wireshark使用及数据包文件恢复

置顶 已于 2022-11-18 16:14:56 修改
阅读量4.1k 收藏 6
点赞数 3
分类专栏: 安全测试 测试工具 文章标签: wireshark 网络 网络协议
于 2022-11-18 16:14:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hapenl/article/details/127918139
版权

目录

(一)wireshark介绍

【百科】Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
【主要应用】应用于网络运维数据包分析、检测网络安全隐患、用于网络协议学习等。
wireshark提供丰富的操作界面,如下图
在这里插入图片描述
wireshrk的工具下载:https://www.wireshark.org/

(二)wireshark启动

2.1 软件启动

在wireshark启动时要分清楚当前在运行的网卡是哪个,因为wireshark监听的是经过设备的数据流。
wireshark启动
在启动时如果选择错了监听设备就会出现监听不到网络数据包的情况。
wireshark除了能监听网卡外,还可以监听蓝牙设备、USB设备等。

2.2 监听启动

选择监听设备后,进入操作界面,如下:
在这里插入图片描述
点击左上角在这里插入图片描述【开始捕获分组】就可以开始抓包。

(三)wireshark的数据包分析

在启动抓包捕获后,可以在抓包区域看到被捕获的数据包
在这里插入图片描述
从图中可以看到捕获到了不同网络协议的数据,有TLS、ARP、TCP、HTTP等等。
在众多的数据包中可以看见什么样的内容呢?
首先先看看下图
在这里插入图片描述

3.1 TCP三次握手

在图中,前三个数据包描述的TCP的三次握手
在这里插入图片描述
在这里插入图片描述

对应下面的报文分析:
第一次握手:
在这里插入图片描述
第二次握手:
在这里插入图片描述
第三次握手:
在这里插入图片描述

3.2 四次挥手

四次挥手即是解除连接。
在这里插入图片描述
四次挥手过程如下:
在这里插入图片描述
第一次挥手:

  • 客户端向服务器发送FIN数据包以及seq = x、ack = y序号码,请求中断连接;
  • 此时客户端仍可接收数据,但处于FIN WAIT中。

第二次挥手:

  • 服务端接收到客户端的FIN请求后,回复ACK确认包ACK=1
  • 此时将客户端的数据包中的seq值+1作为ack值,将客户端的ack值作为seq值 = y
  • 此时服务端处于CLOSE_WAIT中

第三次挥手:

  • 服务器向客户端发送FIN 数据包(FIN=1,seq = y),以及确认包(ACK = 1, ack = x + 1),用来停止向客户端发送数据
  • 此时是告诉客户端:我的数据也发送完了,不再给你发数据了
  • 此时服务端处于LAST_ACK

第四挥手:

  • 客户端收到 FIN数据包 之后,一样发送一个 ACK 报文作为确认回应,此时将服务端的seq值+1作为ack值,未发送状态,处于TIME_WAIT状态
  • 等待一定时间(2MSL)后,客户端发送ACK响应包给服务端后,客户端进入CLOSE状态,连接结束。

3.3 wireshark数据包分析区与OSI七层模型对应关系

在这里插入图片描述

3.4 数据包过滤

在wireshark抓包中,数据包的量是很大,这就会给数据包分析工作带来不便。因此需要了解掌握wireshark的数据过滤操作。

  • 指定协议过滤:http、tcp、udp、icmp、arp、ssl、usb、ftp等等
  • Ip过滤:
源头地址过滤 ip.src==x.x.x.x ; 
目标地址过滤 ip.dst eq x.x.x.x; ip.dst == x.x.x.x;
地址过滤 ip.addr eq x.x.x.x
  • http特定内容过滤
指定字符过滤:http contains “baidu”
长度过滤:http.content_length<=100 、udp.length<20
数据包内容过滤:http.request.url matches “pingan”
域名过滤:http.host==www.baidu.com
http请求方法过滤:http.request.method==POST

示例如下图:
在这里插入图片描述
在这里插入图片描述

3.5 数据包跟踪

Wireshark提供了一个数据包跟踪的能力,能分析数据包同一个链路下的所有触发的请求。
选择一个数据包右键,【跟踪流】–【TCP流】/【HTTP流】即可追踪整个大数据包的交互响应过程。
在这里插入图片描述
在这里插入图片描述

(四)数据文件恢复

在wireshark的数据包中,选中一个HTTP POST请求,可以在报文分析区中看到对应的DATA数据包,打开Data数据显示的HEX码值,而在报文分析区的右侧有对应HEX的ASCII值。如下图
在这里插入图片描述
拿到了Data数据后要怎么做文件的恢复呢?
借助01Editer :https://www.sweetscape.com/010editor/
拷贝Data值在01Editer中创建HEX文件,粘贴复制,并另存为对应的格式文件即可。
首先要了解常见文件的文件头部的HEX值,来帮助判断对应的文件格式是什么。如下图:
在这里插入图片描述
比如下图的数据包,以504b0304开头,根据上表就可以知道它是zip文件包
在这里插入图片描述
接下来拷贝Data值,在01Editer中创建一个HEX空文件,粘贴Data数据后,另存为对应的zip后缀文件就可以实现文件的恢复
在这里插入图片描述
在这里插入图片描述

Hapen_Lu
关注
专栏目录
Wireshark修改数据包
JacobTsang的博客
11-08 2万+
新版本不行。 旧版本可以:https://www.wireshark.org/download/win64/all-versions/Wireshark-win64-1.12.8.exe
wireshark 流量抓包例题重现
qq_56845076的博客
08-26 1513
wireshark
tcpreplay 回放工具
最新发布
weixin_57632548的博客
07-30 446
随笔记录tcpreplay是一种pcap包的重放工具, 包括(tcpprep、tcprewrite、tcpreplay和tcpbridge),它可以将用ethreal, wireshark工具抓下来的包原样或经过任意修改后重放回去. 它允许你对报文做任意的修改(主要是指对2层, 3层, 4层报文头), 指定重放报文的速度等, 这样tcpreplay就可以用来复现抓包的情景以定位bug。
wireshark读写pcap文件_Tcpreplay:用于*NIX和Windows的Pcap编辑和重放的工具
weixin_32267059的博客
12-29 1142
今天给大家介绍的是一款名叫Tcpreplay的工具,广大研究人员可以利用该工具来在*NIX和Windows平台下实现Pcap的编辑和重放。TcpreplayTcpreplay是一款遵循GPLv3许可证协议的实用工具套件,该工具支持UNIX以及Windows操作系统,可对tcpdump和Ethereal/Wireshark等工具捕捉到的网络流量进行编辑和重放。它可以对客户端和服务器端流量进...
Wireshark数据抓包还原文件
m0_73936732的博客
10-21 3772
Wireshark数据抓包还原文件
Wireshark】通过wireshark抓取的流量还原文件(以zip为例)
A1_3_9_7的博客
01-12 1376
选中media Type右键, 点击导出分组字节流选项。将生成的文件进行命名,需要时什么格式就以什么格式后缀。wireshark打开流量包,通过zip关键字查找。,如有侵权,请联系删除。追踪流可查看详细信息。
Wireshark流量分析还原zip文件
wangluoanquan111的博客
03-01 1107
以下内容为数据取证靶场题目通过提示下载流量包,导入到wireshark开始分析此处发现访问了可疑的压缩包文件通过右键进一步分析以下为该压缩包的请求包和响应包内容,我们需要的是响应包中的响应体选中该http请求后,选择Media Type,右键选择即可将响应体内容导出将保存类型设置为All Files,将文件名设置为压缩文件,保存即可解压该文件得到key值接下来我将给各位同学划分一张学习计划表!
wireshark文件还原
qq_61947585的博客
10-22 3091
wireshark抓取手机QQ发送给电脑的文件,并将其复现
wiresharks抓包分析(tcpdump抓包并还原请求体)
mijichui2153的博客
06-15 843
前言:先说下今天遇到的一个问题。和外部门同学对接消息记录拉取,采用的是pb协议,接口机的L5暴露给对方用以拉取。对方请求后表示IO超时没有收到对应回包,于是对方质疑我方有问题。现需要排查原因,更准确说如何找证据打脸对方。 分析:我方业务是相对成熟的,这种问题大概率是对方发过来的请求不对,例如缺少某些字段导致接口机无法将请求转发给后方业务机。注:经过沟通发现对方不能打印请求体(具体原因也不管了)。思路无非如下(其中第二点是此次研究的重点): ①首先tcpdump抓包看看我方究竟有没有收到对方的请求; .
CTF—wireshark文件还原
weixin_52620919的博客
07-30 2747
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【WiresharkWireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
10.5.2 分析 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
新的捕获文件包含了一个额外的数据包,这个数据包试图通过标准DNS服务端口53使用TCP而不是UDP与172.16.16.250进行通信。通常,DNS使用UDP,但在响应过大或进行区域传送时会切换到TCP。 根据第7章对DNS的讨论,这里...
接口抓包重放测试工具.rar
04-28
burpsuite_pro_v1.7.37.jar 非常好用的接口抓包重放测试工具
发包工具数据包回放工具
01-04
发包工具数据包回放工具
Wireshark抓包全集(85种协议、类别的抓包文件)
08-14
这是在网络上分享的一份比较全面的各种协议报文的总结。里面包含了我们熟悉和不熟悉的很多真实网络报文。
3.4.5 配置文件 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
在《Wireshark 数据包分析实战(第 3 版)》中,作者详细介绍了如何有效地使用这款工具。本节我们将重点讨论配置文件,这是自定义Wireshark工作环境的关键部分。 配置文件Wireshark中的作用主要体现在存储用户...
11.1.1 TCP 重传 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
《11.1.1 TCP 重传 - Wireshark 数据包分析实战(第 3 版)》一文中详细探讨了TCP协议中至关重要的错误恢复机制——TCP重传。TCP重传是针对数据包丢失而设计的,丢失可能由于各种原因,如应用故障、网络拥堵或短暂的...
【愚公系列】2023年04月 wireshark系列-HTTP数据包(上传文件还原)
热门推荐
时光隧道
08-20 5万+
黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,将通过以下三个任务完成那份上传文件的还原。1 )对抓到的包进行显示过滤,找到关键信息。2 )对信息进行跟踪,确定上传文件的TCP流,并保存为二进制原始文件。3 )对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
网络实验-通过wireshark进行HTTP协议分析,并尝试还原图片文件
可可的博客
12-16 2761
在本实验中,我们将通过wireshark进行HTTP协议分析,并尝试还原图片文件。通过实验掌握 网络协议分析理解; Wireshark工具使用。 【环境】 配置说明 根据提供的实验环境,OWASP节点和SeedUbuntu节点之间正常通行时数据包将不会经过Kali节点。攻击节点Kali将通过wireshark抓包监听,从而截获SeedUbuntu和OWASP节点之间的数据包,并可对数据包内容进行分析和还原。 【工具】¶ 实验中的虚拟机kali 【原理】¶ 网络嗅探截获的是在通过封包过程组装的二进制格式原始
使用wireshark捕获http数据包
10-09
使用Wireshark捕获HTTP数据包的步骤如下: 1. 首先,下载并安装WiresharkWireshark是一个免费且开源的网络协议分析工具,可以从官方网站(https://www.wireshark.org/)下载适合你操作系统的版本。 2. 打开Wireshark,并选择要捕获的网络接口。在主界面的左上角可以看到可用的网络接口列表。选择你要捕获的网络接口,比如无线网卡或以太网卡。 3. 开始捕获数据包。点击"开始"按钮(红色圆圈图标)开始捕获数据包Wireshark将开始监听选定的网络接口并显示实时捕获的数据包。 4. 过滤HTTP流量。在Wireshark的过滤器栏中输入"http",这将只显示HTTP相关的数据包,方便你浏览和分析。 5. 浏览捕获的HTTP数据包。通过浏览捕获的数据包列表,你可以查看HTTP请求和响应的详细信息,如URL、头部信息、请求方法、状态码等。 6. 导出HTTP数据包。如果你想保存捕获的HTTP数据包供以后分析使用,可以选择"文件" -> "导出指定的数据包",然后选择保存的文件格式和位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值