400技术汇 教你如何成为抓包高手！

Wireshark是目前使用最广泛的网络抓包分析工具，也是每一位网络攻城狮电脑里必装神器。当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时，通过Wireshark抓包定位问题根源，是最直接有效的手段。

然而如此强大的工具，你能发挥出其真正的功能吗？你是否也会遇到以下尴尬的情况？

1. 问题出现时间极不固定，甚至10天才出现一次，你会一直守着抓？

2. 数据流量太大，才抓几秒钟就达到了几百兆的抓包文件，然后系统卡死？

3. 报文抓到了，但是报文杂乱无章，从何看起？

《400技术汇》第一期，教大家如何成为网络抓包高手，以Wireshark Version2.2.5为例，请看菜单：

1.过滤器捕获技巧

2.过滤器显示技巧

3.借用命令行进行长时间抓包

4.将TXT文件转为pcap文件

5.调整自适应列宽显示

6.抓包文件报文交互过程分析

7.通过抓包MAC地址确认设备厂商

8.抓包文件数据包统计分析

9.报文数据字段解码

10.抓包文件“瘦身”技巧

01

过滤器捕获技巧

小Q在某企业网发现外网用户telnet到出口设备，不定时出现回显不全，决定抓取telnet数据包分析，用Wireshark捕获了接口所有数据包，2分钟后抓包的电脑死机了，由于流量很大，有用的数据包一个都没有，怎么办呢？

来来来，看捕获过滤器大显身手，轻松解决小Q的难题，操作步骤如下：

（1）依次打开“捕获”→“选项”，选择对应的抓包接口，“所选择接口的捕获过滤器”栏输入过滤表达式，如下图：

（2）在捕获数据包的窗口中可以看到经过捕获过滤器后的数据包，如下图：

（3）捕获过滤表达式的格式：【逻辑运算】+【协议】+【方向】+【类型】+【值】

• 逻辑运算：and、or、not

• 协议：ether、ip、icmp、arp、tcp、udp等

• 方向：src、dst、src and dst、src or dst

• 类型：host、net、port、portrange等

常用的捕获过滤表达式如下表：

02

过滤器显示技巧

小Q在某城域网出口路由器上发现很多telnet尝试登录失败的日志，便在出口开启抓包，2小时后得到100M的抓包文件，筛选出全部telnet的数据包分析，逐个去找估计小Q可以看到凌晨3点钟的星空了，使用显示过滤器便可得心应手，说不定还能在傍晚散步看夕阳。

（1）Wireshark打开抓包文件后，在“显示过滤器”栏输入过滤表达式，便可得到经过显示过滤器后的数据包，如下图：

（2）磨刀不误砍柴工，常用的显示过滤表达式，如下表：

03

借用命令行进行长时间抓包

小Q在某酒店遇到认证服务器侧提示计费服务器down掉的问题，复现的周期是7天，决定通过抓包判断是接入设备和服务器之间链路问题导致，还是服务器未及时处理radius报文导致。

小Q在iMC服务器网卡抓包，2个小时后发现Wireshark挂死，辛辛苦苦抓下来的包还没保存就没了，咋办呢？莫慌，命令行抓包一招就能搞定！它是直接写硬盘，不会造成内存溢出问题和进程挂死，操作步骤如下：

（1）ipconfig查看抓包网卡的描述，如下图：

（2）cd切换到Wireshark的安装目录下，tshark -D查看抓包网卡索引号，如下图：

（3）输入tshark命令开启抓包

第一种情况是问题出现的时间不确定，频率较低，几小时或几天出一次，硬盘空间有限，我们采用循环抓包法，持续抓包生成指定个数和指定大小文件，超过指定文件个数就覆盖，循环利用硬盘空间。例如：抓包文件大小每100KB后自动新建一个文件，文件个数为10个，保存到D盘根目录，超过后自动替换（共占用1M空间），输入命令“tshark -b filesize:100 -b files:10 -w d:/yhy1m10.pcap -i 1”（-b 循环抓包；Filezise:每个分包大小（KB）；Files:总分包个数；-w 保存的文件路径及文件名称；-i 网卡接口号），如下图：

第二种情况是问题定位需要长时间抓包，硬盘的空间足够，希望分析抓包网卡全部数据，我们可以采用持续抓包法，持续抓包不断生成指定大小文件，直到硬盘空间满了为止。例如：每个文件大小20M，保存到D盘根目录，输入命令“tshark -b filesize:2000 -w d:/ yhy20m.pcap -i 1 ”，待问题复现后，ctrl+c停止抓包。

（4）到指定文件目录下获取抓包文件分析即可，下图是循环抓包的文件：

04

将TXT文件转为pcap文件

小Q在某电站发现上送设备CPU的报文总是超时，打开调试开关，得到原始二进制数据调试信息，一脸茫然，两眼发愣，如下图：

小Q求助热心的小Y，2分钟后收到小Y发过来的.pcap的抓包文件，打开一看，报文各字段一目了然，如下图：

追求上进的小Q感激之余，睁大眼睛看小Y重新操作了一次，步骤如下：

（1）将调试信息保存为.txt文件放到Wireshark的安装根目录

（2）cd命令切换到Wireshark的安装根目录，如下图：

（3）调用text2pcap.exe程序，将.txt文件转换为.pcap文件，如下图：

05

过滤器捕获技巧

小Q是个爱钻研的工程师，很喜欢分析数据包，但是打开抓包文件后经常发现显示窗口列是重叠，如下图，源目ip地址都看不完整：

当然可以手工拉动来调整，但不够美观且耗费时间，简直逼死强迫症，于是求助“功力深厚”小Y分享一下“内功心法”。小Y向小Q演示，哇！一键解决，快捷键ctrl+shift+R（自动调整列框，或者“视图”→“ 调整列宽”），既美观又省时省力，如下图：

06

过滤器捕获技巧

小Q在某职院处理一个认证异常问题，需要分析radius报文交互情况。小Q先画图，再将报文一个一个标注出来，然后对比标准协议交互过程来分析。要是协议复杂，报文数目众多，小Q想画图标注就很费劲，可能还看不清楚。Wireshark中流量图工具，可以帮助小Q完成这个画图标注过程，打开抓包文件后，“统计”→“流量图”，“显示”选“显示的分组”，如下图，对比标准radius协议交互过程就能清晰看出哪个过程有问题。

、

07

过滤器捕获技巧

小Q在部署WLAN时使用Wirelessmon扫描，发现有个别MAC地址为00:74:9C开头的无线SSID和自己工作在同一信道，功率很大，对自己的干扰很大。小Q很好奇，想知道是哪个厂商的AP呢？MAC地址前3个字节是设备厂商标识符，可以通过它来确定所属厂商，小Q想起了Wireshark安装目录下的manuf文件作用，一查发现00:74:9C对应的是R厂商，如下图：

08

抓包文件数据包统计分析

某商场网络流量异常，负责项目的小Q到现场后先用Wireshark抓包15分钟，分析时发现数据包有80M，手工统计的话效率太低，粗略浏览凭感觉又不靠谱，怎么破呢？

强大的Wireshark还是有招应对的，“统计”→“会话”，分别按数据包个数和字节大小统计，很快可以看到是哪些ip地址之间的流量是最大的，后续重点排查这些ip即可，如下图，10.63.16.77和10.88.14.119流量是最大的。

09

报文数据字段解码

小Q在某火车站排查服务器一直收不到防火墙发出userlog日志问题，想确认一下是服务器无法解析还是userlog数据包没有到服务器，于是在服务器网卡开启抓包观察：

（1）乍看一眼，不是userlog数据包，看山不是山，如下图：

（2）小Q注意查看防火墙上userlog的端口不是默认的，机智的小Q恍然大悟，“分析”→“解码为”，选择端口和对应的协议userlog，如下图：

（3）小Q欣喜了，清晰地看到了userlog数据包的各字段，如下图，看山还是山，服务器收到了userlog数据包，只是无法解析。

10

抓包文件“瘦身”技巧

勤奋的小Q最近在学习http协议，需要从50M的抓包文件中筛选出http协议保存出来，更精巧地插入word文档中，方便查阅。

（1）使用显示过滤器过滤后，数据包还是比较多，“文件”→“导出特定分组”，选择“all packets”和“displayed”，保存，如下图：

（2）如果仅需要保存个别数据包，“标记分组”→“ 文件”→“ 导出特定分组”，选择“marked packets”和“displayed”，保存，如下图：

今天的技术干货够过瘾了吧？！Wireshark实用使用技巧就先分享到这了……也欢迎大家在留言区分享其他技巧！

---

关于黑客&网络安全学习指南

学好 网络安全不论是就业还是做副业赚钱都不错，但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程，带你从零基础系统性的学好网络安全。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.网络安全视频教程600集和配套电子书
观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

温馨提示：篇幅有限，已打包文件夹，获取方式在：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享