网络攻防之——wireshark的使用

首先是wireshark的界面，在interface list 中选取etho这块网卡，点击Start，即可开始抓包。


从左向右，第一列是编号，第二列是抓包的时间。第三列是所抓报文的源，源地址若是二层报文，则显示的是MAC地址，如果是三层以上的报文，会显示一个IP地址。第四列是目标，同第三列相同，要么是目标MAC，要么是目标IP。第五列是报文的协议。最后一列是关于报文信息的描述。

我们随便点击一个，ARP请求报文，可以看到底部有如下图所示的详细信息。

可以看到，它的目标mac是全f，源mac是00：e0：4c：68：01：20，等等其他的信息

再下面就是报文中的原始字段，为16进制表示。点击就可以看到中间栏中对该字段的解释。

接下来就是wireshark的一个很强大的报文过滤功能。，例如需要按照协议来过滤，只需要在filter中输入协议名称即可

如果想按照目标地址进行过滤，就在filter中输入ip.dst==222.28.136.223,即可筛选出，如下图

需要按照源地址进行过滤，就用如下的操作命令

也可以根据端口号进行过滤，比如需要过滤80端口的数据，就这样输入

需要过滤二层报文，输入的条件需要为eth.addr==mac地址

三层报文的过滤是ip.addr

如果需要搜索更复杂的条件，就需要使用逻辑表达式来进行搜索，常用的逻辑表达式有三种，分别是与，或，非。

例如，我们想同时显示ARP报文或HTTP报文，则用or连接即可

例如，我们想过滤一个源ip是222.28.136.223，同时还是TCP协议的报文，只需使用and连接

例如，我们想显示除ip报文以外的所有报文，就要用到非。

这些表达式也可以组合运用，就不再演示了。

然后就是wireshark另一个很强大的功能——流分析

首先我们打开wireshark开始抓包，然后用telnet命令去查看靶机222.28.136.226，这时telnet的过程就被全部捕捉到了。我们用之前介绍的过滤功能来查看捕捉到的内容

这时，我们点击Analyze——Follow TCP Stream，弹出如下窗口

其中蓝色字段显示的是远程主机回显的数据，红色部分表示我们输入的部分，其中可以看到我们输入的密码等许多信息。

通过这个例子可以看出，telnet是一种明文的传输方式。不够安全。

wireshark可以根据我们产生的一个完整的流来做一些分析，甚至包括用户名密码等字段。