Wireshark
目录
1.软件使用调试
1.1. Wireshark 安装入门
1.1.1 软件介绍
1.1.2 抓包原理
1.1.3 初始安装
1.1.4 初始抓包
1.1.5 界面介绍
1.1.1 软件介绍
↶
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。【摘自-百度百科】
软件功能:
- 分析网络底层协议
- 找寻网络安全问题
1.1.2 抓包原理
↶
网络原理:
- 主机环境(抓电脑本身的网卡进出的流量)
- 集线器环境(集线器已经被淘汰了,所以在理论上分析。可以抓整个局域网的包【多态电脑连接的情况下】)
- 交换机环境
(1)端口镜像(SPAN)Copy其它端口到自己的端口【正规方式】
(2)ARP攻击 ARP欺骗/病毒 【黑客攻击】
(3)MAC泛洪(泛洪垃圾表,产生大量MAC地址)产生垃圾地址,使得原先的MAC地址挤出去【爆表】,如果查不到对应MAC表,交换机对外泛洪流量【黑客攻击】
底层原理:
- WIn-/libpcap:Wireshark抓包时所需要的库文件
- Capture引擎:捕包引擎,利用libcap/WInPcap从底层抓取网络数据包,libpcap/WinPcap提供了通用的抓包接口,能从不同类型的网络接口(包括以太网、令牌环网、ATM网等)获取数据包
- Wiretap:格式支持,从抓包文件中读取数据包,支持多种文件格式
- Core:核心引擎通过函数调用将其他模块链接在一起,起到联动调度的作用
- Epan:Wireshark Packetage Analyzing 包分析引擎
- GTK 1/2:图形化,用户最终看见的东西
- Harddisk:储存
具体实现流程:
- 流量进入【数据 01】
- wincap 进行底层驱动支持,库支持
- capture 抓包
- Wiretap 格式支持
- 通过Core核心引擎,加一些插件支持,最后把它图形化,(这就是WIreshark的整个功能)
- 最后,可以把包可以储存在硬盘里
1.1.3 初始安装
↶
安装教程有很多,我直接贴一个:图解Wireshark安装
要注意的一点是:
抓包底层支持 WinPcap 不装 WinPcap ,无法抓包,抓包的第一个环节就失效了。
Windows10 系统 要装特殊的WinPcap,链接如下:
Win10Pcap: WinPcap for Windows 10 (NDIS 6.x driver model)
注意:如果仍旧没有网卡选项出现,可以尝试安装低版本的Wireshark,不要安装3.0以上的版本。安装时基本的插件可以都勾选上,不要去选。
1.1.4 初始抓包
↶
最简单的抓包:
- 选择网卡,比如WLAN,双击进入:
- 进入抓包界面
- 保存数据包,保存之前要先关闭抓包:
然后:
填写文件名,保存一下,这样就算是简单的抓包。Wireshark支持很多储存格式,兼容性很强。
1.1.5 界面介绍
↶
复述:
- 标题栏
- 菜单栏
- 工具栏(快捷工具使用区)
- 数据包过滤栏(过滤列表栏的数据包)
- 数据包列表栏 (每一行都是数据包 协议 内容等等)
- 数据包详细区 (数据包的解读,协议支持能力,可以看出软件解包能力如何,Wireshark这方面很强)
- 数据包字节区 (二进制 16进制)
- 数据包统计区 (总共抓了多少,有多大,丢包量等等)
我们着重需要WIreshark菜单栏的功能有:
- File 文件保存
- View 展示
- Edit
- Capture 抓包
- Analyze 分析
- Statistics 统计【有难度的一块】
点我回顶部 ☚
Fin.