wireshark使用方法详解

最新推荐文章于 2025-04-09 16:21:56 发布

xialuoxialuo

最新推荐文章于 2025-04-09 16:21:56 发布

阅读量1.9k

点赞数 1

文章标签：网络安全

本文链接：https://blog.csdn.net/zdzzdz123123/article/details/103905148

版权

一.抓包环境

本机

在这里插入图片描述
大多数情况下的抓包

交换机网络

交换机网络中，PC2与PC3之间通信的流量很难流到PC1中，因此在中大型网络中，往往利用软件在交换机上设置一个span口，将其他主机通信的流量copy一份，来实现监测整个网络。
ARP欺骗
当没有权限在交换机端口上设置span口时，采取arp欺骗来得到PC2和PC3的数据包
MAC地址泛洪
向交换机发送大量的MAC地址，使得交换机正确的表被挤出交换机，此时PC2和PC3在通信时产生的数据包遇上了爆表的路由器，就会向外泛洪，从而使得PC1得到PC2、3的数据包。

二、wireshark界面设置

目的就是让自己在使用wireshark的过程变得顺手。没什么内容
捡几个说一下。

增加列
隐藏列

可以更直观的看数据
设置时间格式

在视图——时间显示格式—进行设置
设置解析

设置解析后，可以直接将mac地址、ip地址转换为易懂的emmmm名字。
在设置了之后，直接将mac地址转变为了路由器厂商的牌子在这里插入图片描述

数据包的下一跳物理地址为路由器的mac地址，如果用手机做热点就能通过地址解析得到手机的大概型号

通过抓包，查找包的物理层头部信息，知道手机型号是vivo

三、数据包的处理

合并数据包

当你要抓多个较大的包时，可能需要将抓到的几个数据包进行合并

在这里插入图片描述

打印数据包
将数据包打印成pdf格式
导出数据包
在此处可以选择是导出标记的数据包、选择的数据包、全部数据包

在这里插入图片描述

四、首选项设置

能进行布局调节，颜色设置，还有一些上面已经讲过的设置，就不重复说了

五、抓包选项设置

将抓到的包进行保存
在选择接口前——捕获——选项在这里插入图片描述
底部有一个混杂模式要开启，混杂模式是指也会抓取不属于自己主机的数据包
从这里实现将抓到的文件分文件保存可以设置文件大小（感觉表示不清），将抓包文件保存为多个文件，可以设置每个文件的大小，还可以设置路径。
可以设置每多少秒保存为一个文件
可以设置为每多少个分组保存为一个文件
可以设置一个目标达成之后停止抓包

抓到的包显示设置
①实时更新分组列表——→抓到的包一直更新

②实时捕获————→平常数据包在不停的滚动就是因为打开了这个

③在实时捕获期间显示过滤信息————→打开之后可以显示
如图会多一个框框（很酷炫）可以显示当前不同协议占用的流量情况
但是占用资源较多
因此，在大型网络中，流量数据较多，往往不勾选前两个可视化见面，仅仅勾选第三个，减少资源的使用。

六、抓包过滤器*

语法规则
在这里插入图片描述
1. 过滤mac地址（适用于目标主机ip地址、端口号一直在变动）

只抓取本机的数据包

在这里插入图片描述得到的数据包都与本机的mac地址有关

2.过滤ip地址

只抓取以本机为源地址的数据包

在这里插入图片描述

捕捉以ip地址为源地址的包

3.过滤端口号

部分端口语法
内容和上面大同小异，就不再多阐述了，这里要注意一点的是感叹号的意思是不抓80端口的数据包

4.过滤协议
对于那些二三层不常用的协议，我们直接输入协议名就好

在这里插入图片描述
5.整合
利用与运算符&&或者或运算符||来加强过滤条件的限制

七、显示过滤器

与抓包过滤器的区别在于抓包过滤器在设置了过滤项之后只抓取要的包，而显示过滤去所有包，之后再根据过滤规则的不同显示你要的包 就是一个抓部分，一个抓全部
语法规则示范 在这里插入图片描述

显示icmp协议的包
显示源地址为192.168.1.109的数据包

在这里插入图片描述
问题：和想象的不一样，在自己电脑上并抓不到其他电脑的数据包，原因是PC只能收到属于自己的数据包和其他主机的广播包，并不能和设想的一样收到其他数据包
之后在知乎上找到了一些说法，但是看着有些复杂。。。

作者：知乎用户
链接：https://www.zhihu.com/question/28838507/answer/424537660
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
wiki开头就说了：如果你只是想关注本机与其他机器的普通的通信数据，且不关注802.11的管理和控制数据包，或是radio层表明信号强弱的数据包，不需要其他的设置直接在对应的网卡上抓包即可。但如果你想关注非运行wireshark上的机器的通信数据包，或上面的那些包，则需要打开monitor mode802.11局域网使用广播介质，类似与已经淘汰了的集线器的机制，所以802.11网络同时采用了信道和SSID的方法来排除不想接受的数据包。不幸的是，修改802.11捕获模式与操作系统/网卡/网卡驱动和libpcap有关，并不是所有的平台都支持，Windows就不支持。（如何开启Monitor Mode，wiki中有详细的说明）Monitor Mode就是忽略SSID抓取选中信道的所有SSID的所有数据包。当无线网卡进入Monitor模式下，会断开已连接的SSID（如果主机只有这一块网卡则会断网）。Promiscuous Mode则会获取当前信道和SSID下的所有数据包，如同传统的有线局域网。但对于加密网络来说，网卡无法解密不属于它的数据包，所以同non-promiscuous mode工作情况一样。（在Wireshark中只开启Promiscuous Mode，不开启Monitor Mode未能成功抓取使用wpa加密的数据包，哪位大神抓取成功麻烦给与说明。）如果你的Wifi未设置密码，那开启Monitor Mode就应该可以抓到了。但如果Wifi设置了密码，则需要进一步设置，同样在Wiki中有说明：在Wi-Fi (WLAN, IEEE 802.11)中说明了如何在显示列表中添加SSID列（SSID隐藏的话则不会显示）：此处是wireshark提供的wireless例子文件：Network_Join_Nokia_Mobile.pcap在How to Decrypt 802.11中说明了如何解密802.11，实际就是在设置添加对应的密码和SSID：要注意的是：Enable decrytion一定要勾选根据实际情况勾选Assume packets have FSC和Ignore the Protection bit选项（本人实验时了勾选了Yes - with IV）另外，Wireshark为了能够破解数据包内容，需要获取设备连接Wifi时的EAPOL握手数据包。如果没有EAPOL数据包，Wireshark没法破解。故实验时可以在打开Wireshark时，将手机重新连接Wifi。之后就能获取与本机不相关的数据包了(运行Wireshark的主机ip为192.168.1.106，Http什么的密码直接就明文显示了。没事别连陌生Wifi，密码之类的尽量用Https。)：类似的有线局域网的设置Wiki链接：Ethernet capture setup总结：IEEE 802.11：无线连接类似于有线的集线器，不隔离冲突域，wireshark开启monitor模式可直接抓包（有密码的需要设置密码解密）。Ethernet：现在的交换机隔离冲突域，故需要使用MITM等类似方法，使流量导到本机再用Wireshark抓包。
看着真的十分复杂