Source: Décrire l'utilisation et le fonctionnement de l' outil de capture Wireshark
Wireshark est un logiciel d'analyse de paquets réseau très populaire, est très puissant. Divers réseaux peuvent être interceptés paquet, le paquet de réseau pour afficher plus d' informations. Utilisez le peuple doivent comprendre le protocole réseau, sinon il ne peut pas lire le Wireshark.
Pour des raisons de sécurité, paquet Wireshark ne peut voir, mais pas modifier le contenu d'un paquet ou des paquets envoyés.
Wireshark pouvez obtenir HTTP, HTTPS peut obtenir, mais ne peut pas déchiffrer le protocole HTTPS, HTTPS si Wireshark pour voir comprendre pas le contenu du résumé, si la transaction HTTP, HTTPS ou Fiddler, d'autres protocoles tels que TCP, UDP à utiliser Wireshark.
début de capture Wireshark
Commencez l'interface
réseau de capture de paquets Wireshark un morceau de carton sur la machine, lorsque plusieurs cartes réseau sur votre machine, vous devez sélectionner une carte.
Cliquez sur Caputre-> Interfaces .. La boîte de dialogue suivante apparaît, sélectionnez la bonne carte. Ensuite, cliquez sur le bouton « Démarrer » pour lancer la capture
fenêtre Wireshark Présentation
L'interface principale est divisée en plusieurs WireShark
1. Filtre d'affichage (filtre d'affichage) pour filtrer
2. Liste des paquets volet (liste de paquets), affiche les paquets capturés, l'adresse active et de destination, numéro de port. Différentes couleurs, au nom de
3. Détails sur le paquet volet (paquet de détails), le paquet dans le champ d'affichage
4. Dissector volet (16 données hexadécimales)
5. Miscellanous (barre d'adresse, Divers)
Utilisez les filtres est très important, quand les débutants Wireshark, va obtenir beaucoup d'informations redondantes dans des milliers ou des dizaines même de milliers de disques, qu'il est difficile de trouver la partie dont ils ont besoin. Se bloque.
Filtres nous aider à trouver rapidement les informations dont nous avons besoin de grandes quantités de données.
Il y a deux filtres,
L'un est un filtre d'affichage, qui est l'interface principale, nécessaire pour l'enregistrement dans l'enregistrement capturé Trouvées
L'un est le filtre de capture pour le filtrage capture de paquets, afin de ne pas capturer trop de dossiers. Paramètres> Filtres de capture - à la capture
filtre Enregistrer
Dans la barre de filtre, remplissage expression filtre, cliquez sur le bouton Enregistrer un nom. Par exemple "Filter 102",
Le bouton Filtre bar sur plus d'un « filtre 102 » de.
Filtrage des expressions régulières
Règles d'expression
1. Protocole Filtre
Tels que TCP, le protocole TCP afficher uniquement.
2. Filtre IP
Par exemple ip.src == 192.168.1.102 adresse source d'affichage 192.168.1.102,
ip.dst == 192.168.1.102, l'adresse de destination est 192.168.1.102
3. filtrage de port
tcp.port == 80, le port 80
tcp.srcport == 80, est prêt à montrer que le port du protocole TCP 80.
4. Filtre en mode Http
http.request.method == "GET", ne montrent que la méthode HTTP GET.
Les opérateurs logiques ET / OU
Couramment utilisés expression de filtre
Utiliser une expression de filtre
Liste des paquets (Packet List Pane)
Liste des paquets dans le panneau d'affichage, le numéro, l'horodatage, adresse source, adresse de destination, le protocole, la longueur et l'information de paquets. Vous pouvez voir les différents protocoles utilisés couleurs différentes.
Vous pouvez également modifier ces règles d'affichage couleur, Voir -> Règles à colorier.
Détails sur le paquet (paquet volet Détails)
Ce panneau est notre plus important, de voir l'accord dans chaque domaine.
Chaque ligne d'information respectivement
Monture: un profil de trame de données de couche physique
Ethernet II: liaison de données couche d'informations d'en-tête de trame Ethernet
Internet Protocol Version 4: couche Internet des informations d'en-tête de paquet IP
Transmission Control Protocol: données couche de transport secteur T d'informations d'en-tête, ici TCP
Hypertext Transfer Protocol: la couche d'application, où le protocole HTTP
Le contenu spécifique des paquets TCP
Wireshark capturé peut être vu dans chaque champ du paquet TCP de la figure.
Voir ce, essentiellement pour wireshak avoir une compréhension préliminaire, maintenant nous voyons un exemple d'une poignée de main à trois voies TCP
poignée de main à trois voies est
Cette carte, je l'ai vu plusieurs fois avant, cette fois-ci, nous utilisons l'analyse réelle Wireshark processus de négociation à trois voies.
Ouvrez Wireshark, ouvrez votre navigateur et entrez http://www.cr173.com
Wireshark http entré dans le filtre, puis sélectionnez ce dossier GET / tankxiao HTTP / 1.1, puis faites un clic droit sur le « Suivez TCP Stream »,
Le but est d'obtenir le navigateur pour ouvrir le paquet de données relatives au site, vous obtiendrez le tableau suivant
Le chiffre peut être vu Wireshark intercepté trois paquets à la poignée de main à trois voies. Le quatrième paquet est HTTP, ce qui indique que l'utilisation est en effet d'établissement de connexion TCP HTTP.
Le premier paquet de poignée de main
Un client envoie le TCP, drapeau est SYN, numéro de séquence 0, la demande d'établir une connexion au nom du client. Comme indiqué ci-dessous
Deuxième paquets poignée de main
Le serveur envoie drapeau de paquets d'accusé de réception de retour est SYN, ACK. Numéro de confirmation (Acquittement Number) est fixé à des clients ISN plus un.-À-dire 0 + 1 = 1, tel que représenté ci-dessous
Troisième paquets poignée de main
Le client envoie un paquet d'accusé de réception à nouveau (ACK) le bit de drapeau SYN est égal à 0, le drapeau ACK est envoyé à partir du serveur 1 et le champ de numéro de séquence d'accusé de réception d'une à l'autre sur le champ de transmission déterminé. Et mis dans un ISN écrit segment de données +1, comme indiqué ci-dessous:
Donc, par la poignée de main à trois voies TCP pour établir une connexion
Wireshark est avant tout analyseur de protocole de réseau mondial, est la norme dans de nombreuses industries. Ce logiciel, en 1998 a continué.
L'accord comprend des centaines de fonctions d'inspection en profondeur, a ajouté plus de temps, la capture en temps réel et l'analyse hors-ligne standard navigateur paquet de trois volets, vous pouvez parcourir les données de réseau capturées par une interface graphique, ou via le modèle utilitaire ATS tshark et riche analyse VoIP.