网络 || Wireshark

什么是Wireshark？

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。

Wireshark不会对网络封包产生内容的修改，它只会反映出流通的封包资讯。

Wireshark本身也不会送出封包至网络上。

Wireshark特性

1、适用于 UNIX 和 Windows。

2、从网络接口捕获实时数据包数据。

3、打开包含使用 tcpdump/WinDump 捕获的数据包数据的文件， Wireshark和许多其他数据包捕获程序。

4、从包含数据包数据的十六进制转储的文本文件导入数据包。

5、显示具有非常详细的协议信息的数据包。

6、保存捕获的数据包数据。

7、以多种捕获文件格式导出部分或全部数据包。

8、根据许多标准过滤数据包。

9、根据许多条件搜索数据包。

10、根据过滤器对数据包显示进行着色。

11、创建各种统计信息。

…………

Wireshark使用环境

1. 电脑直连互联网的单机环境：Wireshark直接抓取本机网卡的网络流量

2. 互联网环境也就是交换机环境：Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

        端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。
        ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。

Wireshark应用场景

网络管理员使用Wireshark来检测网络问题

网络安全工程师使用Wireshark来检查资讯安全相关问题

开发者使用Wireshark来为新的通讯协定除错

普通使用者使用Wireshark来学习网络协定的相关知识

…………

Wireshark发展历史

1997年底，GeraldCombs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写Ethereal软件。

1998年7月释出其第一个版本v0.2.0。

2006年6月，Ethereal更名为Wireshark。

2008年，经过十年的开发，Wireshark终于发布了1.0版本。

2015年发布了Wireshark 2.0，它采用了新的用户界面。

Wireshark工作流程

1、确定Wireshark的位置

2、选择捕获接口，一般都是选择连接到Internet网络的接口。

3、使用捕获过滤器，通过设置捕获过滤器，可以避免产生过大的捕获文件。

4、使用显示过滤器

5、使用着色规则，可以使用着色规则高亮显示。

6、构建图表，使用图表的形式可以很方便的展现数据分布情况。

7、重组数据，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。

Wireshark安装

官网直接下载

Wireshark · Download

使用Wireshark

1.选择网卡（我连接的是无线网卡，WLAN）双击WLAN

2.停止捕获分组

3.保存数据

点击文件 --》保存  （或者CTRL+s）

 4.界面介绍

Wireshark 的主界面包含6个部分

菜单栏：用于调试、配置

工具栏：常用功能的快捷方式

过滤栏：指定过滤条件，过滤数据包

数据包列表：核心区域，每一行就是一个数据包

数据包详情：数据包的详细数据

数据包字节：数据包对应的字节流，二进制

基本操作

1.调整界面大小

 2.设置时间格式

3.标记分组、取消分组

 

 4.导出特定分组

导出单个

 

 导出多个

5.开启混杂模式

默认情况下，我们的电脑只会对自己mac的流量进行解包，而丢弃其他mac的数据包。
开启混杂模式后，我们就可以解析其他mac的数据包。

案例

1、抓取arp协议

2、抓取icmp协议

3、抓取tcp协议

统计里选择流量图 

3次握手

4次挥手

4、抓取http协议

 右击选择追踪流

 

 点击http流