今天继续给大家介绍渗透测试相关知识,本文主要内容是Wireshark原理。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
一、Wireshark简介
Wireshark是网络数据包分析软件,可以探测指定网卡收到的数据包,并尽可能的分析这些数据包的协议、数据等资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark页面如下所示:
Wireshark可以使得网卡处于混杂模式,所谓混杂模式,即网卡处理所有接收到的数据包。当网卡处于普通模式下时,在收到数据包后,会检查该数据包中数据链路层所封装的MAC地址,如果该MAC地址是自己的MAC地址、广(组)播MAC地址,才会将该数据包送往上层进行处理。而处于混杂状态的网卡,则会不加选择的将所有的数据包进行处理,即时该数据包并不是发送给自己的。因此,处于混杂模式下的网卡,可以收集到所有的数据包。
二、Wireshark应用
Wireshark运用非常广泛。对于网络工作人员而言,Wireshark可以用于检测网络问题;对于开发工作人员而言,Wireshark可以用于网络协议开发排错;对于安全工作人员而言,Wireshark则可以监听网络上的数据包,借此发现当前网络上存在的网络攻击。
三、Wireshark快速分析数据包技巧
Wireshark的抓包使用,有以下技巧:
1、确定运行Wireshark的位置。
确定Wireshark的位置是使用Wireshark抓包的第一步,也是非常关键的一步。在当前主流的交换式以太网中,如果我们在一个连接到交换机普通接口上的设备上运行Wireshark,那么大概率抓不到整个以太网的数据包(除非使用网络欺骗根据或者是洪泛攻击,但是这两种攻击技术也很容易被因交换机相关安全设置而失效)。我们通常将该交换机端口配置成镜像端口,这样就可以很方便的抓取整个网络中的数据包了。
2、选择Wireshark的捕获接口。
我们在开启Wireshark时,要选择Wireshark的数据包捕获接口,通常是选择设备的网卡作为捕获接口,而如果当前设备有多快网卡的情况,则需要根据实际情况来选择wireshark的捕获接口。
3、使用捕获过滤器。
为了防止Wireshark捕获到过多的数据包,进而影响设备的运行,我们通常会设置捕获过滤器,该过滤器会在Wireshark刚开始运行时就发挥作用,过滤掉我们不需要的数据包。
4、使用显示过滤器。
窗户了捕获过滤器以外,我们还可以使用Wireshark的显示过滤器,显示过滤器可以在Wireshark的捕获过滤器的基础上运行,从Wireshark捕获的数据包中进一步筛选我们需要的数据包,并且我们可以随时修改显示过滤器的规则,以不断筛选处我们所需要的数据包。
5、使用着色规则。
合理的使用Wireshark的着色规则,可以帮助我们更好的查看Wireshark的数据包,并分析这些数据包之前的关系。
6、构建图表。
Wireshark自带有统计功能,可以将所捕获的数据包中的一些信息统计出来,并以图表的形式展示,使得数据更加直观形象。
7、重组数据。
Wireshark也带有数据包重组功能,面对一些IP分片的数据包,Wireshark可以将这些分片过的数据包进行重组,以便恢复原有的数据。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200