wireshark
-
抓包嗅探协议分析
-
抓包引擎
- windows: winpcap
- linux: libpcap
-
解码能力强
设置
混杂模式
- 勾选后,会抓取未发给本机的数据信息
- capture - options
保存文件
- 保存为pcap模式
首选项
- edit - prefences - layout : 设置窗体布局
- edit - prefences - Colums : 设置列
- edit - prefences - Protocols : 此处列出可解码的协议类型
筛选器流程
- 网络先经过抓包筛选器,再到展示筛选器,再显示在屏幕上
- 可设置多层显示过滤器
常见协议包
# 查看整个网页的TCP数据流
随便点击一条数据包 —— 右键follow —— TCP stream
# HTTP请求都是明文传输,未加密
# HTTPS请求部分(一开始)是明文传输,之后全是密文传输
统计
# statistics —— Capture File Properties
查看抓包文件的摘要信息
# statistics —— Endpoint
查看抓包文件中的节点数
# Ethernet 3 三层报头
# Tx Bytes 数据量
# staticstics —— Protocol Hierarchy
查看抓包文件中的流量协议
# staticstics —— Conversations
查看哪些主机之间的通信
# 右键数据包 —— decode as
将此端口流量认定为某协议的流量
# Analize —— Expert Information
专家信息(不同版本关键比较之处)
实践
# nc进行tcp无加密连接
# ncat进行tcp加密ssl连接
缺点与不足
-
当抓大流量时,分析运维困难,wireshark能力欠缺
-
企业抓包方案(被动抓包)
- 在路由器的一个接口设置另外几个端口的镜像(流量复制),同时连接一台服务器进行全流量抓包
- 服务器需要配置多块网卡,一块进行远程连接管理,其余几块进行抓包
- 当流量较多时,单块网卡进行抓包会进行丢包