目录
简介
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对 其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
Wireshark是目前全球使用最广泛的开源抓包软件,其前身为Ethereal,是一个通用的网络数据嗅探器和协议分析器,由Gerald Combs编写并于1998年以GPL开源许可证发布。如果是网络工程师,可以通过Wireshark对网络进行故障定位和排错;如果安全工程师,可以通过Wireshark对网络黑客渗透攻击进行快速定位并找出攻击源;如果是测试或软件工程师,可以通过Wireshark分析底层通讯机制等。
Wireshark包括以下基本功能:
- 分析网络底层协议
- 解决网络故障问题
- 寻找网络安全问题
- 网络流量真实检测
- 黑客攻击
Wireshark集成在了kali中,windows环境下需要下载安装
windows环境中工具下载地址:https://pan.baidu.com/s/1XV94i_zlYMBQR3kE7yOz7w
相关类似的软件:Sniffer、Fiddler、Omnipeek、Httpwatch、科来网络分析系统等
安装
1. 双击运行
2. 一路下一步到如下。选择相关的选项,Wireshark是它的主程序,TShark是协议器,Plugins&Extensions是基本的插件,Tools是基本的工具包,User’s Guide是帮助文档。默认就好了,点击next
3. 默认选择即可
4. 选择安装路径,强烈建议选择全英文路径
5. 可能需要安装WinPcap软件(来捕捉实时网格数据。),勾选“Install Wincap …”复选框,点击“Install”按钮
6. 选择安装USBPcap可以直接采用wireshark进行抓取某个指定USB接口的数据,再点击install
7. 中间会提示安装winpcap和USBPcap(如果选择的话),点击安装即可
简单使用
双击选择了网卡之后,就开始抓包了
停止抓包后,我们可以选择保存抓取到的数据包。文件——> 另存为——>选择一个存储路径,然后就保存为后缀为 .pcap 格式的文件了,可以双击直接用wireshark打开。
数据包过滤
数据包过滤是wireshark一个很实用的功能,通常我们抓包会抓取到网卡通过的所有数据包。很多数据包对于我们来说是没用的,所以我们就需要对其进行过滤。数据包的过滤可以分为 抓取时过滤 和 抓取后的过滤 。这两种过滤的语法不同!
抓取时过滤
捕获——>捕获过滤器,这是wireshark默认的一些捕获过滤器,我们可以参照他的语法,自己在左下角自己添加或者删除捕获过滤器
然后如果我们想抓取时对数据包过滤,捕获——>选择,然后选择我们要抓取数据包的网卡点击管理接口进行选择,设置好了之后点击开始就可以抓取数据包了
抓取后的过滤
一般情况下都是抓取完整数据包进行过滤,下面是一些过滤的语法
过滤地址
ip.addr==192.168.10.10 或 ip.addr eq 192.168.10.10 #过滤地址
ip.src==192.168.10.10 #过滤源地址
ip.dst==192.168.10.10 #过滤目的地址
过滤协议,直接输入协议名
icmp
http
过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80
过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.url contains admin #url中包含admin的
http.request.code==404 #http请求状态码的
连接符
&&
||and
or
通过连接符可以把上面的命令连接在一起,比如:
ip.src==192.168.10.10 and http.request.method=="POST"
数据流追踪
我们的一个完整的数据流一般都是由很多个包组成的,所以,当我们想查看某条数据包对应的数据流的话,我们就可以:右键——>追踪流,然后就会有TCP流、UDP流、SSL流、HTTP流。当你这个数据包是属于哪种流,就可以选择对应的流
当我们选择了追踪流时,会弹出该流的完整数据流。还有这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则
专家信息说明
功能:可以对数据包中特定的状态进行警告说明。
- 错误(errors)
- 警告(Warnings)
- 标记(notes)
- 对话(chats)
点击 分析 -> 专家信息
数据包的统计
统计一栏中,可以对抓取的数据包进行进一步的分析,比如抓取的数据包的属性、已解析的地址、协议分级等等。接下来简单的介绍几个常用的
已解析的地址
统计一栏中,已解析的地址用来统计通信流量中已经解析了的地址
协议分级
功能:统计通信流量中不同协议占用的百分比
路径:统计->协议分级
统计摘要说明
功能:可以对抓取的数据包进行全局统计,统计出包的一些信息
路径:统计->捕获文件属性
导出对象——>HTTP
这个功能点非常有用,他可以查看并且导出HTTP流对象,这对于数据包分析非常有用!
数据包分析过程中的一些小技巧
- 大量404请求——>目录扫描
- 大量 select....from 关键字请求——>SQL注入
- 连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
- 黑客通过爆破账户和密码,则是post请求 http.request.method==POST
- 黑客修改文件, ip.addr==219.239.105.18 and http.request.uri matches "edit|upload|modify"
- 如果是用菜刀连接的包,则是post请求 ip.addr==219.239.105.18 and http.request.method==POST
相关文章:https://blog.csdn.net/qq_36119192/article/details/84671638