Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容
2.1、安装地址
Wireshark开源地址:https://github.com/wireshark/wireshark
Wireshark下载地址:https://www.wireshark.org/download
安装的话,就是傻瓜式的一步步点鼠标安装,没什么可说的了,安装步骤这里就省略了。
另外笔者个大家准备了139G的网络安全学习资源,有需要的可以评论区评论1我挨个发,或者关注后自取哦!
3.1、Wireshark抓包简单流程
1)主界面
2)3.2、 选择菜单栏上【捕获】 -> 【选项】,当然也可以点击【捕获选项】的图标一步到位,勾选【WLAN】网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡),点击【开始】,启动抓包。
3)wireshark启动后,wireshark处于抓包状态中。
4)在window CMD命令行ping baidu.com
5)通过在过滤栏设置过滤条件进行数据包列表过滤,以免抓取无用包影响查看,这里就以ping baidu.com为例,只过滤百度的ip,设置如下:
ip.addr == 39.156.69.79 and icmp
表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意:协议名称icmp要小写。
关于Wireshark抓包流程就是如上步骤。
3.2、Wireshark抓包界面介绍
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】-> 【着色规则】。如下所示:
WireShark 主要分为这几个界面:
1)Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:【分析】-> 【Display Filters】。
2)Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。
3)Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为:
(1)Frame: 【物理层】的数据帧概况
(2)Ethernet II: 【数据链路层】以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息,属于【网络层】
(4)Transmission Control Protocol: 【传输层】T的数据段头部信息,此处是TCP
(5)Hypertext Transfer Protocol: 【应用层】的信息,此处是HTTP协议
TCP包的具体内容
4)Dissector Pane(数据包字节区)。
3.3、Wireshark过滤器设置
wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
1)抓包过滤器
捕获过滤器的菜单栏路径为【捕获】 -> 【捕获过滤器】。用于在抓取数据包前设置。
如何使用?可以在抓取数据包前设置如下:
ip host www.baidu.com表示只捕获主机host为www.baidu.com的ICMP数据包。获取结果如下:
2)显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。
然后可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 183.232.231.174 and icmp。并进行过滤。
3.4、以上两者间的语法以及它们的区别
1、wireshark过滤器表达式的规则
1)抓包过滤器语法和实例
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
2)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
3)IP过滤
host 192.168.182.104
src host 192.168.182.104
dst host 192.168.182.104
4)端口过滤
port 80
src port 80
dst port 80
5)逻辑运算符&& 与、|| 或、!非
src host 192.168.182.104 && dst port 80 抓取主机地址为192.168.182.80、目的端口为80的数据包
host 192.168.182.104 || host 192.168.182.102 抓取主机为192.168.182.104或者192.168.182.102的数据包
!broadcast 不抓取广播数据包
2、显示过滤器语法和实例
1)比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
2)协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
3)ip过滤
ip.src ==192.168.182.104 显示源地址为192.168.182.104的数据包列表
ip.dst==192.168.182.104, 显示目标地址为192.168.182.104的数据包列表
ip.addr == 192.168.182.104 显示源IP地址或目标IP地址为192.168.182.104的数据包列表
4)端口过滤
tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
4)Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5)逻辑运算符为 and/or/not
过滤多个条件组合时,使用and/or。比如获取IP地址为183.232.231.174的ICMP数据包表达式为ip.addr == 183.232.231.174 and icmp
1)TCP三次握手连接建立过程:
2)wireshark抓包获取访问指定服务端数据包
图中可以看到wireshark截获到了三次握手的三个数据包。但是从上图看不止一个三次握手;其实还有一个重要的信息,如果眼尖的同学,会发现后面还有两次TLS的握手,没错,因为是通过https去发请求的,三次握手后就是TLS的握手了。虽然上面是通过http访问,但是会跳到https,流程图大致如下:
以下就是TLS握手过程
【文件】->【打开】选择要解析的文件。最后点击右边的箭头开始解析。