Wireshark使用详解

目录

WireShark

Wireshark的简单使用

数据包的过滤

数据流追踪 

专家信息说明

数据包的统计分析 

数据包分析过程中的一些小技巧 

---

WireShark

WireShark只要是学计算机的人应该都听过，也用过。一个非常好用的免费的抓包工具。Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

Wireshark的简单使用

双击选择了网卡之后，就开始抓包了

停止抓包后，我们可以选择保存抓取到的数据包。文件——> 另存为——>选择一个存储路径，然后就保存为后缀为 .pcap 格式的文件了，可以双击直接用wireshark打开。

数据包的过滤

数据包过滤是wireshark一个很实用的功能了，通常我们抓包会抓取到网卡通过的所有数据包。很多数据包对于我们来说是没用的，所以我们就需要对其进行过滤。数据包的过滤可以分为 抓取时过滤 和 抓取后的过滤  。这两种过滤的语法不同！

抓取时过滤 

捕获——>捕获过滤器，这是wireshark默认的一些捕获过滤器，我们可以参照他的语法，自己在左下角自己添加或者删除捕获过滤器

然后如果我们想抓取时对数据包过滤，捕获——>选择，然后选择我们要抓取数据包的网卡，在下面选择我们的过滤器。绿色的话表示语法没有问题，设置好了之后点击开始就可以抓取数据包了

 抓取后的过滤 

我们一般都是抓取完数据包后进行过滤的，在上方输入我们的过滤语法

过滤地址
ip.addr==192.168.10.10  或  ip.addr eq 192.168.10.10  #过滤地址
ip.src==192.168.10.10     #过滤源地址
ip.dst==192.168.10.10     #过滤目的地址

过滤协议，直接输入协议名
icmp 
http

过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80

过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin   #url中包含admin的
http.request.code==404    #http请求状态码的

连接符
&&  
||
and
or

通过连接符可以把上面的命令连接在一起，比如：
ip.src==192.168.10.10 and http.request.method=="POST"

数据流追踪 

我们的一个完整的数据流一般都是由很多个包组成的，所以，当我们想查看某条数据包对于的数据流的话，我们就可以：右键——>追踪流，然后就会有TCP流、UDP流、SSL流、HTTP流。当你这个数据包是属于哪种流，就可以选择对应的流

当我们选择了追踪流时，会弹出该流的完整数据流。还有这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则

 专家信息说明

功能：可以对数据包中特定的状态进行警告说明。

• 错误(errors)
• 警告(Warnings)
• 标记(notes)
• 对话(chats)

路径：分析——>专家信息

数据包的统计分析 

分析一栏中，可以对抓取的数据包进行进一步的分析，比如抓取的数据包的属性、已解析的地址、协议分级等等。我就不一一列出来了

已解析的地址 

功能：统计通信流量中已经解析了的地址

路径：统计——>已解析的地址

协议分级

功能：统计通信流量中不同协议占用的百分比

路径：统计->协议分级

统计摘要说明

功能：可以对抓取的数据包进行全局统计，统计出包的一些信息

路径：统计->捕获文件属性 

数据包分析过程中的一些小技巧 

• 大量404请求——>目录扫描
• 大量 select....from 关键字请求——>SQL注入
• 连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
• 黑客通过爆破账户和密码，则是post请求   http.request.method==POST
• 黑客修改文件，  ip.addr==219.239.105.18 and http.request.uri matches "edit|upload|modify"  
• 如果是用菜刀连接的包，则是post请求  ip.addr==219.239.105.18  and  http.request.method==POST