wireshark抓包新手使用教程(超详细)

一、简介

Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。

为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容

二、安装

2.1、安装地址

Wireshark开源地址:https://github.com/wireshark/wireshark
Wireshark下载地址:https://www.wireshark.org/download

安装的话,就是傻瓜式的一步步点鼠标安装,没什么可说的了,安装步骤这里就省略了。

另外笔者个大家准备了139G的网络安全学习资源,有需要的可以评论区评论1我挨个发,或者关注后自取哦!

三、抓包示例

3.1、Wireshark抓包简单流程
1)主界面

wireshark抓包新手使用教程(超详细)_第1张图片

2)3.2、 选择菜单栏上【捕获】 -> 【选项】,当然也可以点击【捕获选项】的图标一步到位,勾选【WLAN】网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡),点击【开始】,启动抓包。

wireshark抓包新手使用教程(超详细)_第2张图片

3)wireshark启动后,wireshark处于抓包状态中。

wireshark抓包新手使用教程(超详细)_第3张图片

4)在window CMD命令行ping baidu.com

wireshark抓包新手使用教程(超详细)_第4张图片

5)通过在过滤栏设置过滤条件进行数据包列表过滤,以免抓取无用包影响查看,这里就以ping baidu.com为例,只过滤百度的ip,设置如下:

ip.addr == 39.156.69.79 and icmp

表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意:协议名称icmp要小写

wireshark抓包新手使用教程(超详细)_第5张图片

关于Wireshark抓包流程就是如上步骤。

3.2、Wireshark抓包界面介绍

wireshark抓包新手使用教程(超详细)_第6张图片

 

说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】-> 【着色规则】。如下所示:

wireshark抓包新手使用教程(超详细)_第7张图片

WireShark 主要分为这几个界面:
1)Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:【分析】-> 【Display Filters】。

wireshark抓包新手使用教程(超详细)_第8张图片

2)Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号时间戳源地址目标地址协议长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

wireshark抓包新手使用教程(超详细)_第9张图片

3)Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为:

(1)Frame:   【物理层】的数据帧概况

(2)Ethernet II: 【数据链路层】以太网帧头部信息

(3)Internet Protocol Version 4: 互联网层IP包头部信息,属于【网络层】

(4)Transmission Control Protocol:  【传输层】T的数据段头部信息,此处是TCP

(5)Hypertext Transfer Protocol:  【应用层】的信息,此处是HTTP协议

TCP包的具体内容

wireshark抓包新手使用教程(超详细)_第10张图片

4)Dissector Pane(数据包字节区)。

3.3、Wireshark过滤器设置

wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1)抓包过滤器
捕获过滤器的菜单栏路径为【捕获】 -> 【捕获过滤器】。用于在抓取数据包前设置。

wireshark抓包新手使用教程(超详细)_第11张图片

如何使用?可以在抓取数据包前设置如下:

wireshark抓包新手使用教程(超详细)_第12张图片

ip host www.baidu.com表示只捕获主机host为www.baidu.com的ICMP数据包。获取结果如下:

 wireshark抓包新手使用教程(超详细)_第13张图片

2)显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。

wireshark抓包新手使用教程(超详细)_第14张图片

然后可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 183.232.231.174 and icmp。并进行过滤。

wireshark抓包新手使用教程(超详细)_第15张图片

3.4、以上两者间的语法以及它们的区别

1、wireshark过滤器表达式的规则
1)抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

2)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

3)IP过滤

host 192.168.182.104

src host 192.168.182.104

dst host 192.168.182.104

4)端口过滤

port 80

src port 80

dst port 80

5)逻辑运算符&& 与、|| 或、!非

src host 192.168.182.104 && dst port 80 抓取主机地址为192.168.182.80、目的端口为80的数据包

host 192.168.182.104 || host 192.168.182.102 抓取主机为192.168.182.104或者192.168.182.102的数据包

!broadcast 不抓取广播数据包

2、显示过滤器语法和实例
1)比较操作符

比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

2)协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

3)ip过滤

ip.src ==192.168.182.104 显示源地址为192.168.182.104的数据包列表

ip.dst==192.168.182.104, 显示目标地址为192.168.182.104的数据包列表

ip.addr == 192.168.182.104 显示源IP地址或目标IP地址为192.168.182.104的数据包列表

4)端口过滤

tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

4)Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5)逻辑运算符为 and/or/not

过滤多个条件组合时,使用and/or。比如获取IP地址为183.232.231.174的ICMP数据包表达式为ip.addr == 183.232.231.174 and icmp

四、Wireshark抓包分析TCP三次握手wireshark抓包新手使用教程(超详细)_第16张图片

1)TCP三次握手连接建立过程:

  • Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;
  • Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
  • Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。

2)wireshark抓包获取访问指定服务端数据包

  • Step1:启动wireshark抓包,打开浏览器输入www.huawei.com。
  • Step2:使用ping www.huawei.com获取IP。

wireshark抓包新手使用教程(超详细)_第17张图片

  • Step3:输入过滤条件获取待分析数据包列表ip.addr == 120.240.100.48 and tcp,这里只抓取tcp的包,要不然其它信息有点多不好看。

wireshark抓包新手使用教程(超详细)_第18张图片

图中可以看到wireshark截获到了三次握手的三个数据包。但是从上图看不止一个三次握手;其实还有一个重要的信息,如果眼尖的同学,会发现后面还有两次TLS的握手,没错,因为是通过https去发请求的,三次握手后就是TLS的握手了。虽然上面是通过http访问,但是会跳到https,流程图大致如下:

wireshark抓包新手使用教程(超详细)_第19张图片

以下就是TLS握手过程

wireshark抓包新手使用教程(超详细)_第20张图片

五、Wireshark分析tcpdump抓包结果

【文件】->【打开】选择要解析的文件。最后点击右边的箭头开始解析。

wireshark抓包新手使用教程(超详细)_第21张图片

你可能感兴趣的:(wireshark,网络安全,学习,web安全,安全)