前言
wireshark是一款非常优秀的网络封包分析软件,具有极为强大的功能。可以截取各种类型的网络封包,并且显示网络封包的详细信息。值得一提的是,为了安全性考虑,wireshark无法实现改包和发包操作。对https的处理也是差强人意,只能获取http以及https的文件,不具备解密的能力。如果处理此类封包建议使用fiddler或是老牌的burpsuite。
一、下载与安装
Windows直接下载exe安装包
官网下载方式
GitHub
如果有以下系统则可以直接从库中下载
(Debian、Ubuntu)apt-get install wireshark
(Redhat、Centos、Fedora)yum install wireshark
【注:如果下载识别或者缓慢可直接输入GitHub网址进行克隆】
二、软件使用
wireshark原理是拦截机器上某一块网卡的网络包,当你的机器有多块网卡时,你需要选择其中之一。
选择你的网卡并双击进入监听模式,打开你的网页浏览器即可开始抓取。返回wireshark停止抓取,点击过滤表达式输入框。输入框有自动过滤功能,所以如果输入错误就会变红。
(例如:如果想要抓取http数据包,就在输入框里输入http即可过滤除http之外的数据包;同理可过滤dns、tcp数据包)
wireshark有以下界面
- Display Filter(显示过滤器), 用于过滤
- Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表的含义不同,可通过着色封包列表更改成其他颜色。
【强烈建议更改成适合自己的颜色。这在将来将为你提供不小的帮助】 - Packet Details Pane(封包详细信息), 显示捕获封包中的数据
- Dissector Pane(16进制数据)
- Miscellanous(地址栏,杂项)
【其中,合理的使用过滤是非常重要的,当初学者使用软件时,往往会得到大量无用的信息,在实际使用中往往会检索几千或是几万条记录,这样的话会很难快速找到自己需要的部分。而过滤器可以帮助我们在大量的数据中快速找到我们需要的信息。】
过滤器分为2种,显示过滤器和捕获过滤器。
显示过滤器就是界面最上端那个输入框,作用类似于查找,用来在捕获的数据中快速找到自己需要的记录
捕获过滤器是用来过滤捕获的封包,以免捕获太多的记录。在Capture -> Capture Filters 就可以找到。
【注:抓取发送ip数据包方式为ip.src == 192.168.x.x(src意思为源)过滤目标ip数据包为ip.dst,只看到目标地址为指定ip地址的数据包】
(端口过滤:tcp.port == 8080【如果要过滤发送端口或是接收端口同上用src(tcp.src.port)和dit即可】)
dns数据包由于是基于udp53号端口建立的,所以抓取时输入udp.port ==53 ,其他支持过滤协议点击表达式即可查看。wireshark多重过滤支持英文语法,同时支持c语言语法,(例如:http or arp或者http || dns)
常用过滤表达式
| 表达式 | 用途 |
|---|---|
| TCP | 只显示TCP协议 |
| http | 只显示HTTP协议 |
| ip.src== | 只显示源ip为xxx的目标 |
| ip.dst== | 只显示目标ip为xxx的目标 |
| tcp.port== | 显示端口为xx的目标 |
| tcp.srcport== | 显示TCP协议源端口为xx的 |
| tcp.dit== | 显示目标端口为xx的 |
三、数据包分析
数据包的分析我们从封包详细信息界面来看,这个界面带有大量的信息,可以查看协议中的每一个字段
wireshark支持二进制和十六进制2种方式的字节显示
中间模式里显示的是各个分层,分别为应用层、传输层、网络层、数据链路层、物理层;点开网络结构可看到网络数据包的分析方式
| 名称 | 含义 |
|---|---|
| Frame | 物理层的数据帧概况 |
| Ethernet II | 数据链路层以太网帧头部信息 |
| Internet Protocol Version 4 | 互联网层IP包头部信息 |
| Transmission Control Protocol | 传输层T的数据段头部信息 |
| Hypertext Transfer Protocol | 应用层的详细信息 |
TCP报文的格式为源端口号、目的端口号、序号、确认号、报头长度、保留、标志位、窗口、校验和、紧急指针选项、填充、数据
6860
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
