Wireshark学习思路-2

	上节和大家分享了简单的对Wireshark进行配置，但是却没有告诉大家如何进行本地的HTTP/HTTPS流量的获取，也就是拦截浏览器访问的流量。
	新版本的Wireshark以及老版本的Wireshark需要手动添加SSL/TLS的LOG文件，用于解析加密的内容，其实原理就和Burpsuite安装证书才能拦截Https流量是一个原理。

配置SSL/TLS文件

1. 在任意硬盘里新建一个文件，文件名其实叫什么都行，但是建议在C盘进行创建，因为命名规范有利于后期的维护以及环境变量的配置。
   如下图所示，在本地C盘中新建目录以及文件 C:\ssl_key\sslog.log
   2. 配置Wireshark，指定路径位置 访问“编辑”->“首选项”->“Protocols”->“SSL/TLS”
   

配置本地环境变量

高级系统设置->环境变量
单击新增 变量名 SSLKEYLOGFILE 变量值 C:\ssl_key\sslog.log
重新启动浏览器就能如愿以偿的获取到浏览器的流量了

歪尔沙克捕获器的使用以及状态

1. 捕获器的状态
   “Wireshark会根据你在显示过滤器中输入的字符提供一个建议列表，当背景显示为红色时，表示这个表达式尚未被接受，当背景变为绿色，说明表达式应该可以正常工作，如果是黄色则说明表达式可以被接受，但是可能不会按预期工作。”
   啥意思呢，大概就是红色的时候过滤条件没有写完整、绿色的时候说明可以搜索，黄色的时候不适用
   经过验证，红色的时候多为输入条件不完整，此时单击回车键会自动弹出一系列提示可以使用的语句，大家可以参考着使用或者将条件补全
   绿色的时候说明没问题，可以使用
   黄色的时候多为条件输入不正确，不适用了，比如说以下这个例子，使用的是新版的wairshark,使用老版本的捕捉器条件的时候就很显然不适用了
   ==ssl.handshake.type == 捕捉所有SSL握手包
   这里的歪尔沙克版本是新版本，使用老版本的过滤显然是不太行
   ==tls.handshake.type == 捕捉所有TLS握手包
   研究半天也没啥感觉，有一种脱裤子放屁费二遍事的感觉

基础表达式

等于： == 或 eq
且： && 或 and
或： || 或 or
非：!

举个栗子
ip.addr eq 192.168.10.195 or ip.addr == 192.168.10.1

http.request && ip.addr == 192.168.10.195

http.request || http.response

标记所有不包含192.168.100.1这个IP的流量时
!(ip.addr eq 192.168.100.1)

捕捉Web流量

http.request :可以捕捉 HTTP 请求
tls.handshake.type == 1 :可以显示出 HTTPS 或 SSL/TLS 流量
http.request or tls.handshake.type == 1 :过滤web流量，包括http/https流量
但是我发现新版的只需要输入 http 或者 http.request 或者 http.response都能顺利的拦截到浏览器里面的流量
示例：
这里面我连接的是手机热点，所以网卡选择wlan
捕获器输入http成功捕获http流量，当然了https的也可以成功拦截到

http数据包简单分析

1. 第一行，帧Frame 750 指的是要发送的数据块，其中，所抓帧的序号为750，捕获字节数等于传送字节数：562字节；
2. 第二行，以太网，有线局域网技术，是数据链路层。源Mac地址为c8:58:c0:23:eb:eb；目标Mac地址为66:bb:2b:e1:1e:fe；
3. 第三行，IPV4协议，也称网际协议，是网络层；源IP地址为192.168.43.157；目标IP地址为60.205.174.148；
4. 第四行，TCP协议，也称传输控制协议，是传输层；源端口(58338)；目标端口(443)；序列号seq(3551)；ACK是TCP数据包首部中的确认标志，对已接收到的TCP报文进行确认长度为179；
5. 第五行，我也不知道这是啥
6. TLS加密协议，里面记载了TLS加密协议版本等信息
7. Http协议，也称超文本传输协议，是应用层。

Hypertext 详解
request请求数据包
response返回数据包
追踪数据流
鼠标选中你想要获取的请求，而后单击鼠标右键，选择追踪流，选择HTTP流，你是啥协议就选啥
结果如下，会出现所有的相关数据，包括response

其他过滤方式

过滤IP：

IP源地址：ip.src eq 192.168.43.157

IP目的地址：ip.dst eq 60.205.174.148

IP地址（包括源和目的）：ip.src eq 192.168.43.157 and ip.dst eq 60.205.174.148

过滤端口：

TCP端口：tcp.port==443

TCP目的端口：tcp.dstport == 443

TCP源端口：tcp.srcport == 58339

UDP端口：udp.port eq 15000

TCP 1-80之间的端口：tcp.port >= 1 and tcp.port <= 80

过滤协议：

http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

过滤MAC地址：

源MAC地址：eth.src==c8:58:c0:23:eb:eb

目的MAC地址：eth.dst==66:bb:2b:e1:1e:fe

过滤包长度：

整个UDP数据包：udp.length==20

TCP数据包中的IP数据包：tcp.len>=20

整个IP数据包：ip.len==20

整个数据包：frame.len==20

HTTP模式过滤：

请求方法为GET：http.request.method==“GET”

请求方法为POST：http.request.method==“POST”

指定URI：http.request.uri==“/robots.txt”

请求或相应中包含特定内容：http contains “php”

按照字段检索

ctrl + F
输入字符串后，即可依次检索存在此字符串的数据包

保存你的过滤器

如下图所示，点击右上角小加号，按照里面的添加就可以了