Wireshark(前称Ethereal)是一个网络封包分析软件。
我主要分为两个板块来讲wireshark的抓包分析:
1、软件使用部分:主要说明wireshark使用过程中一些值得注意的部分。
如果你打算认真系统学习的话,那么最好看看用户手册,但是对一般人而言,我更觉得在有限的时间内学到最主要的东西更重要。
http://man.lupaworld.com/content/network/wireshark/index.html
2、HTTP抓包实现(这个版块放到下一篇blog吧,然后配合木马检测的内容)
软件使用部分:这里安装、抓取报文的部分我不打算介绍,主要说明wireshark实用的几个功能和特征。
(1)着色规则(报文以绿色,蓝色,黑色等不同颜色显示出来。Wireshark通过颜色让各种流量的报文一目了然)
(2)过滤(可以分为捕获过滤器和显示过滤器,前者在捕获的时候已经自动丢弃不符合要求的包)
(3)审查报文
(1)着色规则:默认绿色是TCP报文,深蓝色是DNS,浅蓝是UDP,黑色标识出有问题的TCP报文
tcp.analysis.flags:显示所有包含TCP分析标识的所有报文,包括报文丢失,重传,或零窗口标识。
tcp.analysis.window_update 将传输过程中的TCP window大小图形化。如果看到窗口大小下降为零,这意味着发送方已经退出了,并等待接收方确认所有已传送数据。这可能表明接收端已经不堪重负了。
RST: 连接被服务器复位了,这次的连接不能用了,需要关闭后重新连接
(2)过滤
这位博主总结了一下过滤规则
http://blog.csdn.net/mrbuffoon/article/details/48947109
本图给出的是显示过滤器规则的一些例子,协议、端口、ip等等都可以通过这个方式过滤出来。
(3)审查报文
双击就可以看到具体报文了,但是一般情况下我们右键 -->“ follow tcp stream”
可以查看Tcp流中的应用层数据。