十、Wireshark

Wireshark用于抓包嗅探协议分析,通过抓包的引擎获得的协议数据进行分析,其性能优势主要体现在解码能力。
抓包引擎:
Linux平台:Libpcap
Windows平台:winpcap10

  • 1、基础操作
    启动、选择抓包网卡、混杂模式、实时抓包、保存和分析捕获文件、首选项
  • 2、筛选器
    作用:过滤掉干扰的数据包
    分类:
    (1)抓包筛选器
    (2)显示筛选器
    在wireshark上,看TCP的包的三次握手,首先是[SYN],然后是[SYN,ACK],然后是[ACK]
    如果http是81或8080端口,wireshark默认是不识别的,可以通过右键Decode as指定为http协议进行分析。
    查看数据流:在数据包上右键选择Follow Tcp Stream
  • 3、信息统计
    节点数
    协议分布
    包大小分布
    会话连接
    解码方式
    专家系统
  • 4、Wireshark实践
    抓包对比nc、nact加密与不加密的流量
    (1)不加密(nc):

Server:192.168.50.115(开启wireshark)

不加密

Client:192.168.50.116

不加密

此时在192.168.50.115上查看抓包情况:在116上对115的运程操作能看到是明文传输。

十、Wireshark_第1张图片
明文

(2)加密(ncat):
Server:192.168.50.115(开启wireshark)

加密

Client:192.168.50.116

加密

此时在192.168.50.115上查看抓包情况:在116上对115的运程操作能看到是密文。

十、Wireshark_第2张图片
密文
  • 5、企业抓包部署方案
    Wireshark基于大文件的包文件打开比较慢,主动扫描(主动去发送测试的数据进行分析)、被动扫描(类似于抓包,接收后分析)
    常用软件:
    Sniffer
    Cace/riverbed
    Cascad/pilot

你可能感兴趣的:(十、Wireshark)