目录
1、Wireshark介绍
Wireshark(前称Ethereal)是一个 网络封包分析软件 。网络封包分析软件的功能是结取网络封包,并尽可能 显示出最为详细的网络封包资料。
1.1 Wireshark使用
WinPCAP作为接口,直接与网卡进行数据报文交换。
1.2 支持的协议
Wireshark 在支持协议的数量方面出类拔萃,截至目前已提供了超过850种协议的支持。 这些协议包括从最基础的IP协议协议和DHCP协议到高级的专用协议比如 ApleTalk 和BitTorrent等。由于Wirshank 在开源模式下进行开发,每次更新都会增加些对新协议的支持 。
2.Wireshark主要应用
1、实时抓取数据包并进行分析(抓包模块)2、对已获取的数据包进行流量分析
3.Wireshark安装
下载地址:https://www.wireshark.org/
4.Wireshark页面介绍
选择网口后进入主页面,可以看到流量包,在主页面可以看到 3 部分的流量数据,分别为【分组列表】【分组详情】【分组字节流】
4.1 分组列表
将流量以分组的形式,简单的呈现出来
4.2 分组详情
将流量以TCP/IP 5层模式形式展现出来
4.3 分组字节流
将流量以字节流形式展现也就是16进制
5.Wireshark导航
5.1 开始捕获分组
5.2 停止捕获分组
5.3 重新开始当前捕获
5.4、捕获选项
重新选择捕获的网络
5.5 打开以保存的捕获文件
打开以保存的捕获文件,然后分析数据流量。
5.6 保存捕获文件
5.7 关闭捕获文件
5.8 重新加载捕获文件
当我们分析数据的时候,数据包的顺序可能发生改变,点击此按钮可以重新排序。
5.9 查找一个分组
5.9.1 Step1
先选择需要分析的部分,上文已有介绍。
5.9.2 Step2
一般选择宽窄,默认
5.9.3 Step3
就实际情况而定
5.9.4 Step4
选择需要收取的内容,注意:要把鼠标点到1处开始find
5.10、转到前一分组
5.11、转到下一分组
5.12、转到特定分组
5.13、转到首个分组
5.14、转到最新分组
5.15、在实时捕获分组时,自动滚动屏幕到最新分组
准确来说,同步现在捕获的数据。
5.16、使用您的着色规则来绘制分组
可以选择加颜色和不加颜色
5.17、放大住窗口文本
5.18、收缩住窗口文本
5.19、窗口文本返回正常大小
5.20、调整分组列表已适应内容
6.Wireshark菜单栏
6.1【文件】菜单栏
文件菜单里面包含了【打开】【打开最近】【合并】【 16 进制导入】【关闭】【保存】【另存为】【文件集合】【导出特定分组】【导出分组解析结果】【导出分组字节流】【导出PDU 到文件】【导出TLS 会话密钥】【导出到对象】【打印】【退出】
6.2 【编辑】菜单栏
包含了【复制】【查找分组】 【查找下一个】 【查找上一个】【标记分组】【分组注释】【配置文件】【首选项】
6.3 【视图】菜单栏
视图菜单,是包含视图的相关配置,比如全屏,显示,时间,着色功能
6.4 【跳转】菜单栏
跳转菜单栏主要包括的对分组的跳转,实际就和我们的鼠标滚轮一样
6.5 【捕获】菜单栏
捕获菜单栏主要可以选择对网口的捕获
6.6 【分析】菜单栏
这里的功能主要是分析功能,作用比较大
后续实战中会具体介绍
6.7 【统计】菜单栏
统计菜单栏也是经常用的
【协议分级】和【会话】
使用最多
把五层模型具体内容展现出来
7.Wireshark过滤方式
7.1 过滤IP
- 用法:协议名字+字段名+判断+值
eg:
如来源 IP 或者目标 IP 等于某个 IP ip.src eq 10.2.6.10 or ip.dst eq 10.2.6.10
7.2 过滤端口
- tcp.port eq 80 // 不管端口是来源的还是目标的都显示
- tcp.dstport == 80 // 只显tcp协议的目 标端口80
- tcp.srcport == 80 // 只显tcp协议的来 源端口80
- 过滤端口范围
tcp.port >= 1 and tcp.port <= 80
7.3 过滤协议
例子 :tcp udp arp
7.4 过滤MAC
- 以太网头过滤
- eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
- eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
7.5 包长度过滤
- udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
- tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
7.6 http模式过滤
例子 :http.request.method == “ GET ” http.request.method == “ POST ” http.request.uri == “ /img/logoedu.gif ” http contains “ GET ”http contains “ HTTP/1. ”