一、wireshark基本使用流程:
- 选择用什么网卡抓包
- 打开混杂模式(意味着抓取所有经过该网卡包)
- 设置filter:只抓和某个ip相关的包,或者只抓有tcp头部的包(tcp only),只抓有ip头部的包(ip only)等。筛选器有两种:抓包筛选器和显示筛选器,抓包筛选器在抓包的时候就进行过滤,然后将抓到包交给抓包引擎,然后抓包引擎将包交给显示筛选器,显示筛选器用不同颜色显示给使用者。
- 保存抓到的包,建议保存成pcap格式(因为其他抓包软件也兼容这个格式),可以选择压缩,下次只要双击该文件,就会用wireshark自动打开
- 在编辑>首选项中可以添加显示列还有调整显示方式
注意事项:
- wireshark 显示的protocol列是根据数据包接方的端口号来判断的,例如如果一个数据包发给80端口,那么protocol列就显示http(因为绝大多数情况下默认开启的是80端口),但是有的时候web服务器开启可能是8888端口,但是它仍然属于http协议,这个时候,wireshark就无法自己判断了,那么我们可以单击右键,选择decode as(解码方式)自己设置protocol列为http。同时FTP的服务器,也可以认为设置打开80端口进行通信,但是wireshark程序仍然会傻逼地认为是http协议,这时需要我们手动修改解码方式。
- 鼠标右键,点击追踪流,可以看到整个通信的过程。https:开头的网站,在数据传输过程中使用ssl(secure sockets layer安全套接层)头部来代替http头部(因为http头部是明文的,不安全),如果抓到这种包,追踪流,你会看到整个通信过程是密文的(只有公钥是明文的)
二、wireshark抓包分析思路:
首先宏观俯瞰抓包情况,从统计信息先下手:
- 节点数
- 协议分布
- 包大小分布
- 会话连接
- 解码方式
- 专家信息
看看那些机器发送的包最多,那些机器的流量最大,分析一下大概是哪个方向导致了当前网络的不正常情况,然后通过过滤器去进一步查看存在异常的包的内容。而不是一上来抓了几万的包就盲目的一个一个查看包的内容。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
