【工具】Wireshark使用

SecureCode

已于 2023-10-03 17:01:20 修改

阅读量536

点赞数

文章标签： wireshark websocket c++

于 2023-04-20 22:07:14 首次发布

本文链接：https://blog.csdn.net/crr411422/article/details/130276982

版权

一、wireshark是什么？

wireshark是非常流行的网络封包分析软件，简称小鲨鱼，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

wireshark是开源软件，可以放心使用。可以运行在Windows和Mac OS上。对应的，linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。 .

二、Wireshark常用应用场景

1. 网络管理员会使用wireshark来检查网络问题

2. 软件测试工程师使用wireshark抓包，来分析自己测试的软件

3. 从事socket编程的工程师会用wireshark来调试

4. 运维人员用于日常工作，应急响应等等总之跟网络相关的东西，都可能会用到wireshark

三、Wireshark抓包原理

Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 Wireshark使用的环境大致分为两种，一种是电脑直连网络的单机环境，另外一种就是应用比较多的网络环境，即连接交换机的情况。

「单机情况」下，Wireshark直接抓取本机网卡的网络流量；

「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。

ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。

四、Wireshark 开始抓包示例

先介绍一个使用wireshark工具抓取ping命令操作的示例，让读者可以先上手操作感受一下抓包的具体过程。

1、打开wireshark 4.0.2，主界面如下：

2、选择菜单栏上捕获 -> 选项，勾选WLAN网卡。这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡。点击Start，启动抓包。

3、wireshark启动后，wireshark处于抓包状态中。

4、执行需要抓包的操作，如在cmd窗口下执行ping www.baidu.com。

5、操作完成后相关数据包就抓取到了，可以点击停止捕获分组按钮。.

6、为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤，获取结果如下。说明：ip.addr == 183.232.231.172 and icmp 表示只显示ICPM协议且主机IP为183.232.231.172的数据包。说明：协议名称icmp要小写。

7、wireshark抓包完成，并把本次抓包或者分析的结果进行保存，就这么简单。关于wireshark显示过滤条件、抓包过滤条件、以及如何查看数据包中的详细内容在后面介绍。

五、Wireshakr抓包界面介绍

Wireshark 的主界面包含6个部分：

菜单栏：用于调试、配置
工具栏：常用功能的快捷方式
过滤栏：指定过滤条件，过滤数据包
数据包列表：核心区域，每一行就是一个数据包
数据包详情：数据包的详细数据
数据包字节：数据包对应的字节流，二进制

说明：数据包列表区中不同的协议使用了不同的颜色区分。

协议颜色标识定位在菜单栏视图 --> 着色规则。如下所示

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)，用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze --> Display Filters。

2. Packet List Pane(数据包列表)，显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame: 物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息

（3）Internet Protocol Version 4: 互联网层IP包头部信息

（4）Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

4. Dissector Pane(数据包字节区)。

六、Wireshark过滤器设置

初学者使用wireshark时，将会得到大量的冗余数据包列表，以至于很难找到自己需要抓取的数据包部分。wireshark工具中自带了两种类型的过滤器，学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

（1）抓包过滤器

捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

如何使用？可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下：

（2）显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。同样上述场景，在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包，如下

执行ping www.huawei.com获取的数据包列表如下

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。下面介绍一下两者间的语法以及它们的区别。

wireshark过滤器表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104

（3）端口过滤

port 80
src port 80
dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表

（3） ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表
ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表
ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

（4）端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

看到这，基本上对wireshak有了初步了解。

七、Wireshark抓包分析TCP三次握手

（1）TCP三次握手连接建立过程

Step1：客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接，这是第一次握手；
Step2：服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；
Step3：服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。

（2）wireshark抓包获取访问指定服务端数据包

Step1：启动wireshark抓包，打开浏览器输入www.huawei.com。
Step2：使用ping www.huawei.com获取IP。

Step3：输入过滤条件获取待分析数据包列表 ip.addr == 211.162.2.183

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的，这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP，标志位为SYN，序列号为0，代表客户端请求建立连接。如下图。

数据包的关键属性如下：

SYN ：标志位，表示请求建立连接
Seq = 0 ：初始建立连接值为0，数据包的相对序列号从0开始，表示当前还没有发送数据
Ack =0：初始建立连接值为0，已经收到包的数量，表示当前没有接收到数据

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

数据包的关键属性如下：

[SYN + ACK]: 标志位，同意建立连接，并回送SYN+ACK
Seq = 0 ：初始建立值为0，表示当前还没有发送数据
Ack = 1：表示当前端成功接收的数据位数，虽然客户端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位。（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据）

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

数据包的关键属性如下：

ACK ：标志位，表示已经收到记录
Seq = 1 ：表示当前已经发送1个数据
Ack = 1 : 表示当前端成功接收的数据位数，虽然服务端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据)。

就这样通过了TCP三次握手，建立了连接。开始进行数据交互

下面针对数据交互过程的数据包进行一些说明：

数据包的关键属性说明

Seq: 1
Ack: 1: 说明现在共收到1字节数据

Seq: 1
Ack: 951: 说明现在服务端共收到951字节数据

八、TCP的六种状态

SYN, FIN, ACK, PSH, RST, URG

在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN(synchronous), FIN(Finish), ACK（Acknowledge ）, PSH(Push), RST(Reset), URG（Urgent）。如下

其中，对于我们日常的分析有用的就是前面的五个字段。它们的含义是：SYN表示建立连接，FIN表示关闭连接，ACK表示响应，PSH表示有DATA数据传输，RST表示连接重置。

九、Wireshark抓包分析TCP四次挥手

四次挥手标志分别为：

"[FIN, ACK]"
"[ACK]"
"[FIN, ACK]"
"[ACK]"

这里，我们需要注意两点：

（1）客户端与服务器端传输时全双工的，因此断开请求既可以由客户端发起，也可以由服务器端发起。只要找准第一次出现"[FIN, ACK]"的位置，就是第一次挥手位置。
（2）为什么我们抓包抓到的不是“四次挥手”，而是“三次挥手”呢？

这里涉及到LInux的TCP时延机制，当被挥手端（这里是12672端口）第一次收到挥手端（这里是443端口）的“FIN”请求时，并不会立即发送ACK，而是会经过一段延迟时间后再发送，但是此时被挥手端也没有数据发送，就会向挥手端发送“FIN"请求，这里就可能造成被挥手端发送的“FIN”与“ACK”一起被挥手端收到，导致出现“第二、三次挥手”合并为一次的现象，也就最终呈现出“三次挥手”的情况。

三次握手：

第一次握手：客户端发送syn包(seq=x)到服务器，并进入SYN_SENT状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN（ack=x+1），同时自己也发送一个SYN包（seq=y），即SYN+ACK包，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=y+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

握手过程中传送的包里不包含数据，三次握手完毕后，客户端与服务器才正式开始传送数据。理想状态下，TCP连接一旦建立，在通信双方中的任何一方主动关闭连接之前，TCP 连接都将被一直保持下去。
四次挥手：
与建立连接的“三次握手”类似，断开一个TCP连接则需要“四次握手”。

第一次挥手：主动关闭方发送一个FIN，用来关闭主动方到被动关闭方的数据传送，也就是主动关闭方告诉被动关闭方：我已经不会再给你发数据了(当然，在fin包之前发送出去的数据，如果没有收到对应的ack确认报文，主动关闭方依然会重发这些数据)，但是，此时主动关闭方还可以接受数据。
第二次挥手：被动关闭方收到FIN包后，发送一个ACK给对方，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号）。
第三次挥手：被动关闭方发送一个FIN，用来关闭被动关闭方到主动关闭方的数据传送，也就是告诉主动关闭方，我的数据也发送完了，不会再给你发数据了。
第四次挥手：主动关闭方收到FIN后，发送一个ACK给被动关闭方，确认序号为收到序号+1，至此，完成四次挥手。

首先我们需要把浏览器的页面关闭，也就是断开TCP/IP连接，之后等待几分钟。会出现下面的画面，方框就是“挥手”过程。

十、FAQ：使用wireshark出现很多TCP Retransmission信息

出现TCP Retransmission多数是因为目标主机的端口没开有开放监听，很少出现是网络不好导致的。
如果在某个时间段（RTT的倍数）内没有确认发送的数据，则将数据重新传输到远程主机。重传超时从RTT开始，并随着每次重传而增加一倍。重传超时总是受限于CFGZ-MNRTO和CFGYMax RTO。如果自从第一次传输数据以来，CFGY-ReTrExtTMO时间就过去了，连接被关闭，即状态被设置为关闭。注意，当一个套接字被关闭时，将响应于接收到的端口所发送的任何数据包来发送重置。

当超时发生时，将重新发送输出窗口中的所有未确认数据。数据被重新打包，因此，包将不与原始包相同。例如，如果以10字节的数据发送分组，则发送具有30字节数据的分组，并且第一分组丢失，40字节的未确认数据将在输出窗口中。当超时发生时，所有40个字节将在一个分组中发送（假设MSS大于或等于40）。

如果接收到三个重复的确认，则快速重传算法无需等待超时即可重传TCP数据。RTIP32还实现了RFC 2582中定义的NeReNeO快速恢复算法。

参考：wireshark使用教程及过滤语法总结——血泪史的汇聚 - Captured network data and network protocol analyzer - 周陆军的个人网站