文章目录
前言
Wireshark是一款开源、跨平台的网络数据包分析工具,能够嗅探和调查实时流量并检查PCAP包。我们将看看Wireshark的基础知识,并使用它来执行基本的数据包分析。
一、Wireshark 概述
Wireshark是最强大的流量分析工具之一。它的使用有多种用途:
- 检测和排除网络问题,例如网络负载故障点和拥塞。
- 检测安全异常,例如恶意主机、异常端口使用和可疑流量。
- 调查和学习协议详细信息,例如响应代码和有效负载数据。
用户界面
| 界面 | 说明 |
|---|---|
| 工具栏 | 主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式,包括过滤、排序、汇总、导出和合并。 |
| 显示筛选器栏 | 主要的查询和筛选部分。 |
| 最近使用的文件 | 最近调查的文件列表。您可以通过双击来调用列出的文件。 |
| 捕获过滤器和接口 | 捕获筛选器和可用的嗅探点(网络接口)。网络接口(即网卡)是计算机和网络之间的连接点。软件连接(例如,lo、eth0 和 ens33)启用网络硬件。 |
| 状态栏 | 工具状态、配置文件和数据包信息。 |
加载 pcap 文件
上图展示了打开wireshark刚打开时的接口界面,我们从最近文件中加载“http1.pcap”,查看Wireshark对数据包的详细展示界面。
现在,我们可以看到数据包的详细数据和详细信息。数据包详情通过三个面板来展现,这允许我们可以通过不同的格式来探索使用它们。
| 窗格 | 说明 |
|---|---|
| 数据包列表窗格 | 各个数据包的摘要信息(源目地址、协议和包信息)选择数据包后,详细信息将显示在其他面板中。 |
| 数据包详情窗格 | 对选中的数据包的详细的协议分解 |
| 数据包字节序窗格 | 所选数据包的十六进制和解码 ASCII 表示形式。它根据详细信息面板中单击的部分突出显示数据包字段。 |
数据包着色
除了即时的数据包信息外,Wireshark还根据不同条件和协议的对数据包进行着色,以快速发现异常和协议(这解释了为什么在给定的屏幕截图中几乎所有内容都是绿色的)。这种对数据包信息的视角有助于准确跟踪您在分析过程中要查找的内容。您可以使用显示过滤器创建自定义颜色规则来发现感兴趣的事件,我们将在下一篇文章介绍它们。现在,让我们关注默认值,并了解如何查看和使用表示的数据详细信息。
Wireshark有两种类型的数据包着色方法:仅在程序会话期间可用的临时规则和保存在首选项文件(配置文件)下并可用于下一个程序会话的永久规则。您可以使用“右键单击菜单”或“视图 --> 着色规则”菜单来创建永久着色规则。 “着色数据包列表”菜单激活/停用着色规则。 临时数据包着色是通过“右键单击菜单”或“视图 --> 对话着色”菜单完成的,该菜单在 TASK-5 中有所介绍。
默认的永久着色如下所示。
流量嗅探
您可以使用蓝色的“鲨鱼按钮”开始网络嗅探(捕获流量),红色按钮将停止嗅探,绿色按钮将重新启动嗅探过程。状态栏还展示了使用的嗅探接口和收集的数据包数量。
合并PCAP文件
Wireshark可以将两个pcap文件合并为一个文件。您可以使用“文件 --> 合并”菜单路径将 pcap 与已处理的 pcap 合并。当您选择第二个文件时,Wireshark将显示所选文件中的数据包总数。单击“打开”后,它将现有 pcap 文件与所选文件合并并创建一个新的 pcap 文件。请注意,您需要先保存“合并”的 pcap 文件,然后再对其进行处理。
查看文件详细信息
了解文件详细信息很有帮助。特别是在处理多个 pcap 文件时,有时您需要了解并调用文件详细信息(文件哈希、捕获时间、捕获文件注释、接口和统计信息)以识别文件、对其进行分类和优先级排序。您可以通过以下操作“统计 -->捕获文件属性”或单击窗口左下角的“pcap 图标”来查看详细信息。
二、协议剖析
协议剖析
数据包剖析也称为协议剖析,它通过解码可用的协议和字段来调查数据包详细信息。Wireshark支持一长串解剖协议,你也可以编写解剖脚本。您可以在此处找到有关解剖的更多详细信息。
注意:本节介绍Wireshark如何使用OSI层来分解数据包以及如何使用这些层进行分析。 预计您已经具备 OSI 模型及其工作原理的背景知识。
数据包详细信息
您可以在数据包列表窗格中单击数据包以打开其详细信息(双击将在新窗口中打开详细信息)。数据包由基于 OSI 模型的 5 到 7 层组成。我们将在示例捕获的 HTTP 数据包中介绍所有这些。下图显示了查看数据包编号 27。
每次单击详细信息时,它都会突出显示数据包字节窗格中的相应部分。
让我们仔细查看详细信息窗格。
我们可以看到数据包的七个不同层:帧/数据包、源 [MAC]、源 [IP]、协议、协议错误、应用协议和应用数据。下面我们将更详细地介绍这些层。
帧(第 1 层): 这将显示您正在查看的帧/数据包以及特定于 OSI 模型物理层的详细信息。
源 [MAC](第 2 层): 这将显示源和目标 MAC 地址;来自 OSI 模型的数据链路层
源 [IP](第 3 层): 这将向您显示源和目标IPv4地址;从 OSI 模型的网络层。
协议(第 4 层): 这将显示所用协议(UDP/TCP)以及源端口和目标端口的详细信息;从 OSI 模型的传输层。
协议错误: 第 4 层的延续显示了需要重新组装的 TCP 特定段。
应用程序协议(第 5 层): 这将显示特定于所用协议的详细信息,例如 HTTP、FTP 和 SMB。从 OSI 模型的应用层。
应用数据: 第 5 层的扩展可以显示特定于应用程序的数据。
现在我们了解了通用数据包的组成,让我们看一下各种应用协议及其具体细节。
三、数据包详细探究
数据包编号
Wireshark计算调查数据包的数量,并为每个数据包分配一个唯一的编号。这有助于大型捕获的分析过程,并可以轻松返回到事件的特定点。
跳转到数据包
数据包编号不仅有助于计算数据包总数并且使查找/调查特定数据包变得更加容易。此功能不仅可以在数据包之间向上和向下导航;它还提供帧内数据包跟踪,并在会话的特定部分查找下一个数据包。您可以使用“跳转”菜单和工具栏查看特定数据包。
查找数据包
除了数据包编号,Wireshark还可以通过数据包内容查找数据包。您可以使用“编辑 -->查找数据包”菜单在数据包内搜索感兴趣的特定事件。这有助于分析师和管理员查找特定的入侵模式或故障跟踪。
查找数据包有两个关键点。首先是了解输入类型。此功能接受四种类型的输入(显示筛选器、十六进制、字符串和正则表达式)。字符串和正则表达式搜索是最常用的搜索类型。搜索不区分大小写,但您可以通过单击单选按钮在搜索中设置区分大小写。
第二点是选择搜索域。您可以在三个窗格(数据包列表、数据包详细信息和数据包字节)中执行搜索,了解每个窗格中的可用信息以查找感兴趣的事件非常重要。例如,如果您尝试在数据包详细信息窗格中查找可用信息却在数据包列表窗格中执行搜索,则即使存在,Wireshark 也不会找到它。
标记数据包
标记数据包是对分析师的另一个有用功能。您可以通过标记来查找/指向特定数据包以进行进一步调查。它可以帮助分析师指出感兴趣的事件或从捕获中导出特定数据包。您可以使用“编辑”或“右键单击”菜单来标记/取消标记数据包。
标记的数据包将以黑色显示,无论代表连接类型的原始颜色如何。请注意,标记的数据包信息在每个文件会话中更新,因此标记的数据包将在关闭捕获文件后丢失。
数据包注释
与数据包标记类似,注释是分析师的另一个有用功能。您可以为特定数据包添加注释,这将有助于进一步调查,或者提醒并指出其他图层分析师的重要/可疑点。与数据包标记不同,注释可以保留在捕获文件中,直到操作员将其删除。
导出数据包
捕获文件可以在单个文件中包含数千个数据包。如前所述,Wireshark不是IDS,因此有时有必要将特定包与文件分开并深入挖掘以解决事件。此功能可帮助分析师共享唯一的可疑包(确定范围)。因此,冗余信息不包括在分析过程中。您可以使用“文件”菜单导出数据包。
导出对象(文件)
Wireshark可以提取通过电线传输的文件。对于安全分析师来说,发现共享文件并保存它们以供进一步调查至关重要。导出对象仅适用于所选协议的流(DICOM、HTTP、IMF、SMB 和 TFTP)。
时间显示格式
Wireshark 会在捕获数据包时列出数据包,因此调查默认流并不总是最佳选择。默认情况下,Wireshark 以“自捕获开始以来的秒数”显示时间,常见的用法是使用 UTC 时间显示格式以获得更好的视图。您可以使用“查看 -->时间显示格式”菜单更改时间显示格式。
专家信息
Wireshark还可以检测协议的特定状态,以帮助分析师轻松发现可能的异常和问题。请注意,这些只是建议,总是有可能出现误报/误报。专家信息可以提供一组具有三种不同严重性的类别。详情如下表所示。
下表列出了经常遇到的信息组。您可以参考Wireshark的官方文档,了解有关专家信息条目的更多信息。
您可以使用状态栏中的“左下角”或“分析 --> 专家信息”菜单通过对话框查看所有可用的信息条目。它将显示数据包编号、摘要、组协议和总发生次数。
四、数据包过滤
数据包过滤
Wireshark拥有强大的过滤引擎,可帮助分析师缩小流量范围并专注于感兴趣的事件。Wireshark有两种类型的过滤方法:捕获和显示过滤器。捕获过滤器用于仅“捕获”对所用过滤器有效的数据包。显示过滤器用于“查看”对所用过滤器有效的数据包。我们将在隔壁房间讨论这些过滤器的差异和高级用法。现在让我们关注显示过滤器的基本用法,这将首先帮助分析师。
过滤器是为 Wireshark 官方协议参考中可用的协议设计的特定查询。虽然筛选器只是调查感兴趣事件的选项,但有两种不同的方法可以筛选流量并从捕获文件中删除干扰。第一个使用查询,第二个使用右键单击菜单。Wireshark提供了一个强大的GUI,对于不想为基本任务编写查询的分析师来说,有一个黄金法则:“如果你可以点击它,你可以过滤和复制它”。
应用为过滤器
这是过滤流量的最基本方法。在调查捕获文件时,您可以单击要过滤的字段,然后使用“右键单击菜单”或“分析 -->应用为过滤器”菜单来过滤特定值。应用过滤器后,Wireshark 将生成所需的过滤器查询,应用它,根据您的选择显示数据包,并从数据包列表窗格中隐藏未选择的数据包。请注意,数据包总数和显示的数据包数始终显示在状态栏上。
对话筛选器
使用“应用为过滤器”选项时,将仅过滤数据包的单个实体。此选项是调查数据包中特定值的好方法。但是,假设您要通过关注 IP 地址和端口号来调查特定数据包编号和所有链接的数据包。在这种情况下,“会话过滤器”选项可帮助您仅查看相关数据包并轻松隐藏其余数据包。您可以使用“右键单击菜单”或“分析–>对话过滤器”菜单来过滤对话。
为对话着色
此选项类似于“对话过滤器”,但有一个区别。它会突出显示链接的数据包,而不应用显示过滤器并减少查看的数据包数。此选项与“着色规则”选项广告一起使用,在不考虑之前应用的颜色规则的情况下更改数据包颜色。您可以使用“右键单击菜单”或“查看 --> 着色对话”菜单,只需单击一下即可为链接的数据包着色。请注意,您可以使用“查看 --> 着色对话 -->重置着色”菜单来撤消此操作。
准备为过滤器
与“应用为过滤器”类似,此选项可帮助分析师使用“右键单击”菜单创建显示过滤器。但是,与上一个模型不同,此模型在选择后不会应用过滤器。它将所需的查询添加到窗格中,并使用“…和/或…” 从“右键单击菜单”。
作为列应用。
默认情况下,数据包列表窗格提供有关每个数据包的基本信息。 您可以使用“右键单击菜单”或“分析 --> 应用为列”菜单将列添加到数据包列表窗格中。 单击某个值并将其作为列应用后,它将在数据包列表窗格中可见。此功能可帮助分析人员检查捕获文件中可用数据包中特定值/字段的外观。您可以通过单击数据包列表窗格的顶部来启用/禁用数据包列表窗格中显示的列。
追踪流
Wireshark以数据包部分大小显示所有内容。但是,可以重建流并查看在应用程序级别呈现的原始流量。遵循协议,流可帮助分析师重新创建应用程序级数据并了解感兴趣的事件。还可以查看未加密的协议数据,如用户名,密码和其他传输的数据。
您可以使用“右键单击菜单”或 “分析 --> 跟踪TCP/UDP/HTTP 流”菜单来跟踪流量流。流显示在单独的对话框中;源自服务器的数据包以蓝色突出显示,源自客户端的数据包以红色突出显示。
跟踪流后,Wireshark会自动创建并应用所需的过滤器以查看特定流。请记住,一旦应用了过滤器,查看的数据包数量就会改变。您需要使用位于显示过滤器栏右侧上方的“X 按钮”来删除显示过滤器并查看捕获文件中的所有可用数据包。
结论
祝贺! 您刚刚完成了“Wireshark: The Basics”房间。 在这个房间里,我们介绍了 Wireshark,它是什么,它是如何运作的,以及如何使用它来调查流量捕获。
想了解更多?我们邀请您完成 Wireshark:数据包操作,通过深入研究数据包来提高您的 Wireshark 技能。
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
