WireShark

WireShark简介和抓包原理及过程

WireShark简介：

        WireShark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。WireShark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

WireShark的应用：

        网络管理员使用WireShark来监测网络问题，网络安全工程师使用WireShark来检查资讯安全相关问题，开发者使用WireShark来为新的通讯协议除错，普通使用者使用WireShark来学习网络协议的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息。

WireShark 快速分析数据包技巧：

        （1）确定WireShark的物理位置。如果没有一个正确的位置，启动WireShark后会花费很长的时间捕获一些与自己无关的数据。

        （2）选择捕获接口。一般都是选择连接到Internet网络接口，这样才能捕获到与网络相关的数据。否则，捕获到的其他数据对自己也没任何帮助。

        （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获数据。这样用户在分析数据时，也不会受其他数据干扰。而且，还可以为用户节约大量的时间。

        （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包更细致，此时使用显示过滤器进行过滤。

        （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

        （6）构建图标。如果用户想要更明显的看出一个网络中数据的变化情况，使用图标的形式可以很方便的展现数据分布情况。

        （7）重组数据。当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。WireShark 的重组功能，可以重组一个会话中不同数据包的信息，或者是重组一个完整的图片或文件。

WireShark抓包及快速定位数据包技巧

常见协议包

        ARP协议

        ICMP协议

        TCP协议

        UDP协议

        DNS协议

        HTTP协议

使用WireShark进行抓包

启动wireshark

        命令行：wireshark

        kali-应用程序-嗅探欺骗-wireshark

混杂模式介绍

1.混杂模式概述：混杂模式就是接受所有经过网卡的数据包，包括不是发给本机的包，即不验证MAC地址。普通模式下网卡只接收发给本级的包（包括广播包）传递给上层程序，其它的包一律丢弃。

一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。

关闭和开启混杂模式

停止抓包，捕获-选项-Enable promiscuous mode on all interfaces

WireShark的过滤器使用