wireshark学习（一）

一、安装使用遇到问题：

1、在官网地址下载安装即可

2、安装完成后发现首页不显示当前的网络地址，此时可以下载安装winpcap 4.1.3，测试机器为win10，下载版本 winpcap 4.1.3(https://download.csdn.net/download/lingdukafeibj/86401538)，下载直接安装即可；

安装完成后在 C:/windows/SysWOW64 下删除 wpcap.dll 和 packet.dll 如果此目录没有这两个可以不必理会，安装下载好的 winpcap4.1.3 首页不显示网络的问题即可解决。

3、此时首页显示即可进行抓取本地的网络包：

二、过滤器的使用：

需要过滤源ip、目的ip的时候：就输入ip.dst==172.27.192.59，查找源地址为ip.src==172.27.11192.14；这样就可以进行ip过滤了。

 2.另外我们还有过滤端口的功能，就比如我们需要过滤80端口，就在Filter中输入tcp.port==80，可以将源端口和目的端口为80的都过滤出来。

3.其中还有过滤协议的操作，是比较简单的，直接在其中输入协议名即可，就比如常用到的HTTP协议。

三、三次握手

 从上图可以看到，被框出来的三条数据包，就是我们三次握手的三次数据交换

初始状态：客户端和服务端均处于close状态

①第一次握手：客户端给服务端发一个 SYN 报文，并指明客户端的初始化序列号 ISN。此时客户端处于 SYN_SENT 状态。

首部的同步位SYN=1，初始序号seq=x，SYN=1的报文段不能携带数据，但要消耗掉一个序号。

②第二次握手：服务器收到客户端的 SYN 报文之后，会以自己的 SYN 报文作为应答，并且也是指定了自己的初始化序列号 ISN(s)。同时会把客户端的 ISN + 1 作为ACK 的值，表示自己已经收到了客户端的 SYN，此时服务器处于 SYN_RCVD 的状态。在确认报文段中SYN=1，ACK=1，确认号ack=x+1，初始序号seq=y。

③第三次握手：客户端收到 SYN 报文之后，会发送一个 ACK 报文，当然，也是一样把服务器的 ISN + 1 作为 ACK 的值，表示已经收到了服务端的 SYN 报文，此时客户端处于 ESTABLISHED 状态。服务器收到 ACK 报文之后，也处于 ESTABLISHED 状态，此时，双方已建立起了连接。

三次握手完成！

四、抓包后分析结果

（1）Frame:   物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息

（3）Internet Protocol Version 4: 互联网层IP包头部信息

（4）Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

因此上面的Transmission Crontrol Protocal 层显示的最多每个字段的含义

SYN表示建立连接ci'scisih

FIN表示关闭连接

ACK表示响应

PSH表示有DATA数据传输

RST表示连接重置

五、ubuntu 使用wireshark抓取https协议包

编辑~/.profile文件（为什么编辑它而不是~/.bashrc？因为~/.profile中的变量可以用于所有软件，而~/.bashrc里的变量只能用在Terminal中，即Ctrl + Alt + T打开的终端。而通常我们打开Chrome浏览器是直接点击图标，而不是在Terminal运行google-chrome命令。）

export SSLKEYLOGFILE=/home/ndsec/sslkey.log

菜单栏Edit——Preferences——Protocols——SSL（注意，找不到SSL，TLS也可以）

 此时再次使用wireshark抓包即可看到抓取的内容：

2、centos如果遇到这样的问题，首先确认的是需要root权限，因为访问这些设备需要 root权限

（亲测有效）

参考链接：https://blog.csdn.net/weixin_42818547/article/details/115473664

 wireshark抓包分析数据怎么看 wireshark使用教程【新手必看】_IT备忘录

centos 如何安装wireshark指定版本：参考这篇文章

Centos/Linux 源码安装wireshark与tshark任意版本_呆萌的代Ma的博客-CSDN博客