流量分析工具wireshark-学习笔记

最新推荐文章于 2024-04-26 14:05:50 发布
最新推荐文章于 2024-04-26 14:05:50 发布
阅读量3.8k 收藏 45
点赞数 4
分类专栏: 黑客学习 文章标签: wireshark 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49349476/article/details/131396681
版权

(一)wireshark工具

1、wireshark工具简介

Wireshark是一种开源网络分析工具,它可以让你在计算机网络上捕获和查看数据包,并能帮助你深入了解网络的运行和协议的实现。它可以捕获不同类型的流量,包括以太网、Wi-Fi、TCP、UDP等,同时支持解码多种应用层协议,如HTTP、SSL、DNS、FTP等,帮助用户了解特定协议的工作原理,用于网络故障分析、网络性能优化等。Wireshark可以在多种操作系统中运行,包括Windows、Mac OS X和Linux等。

2、wireshark工具的重要性

在护网行动中,流量分析对蓝队(防守方)起着至关重要的作用。流量分析是指对网络通信流量的分析和监控,可以帮助蓝队发现和定位网络安全事件,包括恶意攻击、漏洞利用和数据泄露等,提高攻防效率。

具体来说,流量分析可以帮助蓝队完成以下任务:

  • 实时监控网络流量:通过监控网络流量,蓝队可以及时发现网络异常流量,如DDoS攻击、僵尸网络、内网攻击等。通过分析异常流量的特征和规律,蓝队可以快速发现攻击源和攻击目标。
  • 识别和过滤恶意流量:通过对网络通信流量的深度分析,蓝队可以识别和过滤出恶意流量,如恶意软件、病毒、木马等,有效保护系统安全。
  • 分析攻击行为:通过分析攻击流量的特征和行为,蓝队可以了解攻击者的攻击手法和战术,为进一步应对攻击提供参考。
  • 收集并分析日志:通过收集和分析网络通信日志,蓝队可以发现潜在的安全漏洞和安全风险,并及时采取措施修补漏洞,提高系统安全性。

不管是在护网中,还是平时工作中,我们大部分是承担防守这一角色,所以学会流量分析对网络安全从业人员是非常重要的,所以wireshark使用非常的广泛,

3、wireshark下载

https://www.wireshark.org/

 进入官网之后,一直下滑到download wireshark

 (二)wireshark使用介绍

1、开始的选择

安装完之后,打开软件,会进入这样一个界面。这是开始界面的选择,是对通过哪一个接口进行监听,

 各个接口的说明如下:

 我是选择以太网,就直接点击以太网进入

2、wireshark界面

点击进来之后,进入wireshark的界面

 Wireshark界面中,有三个区域,分别是分组列表、分组详情和分组字节流,这三个都是对捕获到的数据包进行展示和分析的功能区域,不同的区域提供了不同的显示方式和分析信息

  1. 分组列表:显示捕获的数据包的概要信息,包括时间戳、源地址、目标地址、协议、数据包长度等。分组列表还可以根据一定的条件进行过滤显示,便于用户快速定位特定数据包。对于某个特定的数据包,用户可以选中该数据包并在下方的窗口中查看其详情信息。

  2. 分组详情:显示选中数据包的详细信息,包括分层协议、包头和包体信息、源目IP地址等等。提供了十六进制和ASCII编码的视图,便于用户直观地了解数据包的具体内容和结构。用户还可以在该界面的下方的“解析器详细信息”栏中获得更详细的数据包解析信息。
    分组详情的层是对于网络结构,具体如图

     

  3. 分组字节流:显示选中数据包的字节流,便于用户更直观地了解一段数据的十六进制编码。用户也可以使用该界面下方的工具对数据进行编辑或转换,例如转成16进制或ASCII码。

3、功能栏

功能栏共 20个,有着不同的功能

1、开始捕获分组

2、停止捕获分组

3、重新开始当前捕获

4、捕获选项

5、打开以保存的捕获文件

6、保存捕获文件

7、关闭捕获文件

8、重新加载捕获文件

9、查找一个分组

10、转到前一分组

11、转到下一分组

12、转到特定分组

13、转到首个分组

14、转到最新分组

15、在实时捕获分组时,自动滚动屏幕到最新分组

16、使用您的着色规则来绘制分组

17、放大住窗口文本

18、收缩住窗口文本

19、窗口文本返回正常大小

20、调整分组列表已适应内容

(三)wireshar过滤

wireshar抓到许多的数据包,能过滤是必备能力,

过滤选项一般遵循如下的原则,

协议名.字段名 比较符号 值
比如:

tcp.dstport == 80    // 只显tcp协议的目 标端口80

tcp.srcport == 80   // 只显tcp协议的

过滤有两种方法,如下

1、直接使用过滤器过滤

tcp.dstport>=80 &&tcp.dstport<=8000 #使用tcp协议,目标端口在80到8000之间

2通过信息设置过滤

例如指定 从123.151.48.123到192.168.23.19的数据包过滤,语句如下

(ip.src == 123.151.48.123) && (ip.dst == 192.168.23.19)

 你可以找到数据包,点击数据右键,选择作为过滤器使用即可

 

 3、通过信息搜索内容过滤

按ctrl+F,进入搜索栏,选择字符串,然后输入搜索内容,直接搜索,例如所搜内容为segment的例子如下。

 (四)数据包分析(网络安全方向)

这一步是根据抓到的数据包,对其分析,是否存在漏洞攻击行为

先选择http过滤,右击选择跟踪流,选择tcp流。

 xss漏洞攻击

 sql注入攻击

 文件包含攻击

文件上传攻击 

 

纪水一
关注
  • 4
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
Wireshark-win64-3.6.3
04-14
sniffer \ Wireshark工具软件
护网日记,护网工作内容、护网事件、告警流量分析
qq_53058639的博客
07-17 948
今年HW总共15天,7月25号开始,到8月8号结束。总的来说,人坐在电脑前的时候,风平浪静,时不时蹦出几个告警。可一到换班或去厕所的时候,就会突然冒出几百条告警。我一度怀疑我们的摄像头是不是已经被入侵了,一看到我人离开就开始攻击。如果你问我,今年HW最大的收获是什么,我一定会说:我收获了一个强大的膀胱!!!
Wireshark—网络分析工具
m0_51451952的博客
07-24 4705
本文是对抓包工具Wireshark的介绍与使用部分进行了描述学习
CTF-NetA:一款专业的CTF网络流量分析工具
qq_33295410的博客
03-05 7237
CTF-NetA是一款专门针对CTF比赛的网络流量分析工具,可以对常见的网络流量进行分析提取flag,软件具有UI,不需要使用者具备任何基础能力。 该工具支持多种协议的分析,如HTTP,Telnet,FTP,SMTP,CS,蓝牙,工业控制等,以及多种功能的实现,如USB流量还原,无线流量破解,SQL盲注分析,ICMP流量分析,TLS流量解密,一键分离文件,一键导出对象,一键修复错误流量包,识别端口扫描,DNS流量分析,自动保存HTTP传输文件等。
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
Wireshark-win64-2.9.0网路抓包数据分析工具,网络分析工具,方便分析网络流量工具
网络抓包工具Wireshark下载安装&使用详细教程
热门推荐
小啊呜的博客
05-30 16万+
网络抓包工具Wireshark下载安装&使用详细教程 一、关于Wireshark 二、下载及安装 安装方法: 三、实施抓包 四、使用显示过滤器 五、分析数据包层次结构 叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
Wireshark零基础使用教程(超详细)
dzqxwzoe的博客
07-17 2万+
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制。
Wireshark使用详解
weixin_43790613的博客
02-10 2万+
文章目录 如果测试本地地址,需要在本地环回口测试,如果去外网,需要在WLAN接口测试
网络安全工具——Wireshark抓包工具
p36273的博客
05-22 2万+
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。混杂模式概述:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
Wireshark-win64-3.2.4.exe
05-21
pcap分析工具 windows64位,为什么非要写50个子,怎么凑,只是提供一个方便安全的下载地址给大家伙,希望大家开心,没想赚积分
wireshark-dll
12-12
解决Wireshark安装后不能打开的问题,可将dll文件拷到wireshark安装目录,注意dll与exe在同一个目录哦
流量分析工具Wireshark64.zip
05-28
流量分析工具Wireshark64.zip
流量分析工具Wireshark兼容XP.zip
05-28
流量分析工具Wireshark兼容XP.zip
Wireshark-win32-3.6.3.exe
04-22
Wireshark-win32-3.6.3.exe适用于Windows x32位系统。Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
流量分析工具Wireshark32.zip
05-28
流量分析工具Wireshark32.zip
路由器抓包工具Wireshark-win64-4.0.5
04-27
路由器抓包工具Wireshark-win64-4.0.5
【网络技术】【Kali Linux】Wireshark嗅探(十一)以太网Ethernet协议报文捕获及分析
最新发布
weixin_43031313的博客
04-26 593
Ethernet常用的传输层(第二层)协议。
2022护网蓝队排名
07-27
护网蓝队排名是指在网络安全竞赛或演练中,参与者根据其在攻防对抗中的表现和得分进行排名。根据提供的引用内容,没有提到2022年的护网蓝队排名。因此,无法提供关于2022年护网蓝队排名的具体信息。 #### 引用[.reference_title] - *1* [红蓝对抗-2022年蓝队初级护网测试总结](https://blog.csdn.net/lza20001103/article/details/126550377)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [2022年蓝队初级护网总结](https://blog.csdn.net/zlloveyouforever/article/details/125174473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值