WireShark简介和抓包原理及过程
WireShark简介:
WireShark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。WireShark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
WireShark的应用:
网络管理员使用WireShark来监测网络问题,网络安全工程师使用WireShark来检查资讯安全相关问题,开发者使用WireShark来为新的通讯协议除错,普通使用者使用WireShark来学习网络协议的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息。
WireShark 快速分析数据包技巧:
(1)确定WireShark的物理位置。如果没有一个正确的位置,启动WireShark后会花费很长的时间捕获一些与自己无关的数据。
(2)选择捕获接口。一般都是选择连接到Internet网络接口,这样才能捕获到与网络相关的数据。否则,捕获到的其他数据对自己也没任何帮助。
(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获数据。这样用户在分析数据时,也不会受其他数据干扰。而且,还可以为用户节约大量的时间。
(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包更细致,此时使用显示过滤器进行过滤。
(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
(6)构建图标。如果用户想要更明显的看出一个网络中数据的变化情况,使用图标的形式可以很方便的展现数据分布情况。
(7)重组数据。当传输较大的图片或文件时,需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。WireShark 的重组功能,可以重组一个会话中不同数据包的信息,或者是重组一个完整的图片或文件。
WireShark抓包及快速定位数据包技巧
常见协议包
ARP协议
ICMP协议
TCP协议
UDP协议
DNS协议
HTTP协议
使用WireShark进行抓包
启动wireshark
命令行:wireshark
kali-应用程序-嗅探欺骗-wireshark
混杂模式介绍
1.混杂模式概述:混杂模式就是接受所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本级的包(包括广播包)传递给上层程序,其它的包一律丢弃。
一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
关闭和开启混杂模式
停止抓包,捕获-选项-Enable promiscuous mode on all interfaces