wireshark使用全解笔记【2.4.5.0版本】

前言

西普教育的铁三训练营的课程有很详细的关于wireshark视频教程,正好对wireshark这款神器也不是太熟悉,一边学习补漏,一边做一个学习笔记与大家分享

页面功能简介

  1. 主界面中,波动的线代表网卡传输信息的波动,以实际网卡为准。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第1张图片
  2. 封包列表,表示所有捕获的数据包。这里可以观察到发送方的IP地址,接收方的IP地址,协议端口号,以及封包内容。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第2张图片
  3. 封包列表信息中显示被选中项目的详细信息,信息按照不同OSI layer进行分组,可以分别点开查看。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第3张图片
  4. 解析器,在Wireshark中也被叫做16进制数据查看面板。显示内容与封包详细信息中相同,只是以16进制的格式或者二进制的格式显示,右键在解析器空白处单击,即可切换以16进制或者二进制格式显示。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第4张图片
  5. 从左到右,分别为启动按钮,停止按钮,重新启动按钮,网卡接口设置按钮。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第5张图片
  6. 图中分5个矩形将按钮分组,从左到右分别为:第一个分组,捕获的数据包文件操作。第二个分组,数据包的组操作。第三个分组,捕获的数据包滚动并将不通的协议进行颜色标注。第四个分组,调整文字大小。第五个分组自动选择合适的距离完整显示封包列表的各项内容。如图:
    这里写图片描述
  7. 显示过滤器,它是wireshark特别重要的功能,有了它就可以通过特定过滤规则让wireshark只显示我们需要查看的数据包。如图:
    这里写图片描述

实验一:抓取ping包筛选并保存

  1. windows打开cmd,运行命令ping baidu.com -t,如图:
    wireshark使用全解笔记【2.4.5.0版本】_第6张图片
  2. 点击捕获选项,选择为当前连接的wlan,点击开始捕获,一段时间后停止捕获,通过过滤器即可完整看到icmp协议的ping baidu包,如图:
    wireshark使用全解笔记【2.4.5.0版本】_第7张图片

wireshark统计功能介绍

  1. 正常流程完成wlan抓包,菜单栏中选择“统计”—〉“捕获文件属性”;弹出“捕获文件属性”对话框。显示捕获文件的一般信息,第一个包和最后一个包的时间戳,以及文件捕获于哪一个接口;在定义过滤条件的时候,将显示过滤后的数据,以及平均报文数,字节数。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第8张图片
  2. 关闭“捕获文件属性”对话框,选择“统计”—>“协议分级”;协议分级统计窗口显示为,捕捉文件包含的所有协议和树状分支。分组百分比永远参照的是相同协议层。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第9张图片
  3. 关闭协议分级统计对话框,选择“统计”→“对话”;通过选项卡选择,即可调整显示的数据。第一层为以太网统计数据,第二到三层为IPv4和IPv6统计数据。第四层和第五层为TCP和UDP统计数据。右下角的选项卡还可以选择更多选项,如图:
    wireshark使用全解笔记【2.4.5.0版本】_第10张图片
  4. 关闭conversations对话框,在菜单栏中选择“统计”→“Http”→“请求”;通过对话框可以观察到,所有的http请求数据统计结果。如图:
    wireshark使用全解笔记【2.4.5.0版本】_第11张图片

wireshark显示过滤器介绍

  • 介绍
  1. 显示过滤器为了进行分析帮助,将不需要或者是已经排除的数据包进行显示屏蔽。
  2. 显示过滤器是在已经捕获的数据包中进行查找然后根据定义的表达式进行区别显示。
  3. 显示过滤器是一种更为强大(复杂)的过滤器。
  4. 它允许您在日志文件中迅速准确地找到所需要的所有记录。通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
  5. 它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。
  • 过滤器语法结构
    |语法:| Protocol |Direction |Host(s) |Value |Logical Operations |Other expression|
    | ------------- |:-------------? -----?
    |例子: |tcp |dst |10.1.1.1 |80 |and |tcp dst 10.2.2.2 3128

示例:

(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

捕捉IP为10.4.1.12或者源IP位于网络10.6.0.0/16,目的IP的TCP端口号在20010000之间,并且目的IP位于网络 10.0.0.0/8内的所有封包。

  • 最简单的显示过滤器可基于协议,应用,域名或者字符进行编写。对大小写敏感,绝大多数简单的显示过滤器表达式由小写字母组成。

wireshark使用全解笔记【2.4.5.0版本】_第12张图片

  • wireshark自带快捷显示过滤器语法支持
    wireshark使用全解笔记【2.4.5.0版本】_第13张图片

  • wireshark过滤匹配表达式实例

1、 搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:]

udp[8]==14        
(14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包

udp[8:2]==14:05 
可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。 
(相当于 udp[8]==14 and udp[9]==05,1405是0x1405)

udp[8:3]==22:00:f7 
但是不可以udp[8:3]==2200f7

udp[8:4]==00:04:00:2a
匹配payload的前4个字节0x0004002a

udp contains 7c:7c:7d:7d 
匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。

**2、**搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:]

tcp[20:] matches "^GET [ -~]*HTTP/1.1\\x0d\\x0a"
等同http matches "^GET [ -~]*HTTP/1.1\\x0d\\x0a"

tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: (.*?)pplive(.*?)\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: "
tcp[20:] matches "^POST / HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*\\x0d\\x0aConnection: Keep-Alive\\x0d\\x0a\\x0d\\x0a"

检测SMB头的smb标记,指明smb标记从tcp头部第24byte的位置开始匹配。
tcp[24:4] == ff:53:4d:42

检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。
tcp contains ff:53:4d:42
tcp matches "\\xff\\x53\\x4d\\x42"

检测tcp含有十六进制01:bd,从tcp头部开始搜索此数据。
tcp matches "\\x01\\xbd"

检测MS08067的RPC请求路径
tcp[179:13] == 00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00

**3、**其他

http.request.uri matches ".gif$" 
匹配过滤HTTP的请求URI中含有".gif"字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符)

注意区别:
http.request.uri contains ".gif$" 与此不同,contains是包含字符串".gif$"(5个字节)。
匹配过滤HTTP的请求URI中含有".gif$"字符串的http请求数据包(这里$是字符,不是结尾符)

eth.addr[0:3]==00:1e:4f 
搜索过滤MAC地址前3个字节是0x001e4f的数据包。

注:符号就是正则里的基本用法,略过

你可能感兴趣的:(工具使用)