这次我们来学习下Wireshark

于 2024-08-02 09:50:43 发布
阅读量1k 收藏 24
点赞数 26
文章标签: 学习 wireshark 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57898612/article/details/140864453
版权

一、Wireshark简介

Wireshark是一款功能强大的网络协议分析工具,可以实时捕获和分析网络数据包。它支持多种网络协议,广泛用于网络故障排除、性能分析和安全分析。

二、Wireshark的安装

在Kali Linux中安装

Wireshark通常已经预装在Kali Linux中。如果没有,可以使用以下命令进行安装:

sudo apt-get update
sudo apt-get install wireshark

在Windows中安装

可以从Wireshark官方网站下载最新版本的Wireshark并按照安装向导进行安装:Wireshark下载页面

三、Wireshark的基本用法

1. 启动Wireshark

在Kali Linux中,可以在终端中输入以下命令启动Wireshark:

wireshark

在Windows中,安装完成后可以通过开始菜单找到Wireshark并启动。

2. 选择网络接口

启动Wireshark后,会显示主界面。在“Capture”栏中,选择要监听的网络接口。接口通常以以太网卡、无线网卡或环回接口的名称列出。

3. 开始捕获数据包

选择网络接口后,点击“Start”按钮开始捕获数据包。Wireshark将开始显示捕获到的数据包。

4. 停止捕获数据包

点击“Stop”按钮停止捕获数据包。捕获的数据包将保留在Wireshark界面中供分析使用。

5. 使用过滤器

Wireshark提供了强大的过滤功能,可以通过输入过滤表达式来筛选特定的数据包。例如:

  • 过滤HTTP流量:http
  • 过滤TCP端口80的数据包:tcp.port == 80
  • 过滤指定IP地址的数据包:ip.addr == 192.168.1.1

四、Wireshark的高级用法

1. 数据包分析

点击某个数据包可以在下方的详细信息窗口中查看该数据包的具体内容,包括链路层、网络层和传输层的详细信息。

2. 追踪TCP流

在捕获的TCP数据包上点击右键,选择“Follow” -> “TCP Stream”,可以看到整个TCP会话的内容。这对分析HTTP、FTP等基于TCP的协议非常有用。

3. 使用颜色规则

Wireshark可以根据数据包的类型和状态自动为数据包着色,以便于快速识别。例如,绿色表示TCP数据包,蓝色表示DNS数据包。可以在“View” -> “Coloring Rules”中查看和编辑这些规则。

4. 保存和导出捕获的数据包

可以将捕获的数据包保存为文件,以便后续分析。在“File”菜单中选择“Save As”即可。此外,还可以将数据包导出为不同的格式,如CSV、XML等。

五、Wireshark实战案例

案例一:分析HTTP流量

  1. 启动Wireshark并选择网络接口: 启动Wireshark并选择用于捕获流量的网络接口。

  2. 开始捕获数据包: 点击“Start”按钮开始捕获数据包。

  3. 生成HTTP流量: 打开浏览器,访问一个HTTP网站(如:http://example.com)。

  4. 使用过滤器筛选HTTP流量: 在过滤器栏中输入http,然后按Enter键。Wireshark将只显示HTTP流量的数据包。

  5. 分析HTTP请求和响应: 点击一个HTTP请求数据包,可以在详细信息窗口中查看HTTP请求头、URL和其他详细信息。类似地,点击HTTP响应数据包可以查看响应头和内容。

案例二:检测ARP欺骗攻击

  1. 启动Wireshark并选择网络接口: 启动Wireshark并选择用于捕获流量的网络接口。

  2. 开始捕获数据包: 点击“Start”按钮开始捕获数据包。

  3. 使用过滤器筛选ARP流量: 在过滤器栏中输入arp,然后按Enter键。Wireshark将只显示ARP流量的数据包。

  4. 分析ARP流量: 正常情况下,每个IP地址对应一个唯一的MAC地址。如果在捕获的数据包中发现同一个IP地址对应多个不同的MAC地址,可能是ARP欺骗攻击。

  5. 验证ARP欺骗攻击: 可以使用Wireshark的“Statistics” -> “Resolved Addresses”功能,查看IP地址与MAC地址的对应关系,进一步验证ARP欺骗攻击的存在。

案例三:DNS请求分析

  1. 启动Wireshark并选择网络接口: 启动Wireshark并选择用于捕获流量的网络接口。

  2. 开始捕获数据包: 点击“Start”按钮开始捕获数据包。

  3. 使用过滤器筛选DNS流量: 在过滤器栏中输入dns,然后按Enter键。Wireshark将只显示DNS流量的数据包。

  4. 分析DNS请求和响应: 点击一个DNS请求数据包,可以在详细信息窗口中查看DNS请求的域名和类型。类似地,点击DNS响应数据包可以查看响应的IP地址和TTL等信息。

六、总结

Wireshark是一个功能强大的网络分析工具,适用于各种网络故障排除和安全分析任务。通过掌握基本和高级用法,你可以深入了解网络流量和协议,检测并解决各种网络问题。在使用Wireshark时,请确保在合法授权的情况下进行捕获和分析。

Hi, how are you
关注
  • 26
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark 固定监听端口
atzqtzq的博客
01-01 1万+
1.选择好网卡 2.开始后,监听tcp端口 在filter输入框:tcp.port == 12345 监控本地的好像不行, 当使用tcpdump或者wireshark之类的tcp层工具抓包,获取是加密的内容,而如果用应用层抓包,使用Charels(Mac)、Fildder(Windows)抓包工具,那当然看到是明文的。 ...
Wireshark操作实例
weixin_47357131的博客
12-23 1524
目录一、数据链路层1.熟悉 Ethernet 帧结构2.了解子网内/外通信时的 MAC 地址3.掌握 ARP 解析过程二、网络层1.熟悉 IP 包结构2.IP 包的分段与重组3.考察 TTL 事件 前言:按照数据链路层、网络层、传输层以及应用层进行分类,分别使用Wireshark进行基本操作 一、数据链路层 1.熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等 如图,红色标注部分分别是目的 MAC、源 MA
Wireshark实验——了解PDU
Harriet的博客
11-22 4283
文章目录数据链路层Ethernet 帧结构了解子网内/外通信时的 MAC 地址掌握 ARP 解析过程网络层熟悉 IP 包结构IP 包的分段与重组考察 TTL 事件传输层熟悉 TCP 和 UDP 段结构分析 TCP 建立和释放连接应用层了解 DNS 解析了解 HTTP 的请求和应答 数据链路层 Ethernet 帧结构 Ethernet帧格式包含目的MAC,源MAC,类型,数据,校验字段。从图中可以看到该帧的目的MAC,源MAC分别是什么。数据的类型是IPv4,其中Padding表示的填充数据,当数据不足
wireshark实战
weixin_42568326的博客
08-17 385
Wireshark 分析TCP/IP协议栈 使用wireshark分析路由协议 使用 wires hark 分析交换协议 使用Wireshark 分析真实网络流量 使用Wire hark分析常见网络故障 使用Wires hark分析常见安全攻击 ...
Wireshark数据包分析实战案例
04-28
Wireshark数据包分析实战案例非常适合新手学习的好资料
WireShark 实践操作
辉小鱼的博客
11-05 957
Wireshark(前称Ethereal)是一个网络封包分析软件。 网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
计算机网络学习②——Wireshark实验
syw6666666的博客
11-18 9337
Wireshark 实验 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark进行,请根据简介部分自行下载安装。 准备: 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 进行网络选择 开始/停止捕获 了解 Wireshark 主要窗口区域 设置数据包的过滤 为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤 ip.addr=[IP地址]
【网络】实战!我用 Wireshark 让你“看见“ TCP (学习到TCP 流量控制)
小鱼菜鸟的博客
07-22 1417
原文:https://www.cnblogs.com/xiaolincoding/p/12922927.html 前言 Wireshark:网络分析工具 Wireshark 为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓到比较容易分析的数据包。 接下来丢包、乱序、超时重传、快速重传、选择性确认...
wireshark中怎么选中多个_【学习笔记】Wireshark的用法
weixin_39714565的博客
12-22 2059
计算机网络课上,需要我们灵活运用网络协议分析仪wireshark,最近一直在看,感觉有点难,并不是软件本身操作难,而是看懂一大群包的含义难,这个难主要也因为它是全英文的~~。。好了,大致总结一下,基本都是大神的,引用的,与大家分享。wireshark 开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。点击Caputre->I...
Wireshark 实验
Fan_up的博客
01-07 1478
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结数据链路层网络层 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤
Wireshark基本介绍和学习TCP三次握手
墨痕诉清风的博客
11-29 424
wireshark的官方下载网站:wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于过滤。
wireshark流量分析实战
qq_43571759的博客
04-10 1万+
wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯 1.黑客的IP是多少...
动手实操--wireshark
weixin_51704875的博客
01-08 322
Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
WireShark案例练习
weixin_30954607的博客
09-07 587
WireShark案例 对着数据所在位置右键-导出分组字节流 保存,双击打开 远程木马 右键-追踪流-TCP流 第0个流。 第1个流 第2个流 保存成jpg格式。进入010editor去掉多余代码 图片出来 大黑阔 观察 右键-作为过滤应用-与非选中过滤掉自己不要的。 可以看到聊天内容 看完,会发现会发图片。 找到发图...
wireshark实战篇(网站汇总)
happylzs2008的专栏
06-29 347
使用WireShark进行网络数据包丢包分析 https://blog.csdn.net/qq_28948353/article/details/82015745 wireshark实战之局域网抓包分析 https://www.cnblogs.com/-wenli/p/9589256.html 一文搞定tcpdump基本用法 https://blog.csdn.net/chi...
WireShark案例分析
Libra_Ng
11-22 2743
路由器错配故障分析 故障现象 服务器A,B共处于同一个子网内,会出现A可以和B通信,而B有时却不能和A通信,经检查发现在子网掩码配置时,两个服务器为下图所示: 网络中主机之间的基本通信可以分为两种类型: 同一网络内主机间的通信:数据可以直接发送给对方,不需借助网关. 不同网络之间的主机通信:数据必须先发送给网关,然后再通过网关转发给对方. 故障分析 从A到B的通信:A的子网掩码255.255....
Wireshark技巧[监听串口包]
最新发布
挖到尽头
09-09 3856
Wireshark技巧[监听串口包]
使用wireshark监控本地ip端口访问情况
热门推荐
qq_39769272的博客
07-29 1万+
Wireshark使用手册 点击程序安装下一步 1选择网卡 2点击运行可监测本地网络下地址访问情况 3输入执行监控ip,可看到监控端口号 ip.src==192.168.200.5(或ip.dst==192.168.200.5) 然后可执行下一步测试具体端口号是否想通 (待完善) 小扩展 Wiresh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值