Wireshark数据抓包教程之Wireshark捕获数据

网络安全 专栏收录该内容
459 篇文章 3 订阅

Wireshark数据抓包教程之Wireshark捕获数据

Wireshark抓包方法

在使用Wireshark捕获以太网数据,可以捕获分析到自己的数据包,也可以去捕获同一局域网内,在知道对方IP地址的情况下,捕获到对方的数据包。

Wireshark捕获自己的数据包

如果客户端经过路由器直接上网,如图1.28所示。在该图中,PCA安装Wireshark,可以在该主机上直接捕获自己的数据。


1.28  在主机上捕获数据

Wireshark捕获别人的数据包

如果都在一个局域网内,而且知道别人的IP地址的话,也可以利用Wireshark捕获到别人的数据包。具体方法如下:

1.端口映射

局域网内,在同一交换机下工作的PC机,如图1.29所示。PCAPCB在同一交换机下工作,PCA安装Wireshark后,把交换机上任意一个PC机的数据端口做镜像,设置交换机来复制所有数据到用户交换端口下的Wireshark端口,这时PCA就可以抓取到其他PC机的数据了,如抓取PCB的数据。

2.使用集线器

我们可以把图1.29中的交换机换成集线器,这样的话所有的数据包都是通发的。也就是说,不管是谁的数据包都会发到这个集线器上的每一个计算机。只要将网卡设置为混杂模式就能抓到别人的包。

3.利用ARP欺骗

我们都知道,发送、接受数据都要经过路由器,如图1.30所示。该图中PCA安装Wireshark后,可以利用ARP欺骗,来抓取PCBPCCPCBPCC之间的数据包了。PCA在局域网内发送ARP包,使其他计算机都误以为它是网关。这样的话,其他计算机都会将它们的数据包发送到PCA那里,因此PCA就可以抓到它们的包了。


1.29  捕获PCB数据包              1.30  捕获数据包

Wireshark捕获数据

通过上述的学习,下载安装好Wireshark后,就可以利用它来捕获数据了。下面以开发版(中文版)1.99.7为例讲解如何来捕获数据。

Wireshark如何捕获数据

Windows窗口程序中启动Wireshark,如图1.31所示的界面。


1.31  Wireshark主界面 1.32  捕获网络数据

在该界面可以看到本地连接、VMware Network Adapter VMnet1VMware Network Adapter VMnet8,这是3个捕获网络接口。本机中有3个,如果使用其他电脑网络捕获接口可能是不同的。只有选择了捕获网络接口,才能进行捕获网络数据。因此首先选择网络接口。这里选择本地连接作为捕获网络接口,然后单击图中按钮,将进行捕获网络数据,如图1.32所示。 

单击图中的按钮停止捕获。我们可以把捕获到的数据保存起来。单击图中的按钮,显示如图1.33所示的界面。


1.33  保存捕获数据 1.34  打开捕获文件

在该界面可以选择保存捕获数据的位置,并对保存的文件进行命名。然后单击“保存”按钮即可。这里保存在桌面,文件名称为Wireshark

Wireshark打开捕获文件

当我们把捕获到的数据保存起来,以便下次查看。那么怎么去打开已经捕获好的文件呢?这里将做一个介绍。

1在启动Wireshark的界面中,单击打开按钮,弹出打开对话框,如图1.34所示。 

2在该界面选择捕获文件保存的位置,然后单击“打开”按钮即可打开捕获的文件。

Wireshark快速入门

在学会使用Wireshark捕获数据的基础上,还要进一步的理解Wireshark各部分的用途。本节将进行详细讲解。

Wireshark主窗口界面介绍

打开一个捕获文件,如图1.35所示:


1.35  Wireshark主窗口界面   1.36  菜单栏

在图1.35中,以编号的形式已将Wireshark每部分标出。下面分别介绍每部分的含义,如下所示:

  • q  ①标题栏——用于显示文件名称、捕获的设备名称。

  • q  ②菜单栏——Wireshark的标准菜单栏。

  • q  ③工具栏——常用功能快捷图标按钮。

  • q  ④显示过滤区域——减少查看数据的复杂度。

  • q  Packet List面板——显示每个数据帧的摘要。

  • q  Packet Details面板——分析封包的详细信息。

  • q  Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。

  • q  ⑧状态栏——分组、已显示、已标记帧的数量,配置文件。

以上简单的介绍了Wireshark主窗口界面的各部分的含义,下面对每一个部分进行详细的介绍

Wireshark菜单栏介绍

Wireshark的菜单栏界面如图1.36所示。在该界面中被涂掉的两个菜单,在工具栏中进行介绍。 

该菜单栏中每个按钮的作用如下所示:

  • q  文件:打开文件集、保存包、导出HTTP对象。

  • q  编辑:搜索包、标记包及设置时间属性等。

  • q  视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色等。

  • q  分析:创建显示过滤器宏、查看启用协议、保存关注解码。

  • q  统计:构建图表并打开各种协议统计窗口。

  • q  电话:执行所有语音功能(图表、图形、回放)

  • q  蓝牙:ATT服务设置。

  • q  帮助:学习Wireshark全球存储和个人配置文件

Wireshark工具栏介绍

当用户详细了解工具栏中每个按钮的作用后,用户就可以快速的进行各种操作。在工具栏中,每个按钮的作用如图1.37所示。


1.37  工具栏   1.38  Wireshark面板

Wireshark面板介绍

Wireshark有三个面板,分别是Packet List面板、Packet Details面板、Packet Bytes面板。这三个面板的位置,如图1.38所示。 

在该界面将三个面板已经标出。这三个面板之间是互相关联的,如果希望在Packet Details面板中查看一个单独的数据包的具体内容,必须在Packet List面板中单击选中那个数据包。选中该数据包之后,才可以通过在Packet Details面板中选择数据包的某个字段进行分析,从而在Packet Bytes面板中查看相应字段的字节信息。下面介绍面板的内容。

1.Packet List面板

该面板用表格的形式显示了当前捕获文件中的所有数据包。从图1.38中,可以看到该面板中共有七列,每列内容如下所示:

  • q  NoNumber)列:包的编号。该编号不会发生改变,即使使用了过滤也同样如此。

  • q  Time列:包的时间戳。时间格式可以自己设置。

  • q  SourceDestination列:显示包的源地址和目标地址。

  • q  Protocol列:显示包的协议类型。

  • q  Length列:显示包的长度。

  • q  Info列:显示包的附加信息。

在该面板中,可以对面板中的列进行排序、调整列位置、隐藏列、显示列、重命名或删除列等操作。下面以例子的形式将分别介绍在该面板中可操作的功能。

【实例1-4】演示Packet List面板中可实现的功能。如下所示:

1列排序

打开一个捕获文件http.pcapng,如图1.39所示。


1.39  http.pcapng捕获文件 1.40  排序Protocol

该界面显示了http.pcapng捕获文件中的数据包。默认Wireshark是以数据包编号由低到高排序。例如,要对Protocol列排序,单击Protocol列标题,将显示如图1.40所示的界面。

将该界面与图1.39进行比较,可以发现有很大变化。从该界面可以看到No列的顺序发生了变化,协议列开始都为ARP

2移动列位置

如移动http.pcapng捕获文件中的Protocol列,到Time后面。使用鼠标选择Protocol列,然后拖拽该列到Time后面,将显示如图1.41所示的界面。


1.41  移动Protocol 1.42  列操作选项

3隐藏、重命名、删除列

在捕获文件http.pacpng中,右键单击Packet List面板的任意列标题,将弹出一个下拉菜单,如图1.42所示。

  • q  隐藏列、恢复列:在弹出的菜单中可以看到Packet List面板中的七列标题前都有对勾。想隐藏哪列,单击该列,对勾消失菜单消失该列隐藏。如想恢复该列,右击Packet List面板中任意列的标题,以同样的方式即可恢复。

  • q  重命名列:在弹出的菜单中单击编辑列,显示如图1.43所示的界面。


1.44  Wireshark首选项

该界面出现在Packet List面板的上方,在该界面的左端的标题文本框进行重命名。然后单击右端的确定按钮即可

  • q  删除列、恢复列:在弹出的菜单中单击最下面的删除本列选项即可。恢复列需单击Column Preferences...选项,(或者在菜单栏中依次选择“编辑”|“首选项”,在弹出的界面左侧单击列即可)弹出Wireshark首选项框。如图1.44所示。 

单击左下角的按钮,自动新建了一个标题为New Column的列,并且类型为Number。可以双击标题和类型进行更改。创建好以后单击OK按钮即可。

Wireshark中,还可以对Packet List面板中所有数据包进行许多操作,如标记、忽略、设置分组等。用户可以通过右键单击任何一个数据包,查看可用的选项,如图1.45所示。


1.45  可用选项 1.46  菜单栏 

在该界面显示了在Packet List面板中,数据包的可用选项。在该选项中,使用标记分组可以快速的找出有问题的数据包。

2.Packet Details面板

该面板分层次地显示了一个数据包中的内容,并且可以通过展开或收缩来显示这个数据包中所捕获到的全部内容。

Packet Details面板中,默认显示的数据的详细信息都是合并的。如果要查看,可以单击每行前面的小三角展开帧的会话。用户也可以选择其中一行并右键单击,弹出菜单栏。如图1.46所示。 

在菜单栏中选择展开子树(单个会话)或展开全部会话。

3.Packet Bytes面板

该面板中的内容可能是最令人困惑的。因为它显示了一个数据包未经处理的原始样子,也就是其在链路上传播时的样子。

在该面板中的数据是以十六进制和ASCII格式显示了帧的内容。当在Packet Details面板中选择任意一个字段后,在Packet Bytes面板中包含该字段的字节也高亮显示。如果不想看到Packet Bytes面板的话,可以在菜单栏中依次选择“视图”|“分组字节流(B)”命令将其关闭。当查看的时候,使用同样的方法将其打开。

Wireshark状态栏介绍

状态栏是由两个按钮和三列组成的。其中,这三列的大小在必要时可以调整。状态栏中每部分含义如图1.47所示。


1.47  状态栏

下面分别详细介绍下状态栏中每部分的作用。如下所示:

  • q  :该按钮是专家信息按钮。该按钮的颜色是为了显示包含在专家信息窗口中最高水平的信息。专家信息窗口可以提醒用户,在捕获文件中的网络问题和数据包的注释

  • q  :该按钮是捕获文件注释按钮。单击该按钮,可以添加、编辑或查看一个捕获文件的注释。该功能只可以在以.pcapng格式保存的捕获文件使用。

  • q  第一列(获取字段、捕获或捕获文件信息):当在捕获文件中选择某个字段时,在状态栏中将可以看到文件名和列大小。如果点击Packet Bytes面板中的一个字段,将在状态栏中会显示其字段名,并且Packet Details面板也在发生着变化。

  • q  第二列(包数):当打开一个捕获文件时,在状态栏中的第二列将显示该文件的总包数。在图1.47中,显示了捕获的数据包数量、显示包数和加载时间。如果当前捕获文件中有包被标记,则状态栏中将会出现标记包数。

  • q  第三列(配置文件):表示当前使用的文件。在图1.47中,表示正在使用Default 文件。文件可以创建,这样就可以自己定制Wireshark的环境。

本文选自:Wireshark数据抓包基础教程大学霸内部资料,转载请注明出处,尊重技术尊重IT人!


  • 5
    点赞
  • 0
    评论
  • 11
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

第1章 数据包分析技术与网络基础 1.1数据包分析与数据包嗅探器 1.1.1评估数据包嗅探器 1.1.2数据包嗅探器工作原理 1.2网络通信原理 1.2.1协议 1.2.2七层OSI参考模型 1.2.3数据封装 1.2.4网络硬件 1.3流量分类 1.3.1广播流量 1.3.2多播流量 1.3.3单播流量 1.4小结 第2章 监听网络线路 2.1混杂模式 2.2在集线器连接的网络中进行嗅探 2.3在交换式网络中进行嗅探 2.3.1端口镜像 2.3.2集线器输出 2.3.3使用网络分流器 2.3.4ARP欺骗 2.4在路由网络环境中进行嗅探 2.5部署嗅探器的实践指南 第3章 Wimshark入门 3.1Wireshark简史 3.2 Wireshark的优点 3.3安装Wireshark 3.3.1在微软Windows系统中安装 3.3.2在Linux系统中安装 3.3.3在Mac OS X系统中安装 3.4 Wireshark初步入门 3.4.1第一次捕获数据包 3.4.2Wireshark主窗口 3.4.3Wireshark首选项 3.4.4数据包彩色高亮 第4章 玩转捕获数据包 4.1使用捕获文件 4.1.1保存和导出捕获文件 4.1.2合并捕获文件 4.2分析数据包 4.2.1查找数据包 4.2.2标记数据包 4.2.3打印数据包 4.3设定时间显示格式和相对参考 4.3.1时间显示格式 4.3.2数据包的相对时间参考 4.4设定捕获选项 4.4.1捕获设定 4.4.2捕获文件设定 4.4.3停止捕获选项 4.4.4显示选项 4.4.5名字解析选项 4.5使用过滤器 4.5.1捕获过滤器 4.5.2显示过滤器 4.5.3保存过滤器 第5章 Wireshark高级特性 5.1 网络端点和会话 5.1.1查看端点 5.1.2查看网络会话 5.1.3使用端点和会话窗口进行问题定位 5.2基于协议分层结构的统计数据 5.3名字解析 5.3.1开启名字解析 5.3.2名字解析的潜在弊端 5.4协议解析 5.4.1更换解析器 5.4.2查看解析器源代码 5.5跟踪TCP流 5.6数据包长度 5.7图形展示 5.7.1查看IO图 5.7.2双向时间图 5.7.3数据流图 5.8专家信息 第6章 通用底层网络协议 6.1地址解析协议 6.1.1 ARP头 6.1.2数据包1:ARP请求 6.1.3数据包2:ARP响应 6.1.4无偿的ARP 6.2互联网协议 6.2.1 IP地址 6.2.2IPv4头 6.2.3存活时间 6.2.4IP分片 6.3传输控制协议 6.3.1TCP头 6.3.2TCP端口 6.3.3TCP的三次握手 6.3.4TCP终止 6.3.5TCP重置 6.4用户数据报协议 6.5互联网控制消息协议 6.5.1ICMP头 6.5.2ICMP类型和消息 6.5.3Ech0请求与响应 6.5.4路由跟踪 第7章 常见高层网络协议 7.1动态主机配置协议DHCP 7.1.1DHCP头结构 7.1.2DHCP续租过程 7.1.3DHCP租约内续租 7.1.4DHCP选项和消息类型 7.2域名系统 7.2.1DNS数据包结构 7.2.2一次简单的DNS查询过程 7.2.3DNS问题类型 7.2.4DNS递归 7.2.5DNS区域传送 7.3超文本传输协议 7.3.1使用HTTP浏览 7.3.2使用HTTP传送数据 7.4小结 第8章 基础的现实世界场景 8.1数据包层面的社交网络 8.1.1捕获Twitter流量 8.1.2捕获Facebook流量 8.1.3比较Twitter和Facebook的方法 8.2捕获ESPN.tom流量 8.2.1使用会话窗口 8.2.2使用协议分层统计窗口 8.2.3查看DNS流量 8.2.4查看HTTP请求 8.3现实世界问题 8.3.1无法访问Intemet:配置问题 8.3.2无法访问Intemet:意外重定向 8.3.3无法访问Intemet:上游问题 8.3.4打印机故障 8.3.5分公司之困 8.3.6生气的开发者 8.4小结 第9章 让网络不再卡 9.1 TCP的错误恢复特性 9.1.1TCP重传 9.1.2TCP重复确认和快速重传 9.2 TCP流控制 9.2.1调整窗口大小 9.2.2用零窗口通知停止数据流 9.2.3TCP滑动窗口实战 9.3从TCP错误控制和流量控制中学到的 9.4定位高延迟的原因 9.4.1正常通信 9.4.2慢速通信——线路延迟 9.4.3慢速通信——客户端延迟 9.4.4慢速通信——服务器延迟 9.4.5延迟定位框架 9.5网络基线 9.5.1站点基线 9.5.2主机基线 9.5.3应用程序基线 9.5.4基线的其他注意事项 9.6小结 第10章 安全领域的数据包分析 10.1 网络侦察 10.1.1SYN扫描 10.1.2操作系统指纹术 10.2漏洞利用 10.2.1极光行动 10.2.2ARP缓存中毒攻击 10.2.3远程访问特洛伊木马 10.3小结 第11章 无线网络数据包分析 11.1物理因素 11.1.1一次嗅探一个信道 11.1.2无线信号干扰 11.1.3检测和分析信号干扰 11.2无线网卡模式 1 1.3在Windows上嗅探无线网络 11.3.1 配置AirPcap 11.3.2使用AirPcap捕获流量 11.g在Linux上嗅探无线网络 11.5 802.11数据包结构 11.6在Packet List面板增加无线专用列 11.7无线专用过滤器 11.7.1筛选特定BSS ID的流量 11.7.2筛选特定的无线数据包类型 11.7.3筛选特定频率 11.8无线网络安全 11.8.1成功的WEP认证 11.8.2失败的WEP认证 11.8.3成功的WPA认证 11.8.4失败的WPA认证 11.9小结 附录A 延伸阅读
©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值