络的接口,用wireshark监控网络的话只能看到经过网卡的流量,看不到访问localhost的流量,因为wiresharkwindows系统上默认使用的是WinPcap来抓包的,现在可以用Npcap来替换掉WinPcap,Npcap是基于WinPcap 4.1.3开发的,api兼容WinPcap。 1.下载安装包 Npcap项目主

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值