- 抓包捕获:Capture–>Interface–>网卡
- 数据过滤:Filter过滤规则
- 协议统计/ip统计/端口统计(Statistics)
搜索功能(Ctrl+F)
- Display Filter:显示过滤器,用于查找指定协议所对应的帧
- Hex Value:搜索数据中十六进制字符位置
- String:字符串搜索.Packet list:搜索关键字匹配的info所在帧的位置.Packet details:搜索关键字匹配的info所包括数据的位置.Packet bytes:搜索关键字匹配的内容位置.
Follow Tcp Stream:对于TCP协议,可提取一次回话的TCP流进行分析.右键选择Follow TCP Stream,就可以看到本次回话的文本信息,还具备搜索,另存等功能.在查看tcp数据流的过程中,可以另存为保存.
Wireshark抓包分析首先得具备一定的网络协议知识,熟悉常见协议,对协议进行分层(最好分7层)识别分析.
- 利用WireShark或采集分析设备补货,储存数据包
- 数据链路层:ARP欺骗
网络层:
- 统计ip地址,从中寻找可疑的ip
- ip欺骗行为
- icmp路由欺骗行为
传输层:
- 会话劫持
- 洪水攻击
- 端口扫描
会话层:
- 认证过程:爆破,仿冒,猜解
- 通信过程中的完整性
- 口令,加密的安全性
- 漏洞扫描
- 爬虫,蜘蛛
- 请求域名状态
- 数据结构完整性
表示层:
- 编码协商的完整性
- 通信内容列表
应用层:
Wireshark笔记
最新推荐文章于 2023-11-21 07:00:00 发布