什么是Wireshark?
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映出流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
Wireshark特性
1、适用于 UNIX 和 Windows。
2、从网络接口捕获实时数据包数据。
3、打开包含使用 tcpdump/WinDump 捕获的数据包数据的文件, Wireshark和许多其他数据包捕获程序。
4、从包含数据包数据的十六进制转储的文本文件导入数据包。
5、显示具有非常详细的协议信息的数据包。
6、保存捕获的数据包数据。
7、以多种捕获文件格式导出部分或全部数据包。
8、根据许多标准过滤数据包。
9、根据许多条件搜索数据包。
10、根据过滤器对数据包显示进行着色。
11、创建各种统计信息。
…………
Wireshark使用环境
1. 电脑直连互联网的单机环境:Wireshark直接抓取本机网卡的网络流量
2. 互联网环境也就是交换机环境:Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。
端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。
ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。
Wireshark应用场景
网络管理员使用Wireshark来检测网络问题
网络安全工程师使用Wireshark来检查资讯安全相关问题
开发者使用Wireshark来为新的通讯协定除错
普通使用者使用Wireshark来学习网络协定的相关知识
…………
Wireshark发展历史
1997年底,GeraldCombs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写Ethereal软件。
1998年7月释出其第一个版本v0.2.0。
2006年6月,Ethereal更名为Wireshark。
2008年,经过十年的开发,Wireshark终于发布了1.0版本。
2015年发布了Wireshark 2.0,它采用了新的用户界面。
Wireshark工作流程
1、确定Wireshark的位置
2、选择捕获接口,一般都是选择连接到Internet网络的接口。
3、使用捕获过滤器,通过设置捕获过滤器,可以避免产生过大的捕获文件。
4、使用显示过滤器
5、使用着色规则,可以使用着色规则高亮显示。
6、构建图表,使用图表的形式可以很方便的展现数据分布情况。
7、重组数据,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。
Wireshark安装
官网直接下载
使用Wireshark
1.选择网卡(我连接的是无线网卡,WLAN)双击WLAN
2.停止捕获分组
3.保存数据
点击文件 --》保存 (或者CTRL+s)
4.界面介绍
Wireshark 的主界面包含6个部分
菜单栏:用于调试、配置
工具栏:常用功能的快捷方式
过滤栏:指定过滤条件,过滤数据包
数据包列表:核心区域,每一行就是一个数据包
数据包详情:数据包的详细数据
数据包字节:数据包对应的字节流,二进制
基本操作
1.调整界面大小
2.设置时间格式
3.标记分组、取消分组
4.导出特定分组
导出单个
导出多个
5.开启混杂模式
默认情况下,我们的电脑只会对自己mac的流量进行解包,而丢弃其他mac的数据包。
开启混杂模式后,我们就可以解析其他mac的数据包。
案例
1、抓取arp协议
2、抓取icmp协议
3、抓取tcp协议
统计里选择流量图
3次握手
4次挥手
4、抓取http协议
右击选择追踪流
点击http流