本文介绍了Wireshark的下载和使用方法,包括界面组件、协议层次分析、流量过滤以及如何查看和分析HTTP流。重点讨论了利用Wireshark检测常见的Web安全漏洞,如SQL注入、XSS攻击、远程代码执行(RCE)、文件上传和文件包含漏洞的流量特征。
HVV笔记——流量分析(wireshark使用)
1 Wireshark下载
2 界面
主界面
分组列表
将抓取到的流量分组呈现
分组详情
将流量以TCP/IP 4层模型展示,从上到下依次为网络接口层、网际层IP、运输层(TCP或UDP)、应用层(telnet、ftp、smtp等)
- Frame :物理层的数据帧概况。
- Ethernet II :数据链路层以太网帧头部信息。
- Internet Protocol Version 4 : 互联网层E 包头部信息。
- Transmission Control Protocol :传输层的数据段头部信息,此处是TCP 协议。
- Hypertext Transfer Protocol :应用层的信息,此处是HTTP 协议。
上图中右侧为指定层的流量详情,以字节流的形式展现(16进制)。
工具栏
菜单栏
协议分级
统计→协议分级,可以大致看到抓获的数据包的主要协议情况
会话
统计→会话可以查看IP连接信息统计
过滤
过滤选项一般遵循如下的原则,协议名.字段名 比较符号 值比如:
tcp.dstport == 80 // 只显tcp协议的目 标端口80
tcp.srcport == 80 // 只显tcp协议的来 源端口80
tcp.port >= 1 //过滤端口大于一
如果要筛选出http协议的了流量包,直接在过滤框中输入http即可。
还可以指定数据包中某个字段作为筛选规则,比如筛选出源地址为192.168.101.128的流量,首先要在四层模型中找到网际层(ipv4协议),找到Source Address字段,右击选择作为过滤器应用→选中即可:
查看流量包详细信息
流量包数据可以在四层模型下的应用层查看,但是查看详细的请求响应数据,则要右击数据分组→选择追踪流→HTTP流(举例)
3 常见web漏洞流量分析
3.1 SQL注入
3.2 XSS
3.3 RCE
3.4 文件上传
3.5 文件包含
扫一扫
479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
