访客 1、Wireshark介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是结取网络封包,并尽可能显示出最为详细的网络封包资料。1.1Wireshark使用
WinPCAP作为接口,直接与网卡进行数据报文交换。1.2支持的协议
Wireshark在支持协议的数量方面出类拔萃,截至目前已提供了超过850种协议的支持。这些协议包括从最基础的IP协议协议和DHCP协议到高级的专用协议比如ApleTalk和BitTorrent等。由于Wirshank在开源模式下进行开发,每次更新都会增加些对新协议的支持。2.Wireshark主要应用
1、实时抓取数据包并进行分析(抓包模块)2、对已获取的数据包进行流量分析3.Wireshark安装
下载地址:https://www.wireshark.org/
4.Wireshark页面介绍
选择网口后进入主页面,可以看到流量包,在主页面可以看到3部分的流量数据,分别为【分组列表】【分组详情】【分组字节流】4.1分组列表
将流量以分组的形式,简单的呈现出来
4.2分组详情
将流量以TCP/IP5层模式形式展现出来
4.3分组字节流
将流量以字节流形式展现也就是16进制
5.Wireshark导航
5.1开始捕获分组
5.2停止捕获分组
5.3重新开始当前捕获
5.4、捕获选项
重新选择捕获的网络
5.5打开以保存的捕获文件
打开以保存的捕获文件,然后分析数据流量。
5.6保存捕获文件
5.7关闭捕获文件
5.8重新加载捕获文件
当我们分析数据的时候,数据包的顺序可能发生改变,点击此按钮可以重新排序。
5.9查找一个分组
5.9.1Step1
先选择需要分析的部分,上文已有介绍。
5.9.2Step2
一般选择宽窄,默认
5.9.3Step3
就实际情况而定
5.9.4Step4
选择需要收取的内容,注意:要把鼠标点到1处开始find
5.10、转到前一分组
5.11、转到下一分组
5.12、转到特定分组
5.13、转到首个分组
5.14、转到最新分组
5.15、在实时捕获分组时,自动滚动屏幕到最新分组
准确来说,同步现在捕获的数据。
5.16、使用您的着色规则来绘制分组
可以选择加颜色和不加颜色
5.17、放大住窗口文本
5.18、收缩住窗口文本
5.19、窗口文本返回正常大小
5.20、调整分组列表已适应内容
6.Wireshark菜单栏
6.1【文件】菜单栏
文件菜单里面包含了【打开】【打开最近】【合并】【16进制导入】【关闭】【保存】【另存为】【文件集合】【导出特定分组】【导出分组解析结果】【导出分组字节流】【导出PDU到文件】【导出TLS会话密钥】【导出到对象】【打印】【退出】6.2【编辑】菜单栏
包含了【复制】【查找分组】【查找下一个】【查找上一个】【标记分组】【分组注释】【配置文件】【首选项】6.3【视图】菜单栏
视图菜单,是包含视图的相关配置,比如全屏,显示,时间,着色功能
6.4【跳转】菜单栏
跳转菜单栏主要包括的对分组的跳转,实际就和我们的鼠标滚轮一样
6.5【捕获】菜单栏
捕获菜单栏主要可以选择对网口的捕获
6.6【分析】菜单栏
这里的功能主要是分析功能,作用比较大后续实战中会具体介绍
6.7【统计】菜单栏
统计菜单栏也是经常用的【协议分级】和【会话】使用最多把五层模型具体内容展现出来
7.Wireshark过滤方式
7.1过滤IP
- 用法:协议名字字段名判断值
eg:
如来源IP或者目标IP等于某个IPip.srceq10.2.6.10orip.dsteq10.2.6.107.2过滤端口
- tcp.porteq80//不管端口是来源的还是目标的都显示
- tcp.dstport==80//只显tcp协议的目标端口80
- tcp.srcport==80//只显tcp协议的来源端口80
- 过滤端口范围
7.3过滤协议
例子:tcpudparp7.4过滤MAC
- 以太网头过滤
- eth.dst==A0:00:00:04:C5:84//过滤目标maceth.srceqA0:00:00:04:C5:84//过滤来源mac
- eth.addreqA0:00:00:04:C5:84//过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
7.5包长度过滤
- udp.length==26这个长度是指udp本身固定长度8加上udp下面那块数据包之和
- tcp.len>=7指的是ip数据包(tcp下面那块数据),不包括tcp本身