Wireshark配置安装以及抓包教程详解（win10版）（包含TCP IP ICMP 三次握手半扫描等相关知识）

最新推荐文章于 2024-05-02 06:37:55 发布

宾宾叔叔

最新推荐文章于 2024-05-02 06:37:55 发布

阅读量1.7w

点赞数 53

分类专栏： wireshark 文章标签： wireshark

本文链接：https://blog.csdn.net/qq_46429858/article/details/109272182

版权

了解过网络安全技术的人都知道一个名词“抓包”。那对于局外人，一定会问什么是抓包？考虑到，大家的技术水平不一，我尽可能用非专业的口吻简单的说一下。

抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。

在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的包内容是否正确，就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢？今天我们就来简单聊一聊最常用的2种。

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

今天我们主要来学习一下在window上的Wreshark

学习的第一步，肯定是装软件，搭环境，下面我们即将开启软件安装之路

注意：Wireshark 支持多个操作系统，在下载安装文件的时候注意选择与自己PC的操作系统匹配的安装文件。（本次学习之路是在Windows10上完成，如果有小伙伴需要在Ubuntu上学习的，可以自行摸索前行，私下我们也可多交流，多学习）

建议大家在官网下载正版软件，免得安装盗版软件的时候，绑定好多垃圾软件，污染我们电脑，所以去官网上下载是最安全最保险的做法
官网传送门

在这里插入图片描述

正式安装
双击点开
在这里插入图片描述

在这里插入图片描述

下面开启抓包学习之路

（本部分参考传送门）
软件启动后的主界面
在这里插入图片描述

选择菜单栏上Capture -> Option，勾选WLAN网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡）。点击Start。启动抓包。

执行需要抓包的操作，如ping www.baidu.com

下面进行主界面详细介绍
在这里插入图片描述

Wireshark过滤器设置

wireshark过滤器表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口过滤

port 80

src port 80

dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

在这里插入图片描述
（3） ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表
在这里插入图片描述
（4）端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。
在这里插入图片描述
（5） Http模式过滤

http.request.method==“GET”, 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
在这里插入图片描述
（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下
在这里插入图片描述
后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

知识扩展
参考传送门
ICMP协议
在互联网传输过程中，IP数据报难免会出现差错，通常出现差错，处理方法就是丢弃，但是一般，出现差错后，会发送ICMP报文给主机，告诉它一些差错信息，以及对当前的网络状态进行一个探寻。可以说，ICMP的主要目的是用于在TCP/IP网络中发送出错和控制消息。

ICMP报文封装如下：
在这里插入图片描述
主要ICMP报文
ICMP报文主要分三类，即差错报告报文、控制报文、请求/应答报文，如下图所示：

目的不可达(Destination Unreachable Message)

    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Type      |     Code      |          Checksum             |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+

最低0.47元/天解锁文章

宾宾叔叔

关注

53
点赞
踩
211

收藏

觉得还不错? 一键收藏
8
评论
Wireshark配置安装以及抓包教程详解（win10版）（包含TCP IP ICMP 三次握手半扫描等相关知识）

了解过网络安全技术的人都知道一个名词“抓包”。那对于局外人，一定会问什么是抓包？考虑到，大家的技术水平不一，我尽可能用非专业的口吻简单的说一下。抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的
复制链接

扫一扫