基于Wireshark的网络流量分析初探

突然发现为什么我写的都是初探初窥初心者向之类的东西
当然是因为我菜啊QAQ

工具


  • Wireshark
    基本上这篇文章都是用的wireshark,所以也可以看作一个wireshark使用指南(雾
    虽然wireshark在渗透的时候不如burpsuite功能丰富,但是在流量数据分析方面十分好用,可谓网络工程师手里的万用表。

wireshark界面&基本用法


参照我之前写的CTF工具篇

统计工具的功能


菜单栏里有个统计按钮,利用下面的子菜单可以呼出不少有用的功能

  • 捕获文件属性:可以查看当前捕获数据包的时间、接口、分组大小等
  • 协议分级:可以显示各级协议所占比重
  • 对话
  • 请求
  • 等等......

筛选HTTP流量


  1. 基于名称的HTTP显示过滤器
    • 过滤指定域名:只显示选定域名的过滤器写法http.host==www.xx.com
    • 过滤包含的指定域名:以百度为例http.host contains baidu
    • 过滤Referer头部内容:http.referer=="http://www.baidu.com/"
  2. 基于HTTP请求方法的显示过滤器
    • 只显示GET请求的数据包:http.request.method==GET,post同理
    • 显示所有请求数据包:http.request,同理所有响应包http.response
    • GET除外的数据包:http.request and not http.request.method==GET
  3. 基于HTTP状态码的显示过滤器
    • 显示包含HTTP错误状态码:http.response.code>=400
    • 显示包含HTTP客户端错误状态码:http.response.code>=400 and http.response.code<=499,同理服务器端的就在500到599之间
    • 只显示状态码为400的:http.response.code==404

导出HTTP对象


单击“文件”->“导出对象”->“HTTP”,即可弹出HTTP对象列表窗口,会列出被访问的web站点名称,以及各web站点上被访问过的文件信息

利用Follow TCP Stream窗口分析Http数据流


如图在待分析HTTP流中右键点击追踪流->tcp流


ws1.PNG

之后就会弹出如下窗口,在里面可以看到该HTTP流中的详细包信息


ws2.PNG

利用IP流量分析工具


  • 进入统计-->端点
  • 勾选解析名称。通过这个工具,可以了解到探测到的所有与第二、三、四层端点有关的统计信息,通过这些信息可以很好地解释一些现象


    捕获.PNG

未完待续XDDDDD

你可能感兴趣的:(基于Wireshark的网络流量分析初探)