一、软件简介
WireShark是目前全球使用最广泛的开源抓包软件,前身为Ethereal,是个通用化的网络数据嗅探和分析器,如果是网络工程师,可以通过WireShark对网络进行故障定位和排错,如果是安全工程师,可以通过WireShark对网络中黑客渗透攻击进行快速定位并找出攻击源,如果是测试或者软件工程师,可以对WireShark分析底层通信机制。
学习前建议先学习《计算机网络》,理解TCP/IP协议栈的工作原理,了解几个重要的协议工作原理,如TCP协议,IP协议,ARP协议,UDP协议,ICMP协议等,一起加油吧。
首先要下载安装软件,官网戳这里:https://www.wireshark.org/,根据自己电脑造作系统选择对应的安装版本,友情提示,在官网下载会很慢,因为官网镜像源在国外,推荐一个方法:迅雷,我是使用chrome的浏览器,打开下载后,将下载地址复制到迅雷,网速蹭蹭蹭的就上去了。后面再使用的时候,谷歌的浏览器会自动将迅雷的程序坞添加到扩展程序坞,就不用这么麻烦了。
wireshark抓包的原理实现
- 对于本机环境,它抓取的是本机网卡的进出流量,即本机网卡所发送出去的和接收进来的所有的包都可以抓取到。
- 对于集线器(物理层)环境,它可以抓取局域网(集线器不可分割冲突域和广播域)中的所发送的包,包括没有发送给自己的包。
- 对于交换机(数据链路层)环境,可以抓取局域网冲突域的包,但是交换机会将冲突域分割开来,所以不在一个冲突域中的就无法抓取到另一个冲突与众发给别人的数据包。包括通过端口镜像、ARP欺骗、MAC泛洪来抓包
二、软件安装
跟一般的软件安装一样,一路下一步按照默认设置进行安装,安装路径尽量设置全英文的路径,如果C盘无压力默认路径即可。我因为不是第一次安装了,所以打开界面是这样的,一般首次安装会出现一个欢迎界面,而且是全英文的,我这个也是在官网下载的但是是中文版的,不知道怎么回事,无所谓啦,这些都是小问题,但是建议刚开始使用使用英文版的,因为后面如果工作用的话大多数是英文的,可能到时候会需要时间转变。
本机环境:Windows10+WireShark3.2.1
可以看到,显示的接口中有的有波动,应为我是使用的无限WLAN,所以这里直接双击即可开始捕获这个借口的所有数据包,如下,默认的是没有任何的过滤的,右侧显示的是协议,可以看出有oicq(即QQ),TCP,UDP等等,中间圈住的是列标题包括时间time,源IP地址source和目的IP地址destination,还有info简单信息,最后一列为长度。
可以看到,这个界面一共分成了三个区,1区为所有抓取到包的列表,当我们点击一区任意一行(即一个数据包),2区将会发生变化,即2区为你所点击那个数据包的详细信息,只不过按照协议栈的方式折叠了,我们可以按照分层的结构来分析这个数据包,3区为数据包格式转换后的16进制。
如果我们想要抓取一个数据包,并分析它,可以把它先保存下来,只需要点击它哪一行,然后在文件(File)->另存为(save as),这里保存的格式有很多种,这里我们先默认,命名后保存即可,然后即可进行离线分析数据包。
970
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
