长沙教育网站开发,网站建设网站定制开发,做视频网站的上市公司,适合广告公司的名字一、简介 Wireshark是一款非常流行的网络封包分析软件#xff0c;可以截取各种网络数据包#xff0c;并显示数据包详细信息。 为了安全考虑#xff0c;wireshark只能查看封包#xff0c;而不能修改封包的内容#xff0c;或者发送封包。 wireshark能获取HTTP#xff0c;也…一、简介 Wireshark是一款非常流行的网络封包分析软件可以截取各种网络数据包并显示数据包详细信息。 为了安全考虑wireshark只能查看封包而不能修改封包的内容或者发送封包。 wireshark能获取HTTP也能获取HTTPS但是不能解密HTTPS所以wireshark看不懂HTTPS中的内容 二、安装
2.1、安装地址 Wireshark开源地址https://github.com/wireshark/wireshark Wireshark下载地址https://www.wireshark.org/download 安装的话就是傻瓜式的一步步点鼠标安装没什么可说的了安装步骤这里就省略了。 另外笔者个大家准备了139G的网络安全学习资源有需要的可以评论区评论1我挨个发或者关注后自取哦
三、抓包示例
3.1、Wireshark抓包简单流程 1主界面 23.2、 选择菜单栏上【捕获】 - 【选项】当然也可以点击【捕获选项】的图标一步到位勾选【WLAN】网卡这里需要根据各自电脑网卡使用情况选择简单的办法可以看使用的IP对应的网卡点击【开始】启动抓包。 3wireshark启动后wireshark处于抓包状态中。 4在window CMD命令行ping baidu.com 5通过在过滤栏设置过滤条件进行数据包列表过滤以免抓取无用包影响查看这里就以ping baidu.com为例只过滤百度的ip设置如下 ip.addr 39.156.69.79 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意协议名称icmp要小写。 关于Wireshark抓包流程就是如上步骤。
3.2、Wireshark抓包界面介绍 说明数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】- 【着色规则】。如下所示 WireShark 主要分为这几个界面 1Display Filter(显示过滤器) 用于设置过滤条件进行数据包列表过滤。菜单路径【分析】- 【Display Filters】。 2Packet List Pane(数据包列表) 显示捕获到的数据包每个数据包包含编号时间戳源地址目标地址协议长度以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。 3Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的用来查看协议中的每一个字段。各行信息分别为
1Frame: 【物理层】的数据帧概况2Ethernet II: 【数据链路层】以太网帧头部信息3Internet Protocol Version 4: 互联网层IP包头部信息属于【网络层】4Transmission Control Protocol: 【传输层】T的数据段头部信息此处是TCP5Hypertext Transfer Protocol: 【应用层】的信息此处是HTTP协议
TCP包的具体内容 4Dissector Pane(数据包字节区)。
3.3、Wireshark过滤器设置 wireshark工具中自带了两种类型的过滤器学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 1抓包过滤器 捕获过滤器的菜单栏路径为【捕获】 - 【捕获过滤器】。用于在抓取数据包前设置。 如何使用可以在抓取数据包前设置如下 ip host www.baidu.com表示只捕获主机host为www.baidu.com的ICMP数据包。获取结果如下 2显示过滤器 显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。 然后可以通过设置显示器过滤条件进行提取分析信息。ip.addr 183.232.231.174 and icmp。并进行过滤。 3.4、以上两者间的语法以及它们的区别
1、wireshark过滤器表达式的规则 1抓包过滤器语法和实例 抓包过滤器类型Typehost、net、port、方向Dirsrc、dst、协议Protoether、ip、tcp、udp、http、icmp、ftp等、逻辑运算符 与、|| 或、非 2协议过滤 比较简单直接在抓包过滤框中直接输入协议名即可。
tcp只显示TCP协议的数据包列表http只查看HTTP协议的数据包列表icmp只显示ICMP协议的数据包列表
3IP过滤
host 192.168.182.104src host 192.168.182.104dst host 192.168.182.104
4端口过滤
port 80src port 80dst port 80
5逻辑运算符 与、|| 或、非 src host 192.168.182.104 dst port 80 抓取主机地址为192.168.182.80、目的端口为80的数据包 host 192.168.182.104 || host 192.168.182.102 抓取主机为192.168.182.104或者192.168.182.102的数据包 broadcast 不抓取广播数据包 2、显示过滤器语法和实例 1比较操作符 比较操作符有 等于、 不等于、 大于、 小于、 大于等于、小于等于。 2协议过滤 比较简单直接在Filter框中直接输入协议名即可。注意协议名称需要输入小写。
tcp只显示TCP协议的数据包列表http只查看HTTP协议的数据包列表icmp只显示ICMP协议的数据包列表
3ip过滤
ip.src 192.168.182.104 显示源地址为192.168.182.104的数据包列表ip.dst192.168.182.104, 显示目标地址为192.168.182.104的数据包列表ip.addr 192.168.182.104 显示源IP地址或目标IP地址为192.168.182.104的数据包列表
4端口过滤
tcp.port 80, 显示源主机或者目的主机端口为80的数据包列表。tcp.srcport 80, 只显示TCP协议的源主机端口为80的数据包列表。tcp.dstport 80只显示TCP协议的目的主机端口为80的数据包列表。
4Http模式过滤
http.request.methodGET, 只显示HTTP GET方法的。
5逻辑运算符为 and/or/not 过滤多个条件组合时使用and/or。比如获取IP地址为183.232.231.174的ICMP数据包表达式为ip.addr 183.232.231.174 and icmp 四、Wireshark抓包分析TCP三次握手
1TCP三次握手连接建立过程
Step1客户端发送一个SYN1ACK0标志的数据包给服务端请求进行连接这是第一次握手Step2服务端收到请求并且允许连接的话就会发送一个SYN1ACK1标志的数据包给发送端告诉它可以通讯了并且让客户端发送一个确认数据包这是第二次握手Step3服务端发送一个SYN0ACK1的数据包给客户端端告诉它连接已被确认这就是第三次握手。TCP连接建立开始通讯。
2wireshark抓包获取访问指定服务端数据包
Step1启动wireshark抓包打开浏览器输入www.huawei.com。Step2使用ping www.huawei.com获取IP。 Step3输入过滤条件获取待分析数据包列表ip.addr 120.240.100.48 and tcp这里只抓取tcp的包要不然其它信息有点多不好看。 图中可以看到wireshark截获到了三次握手的三个数据包。但是从上图看不止一个三次握手其实还有一个重要的信息如果眼尖的同学会发现后面还有两次TLS的握手没错因为是通过https去发请求的三次握手后就是TLS的握手了。虽然上面是通过http访问但是会跳到https流程图大致如下 以下就是TLS握手过程 五、Wireshark分析tcpdump抓包结果
【文件】-【打开】选择要解析的文件。最后点击右边的箭头开始解析。
