别跟我说你还在用Wireshark“看热闹”,抓包抓了半天,结果只看到了满屏的“不明觉厉”。想真正玩转网络安全,Wireshark绝对是你的神兵利器。这篇,咱不讲那些“人手一份”的基础操作,直接上干货,聊聊那些让你从“入门”到“入魔”的关键细节!
1. 默认列?呵呵,那是Wireshark“想”让你看到的…
说实话,Wireshark那几个默认列,也就图一乐。真想看懂数据包背后的故事,你得学会自定义!
| 列名 | 说明 |
|---|---|
| No. | 包序号?意义不大,除非你想按顺序“数包”玩。 |
| Time | 时间戳,但微妙的时间差,足够让你怀疑人生。 |
| Source (src) | 源地址,但别忘了NAT的存在,看到的未必是真相。 |
| Destination (dst) | 目标地址,同上,小心障眼法。 |
| Protocol | 协议类型,这玩意儿能伪装的好吗? |
| Length | 长度,攻击者最喜欢用长度来“藏猫腻”。 |
我的“歪”解读: 这些默认列只是冰山一角。想深入分析,必须学会添加、修改、甚至用Lua脚本自定义列,让Wireshark显示你真正关心的信息!比如,你可以添加一列专门显示TCP窗口大小,或者根据特定协议字段的值来着色数据包。
2. 逻辑操作符:用“与或非”编织你的专属“情报网”
别把逻辑操作符当成简单的“数学题”,它们是你在海量数据中精准定位目标的关键。
| 操作符 | 描述 | 示例 |
|---|---|---|
| and 或 && | “并且”,别告诉我你只会用它连接两个条件… | ip.dst == 192.168.1.1 and tcp.port == 80?太low了!试试 (ip.addr == 192.168.1.1 and tcp.port > 1024) and not http,找出所有来自192.168.1.1,端口大于1024,但不是HTTP流量的包! |
| or 或 | ||
| xor 或 ^^ | “异或”,这个有点意思,但用不好容易“跑偏”。 | tcp.flags.syn == 1 xor tcp.flags.ack == 1,找到那些“半死不活”的TCP连接。 |
| not 或 ! | “非”,用它排除干扰,但别把自己也“排除”了。 | not ip.src == 192.168.1.1?不如试试 not arp and not icmp,只看应用层协议,过滤掉那些“吵闹”的底层协议。 |
| [ ] | 子字符串,文本匹配利器,但小心性能问题。 | frame contains "HTTP"?不如试试 http.request.uri contains "password",直接揪出那些泄露密码的请求! |
我的“疯”想法: 逻辑操作符的真正威力在于组合!用它们构建复杂的过滤规则,就像编写程序一样,让Wireshark成为你的专属“流量分析引擎”。
3. 显示过滤器:别再用“等于”了,试试这些骚操作!
显示过滤器可不仅仅是用来“筛选”的,它们还能帮你快速定位问题、发现异常。
| 操作符 | 描述 | 示例 |
|---|---|---|
| eq 或 == | 等于?太死板了! | ip.dst == 192.168.1.1?OUT了!试试 ip.addr == 192.168.1.0/24,一次性筛选整个网段。 |
| ne 或 != | 不等于?用它来排除“已知”,寻找“未知”。 | ip.dst != 192.168.1.1?不如试试 not ip.src in {192.168.1.1, 192.168.1.2, 192.168.1.3},排除多个IP地址,让你的视野更开阔。 |
| gt 或 > | 大于?用来找“超大”数据包,或者异常流量。 | frame.len > 10?不如试试 tcp.len > 1400,找出那些可能被分片的TCP数据包。 |
| lt 或 < | 小于?用来找“碎片化”攻击,或者心跳包。 | frame.len < 10?不如试试 icmp.seq < 10,看看有没有ICMP序列号异常。 |
| ge 或 >= | 大于等于?配合时间戳使用,监控流量变化。 | frame.len >= 10?不如试试 frame.time_delta >= 1,找出那些间隔超过1秒的数据包。 |
| le 或 <= | 小于等于?限制搜索范围,提高效率。 | frame.len <= 10?不如试试 http.content_length <= 100,只看那些小型的HTTP请求。 |
我的“邪”见解: 别把这些操作符当成“死的”,灵活运用,组合搭配,才能发挥它们的最大价值。比如,你可以用 tcp.analysis.flags && tcp.flags.syn == 1 找出所有被Wireshark标记为“可疑”的SYN包!
4. 捕获过滤器 vs. 显示过滤器:别傻傻分不清!
一个是“事前过滤”,一个是“事后筛选”,用途不同,语法也不同。
- Capture Filter:在抓包的时候就过滤,减少数据量,减轻压力。
- Display Filter:抓完包再过滤,灵活方便,但可能卡顿。
我的“狠”建议: 如果你知道自己要找什么,一定要用捕获过滤器!别让Wireshark抓一堆没用的数据,浪费资源。
5. Wireshark的“双重人格”:混杂模式 & 监听模式
- Promiscuous Mode:你的网卡会“偷听”同一网段内所有人的对话。
- Monitor Mode:你的无线网卡会“监视”周围所有的无线信号(仅限Linux/Unix)。
| 模式 | 描述 |
|---|---|
| Promiscuous Mode | 相当于一个“窃听者”,能听到局域网内所有人的“悄悄话”。 |
| Monitor Mode | 相当于一个“雷达”,能扫描到周围所有的无线电波。 |
我的“黑”提醒: 这两种模式都可能涉及到隐私问题,使用时请务必遵守法律法规!
6. 捕获过滤器语法:像写代码一样写过滤规则!
| 语法 | 示例 |
|---|---|
| protocol | tcp,只抓TCP流量。 |
| direction | src(源)或 dst(目标),指定流量方向。 |
| hosts | 192.168.1.1,指定IP地址。 |
| value | 端口号等,如 80,指定端口。 |
| logical operator | and 或 or,组合多个条件。 |
示例:tcp src 192.168.1.1 80 and tcp dst 202.164.30.1,抓取来自192.168.1.1的80端口,目标地址为202.164.30.1的TCP流量。
我的“狂”吐槽: 捕获过滤器的语法比较“古老”,但功能强大。熟练掌握它,能让你在抓包的时候就事半功倍。
7. 显示过滤器语法:更高级、更灵活的过滤方式
| 语法 | 示例 |
|---|---|
| protocol | http,只显示HTTP流量。 |
| String 1, String 2 | dest ip == 192.168.1.1,目标IP地址为192.168.1.1。 |
| Comparison Operator | ==、!= 等,比较操作符。 |
| Logical Operator | and,逻辑与。 |
我的“骚”操作: 显示过滤器支持更多的协议字段和函数,可以实现更复杂的过滤逻辑。比如,你可以用 http.request.method == "GET" and http.response.code == 200 找出所有成功的GET请求。
8. 快捷键:让你的操作速度提升10倍!
| 快捷键 | 描述 |
|---|---|
| Tab 或 Shift+Tab | 在工具栏、数据包列表或详细信息视图中切换。 |
| Ctrl+↑ 或 ↓ | 在数据包详细信息中移动到上一条或下一条。 |
| Ctrl+← 或 → | 在对话窗口(TCP、UDP 或 IP)中移动到上一条或下一条数据包。 |
| Alt+← 或 → | 在当前选择中向上或向下移动。 |
| Enter 或 Backspace | 展开或折叠数据包详细信息中的子树。 |
我的“懒”人秘籍: 熟练掌握这些快捷键,能让你在Wireshark的世界里“飞”起来!
9. 杂项:一些你可能不知道的“冷知识”
- Slice Operator:
[ ]用于定义值的范围。 - Membership Operator:
()用于定义成员关系。 - CTRL+E:启动/停止捕获。
我的“补刀”: 这些小技巧虽然不起眼,但关键时刻能帮你解决大问题。
10. 协议:Wireshark的“语言”,也是你的武器!
ether, fddi, ip, arp, rarp, decent, lat, sca, moprc, mopdl, tcp, udp…
我的“终极”建议: 想要真正玩转Wireshark,就必须深入理解各种网络协议!只有掌握了协议的“语言”,才能听懂网络的“心声”。
[
2025年网络、运维工程师的弹药库
](http://mp.weixin.qq.com/s?__biz=MzI4MTM2NTQ5OA==&mid=2247497606&idx=1&sn=5f704dd9016a98f7addbf603a88ec78e&chksm=eba8e913dcdf60057b0095a18777df78768999264d25d342974a7891c0ed68adeaab1e9ea385&scene=21#wechat_redirect)
黑客/网络安全学习包
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
