一、工具简介
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。Wireshark是世界上最重要和广泛使用的网络协议分析器。它让您可以在微观层面上看到网络上发生的事情,Wireshark具有丰富的功能集,其中包括以下内容:
- 深入检查数百个协议,并不断添加更多协议
- 实时捕获和离线分析
- 标准三窗格数据包浏览器
- 多平台:在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和许多其他平台上运行
- 可以通过 GUI 或通过 TTY 模式的 TShark 实用程序浏览捕获的网络数据
- 业内最强大的显示过滤器
- 丰富的VoIP分析
- 读取/写入许多不同的捕获文件格式:tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®(压缩和未压缩)、Sniffer® Pro 和 NetXray®、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等使用 gzip 压缩的捕获文件可以即时解压缩
- 可以从以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI 等(取决于您的平台)读取实时数据
- 对许多协议的解密支持,包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2
- 可将着色规则应用于数据包列表,以进行快速、直观的分析
- 输出可以导出为 XML、PostScript®、CSV 或纯文本
二、安装步骤
1、官网下载软件包
官网下载最新稳定版的软件包,根据系统环境选择对应的版本,博文发布时最新稳定版为3.4.9。wireshark下载地址。
2、双机exe安装程序开始安装
双机exe程序后开始安装,安装步骤说明仅针对重要步骤或者选项步骤进行说明,安装过程中如果是未截图说明的安装安装提示点击即可。
3、选择安装组件
4、设置安装后的启动快捷方式
5、配置安装位置
6、选择安装npcap网络抓包工具
7、选择安装USB流量抓包工具
8、npcap安装选项选择
9、安装完成
安装完成后需要重启系统。
三、使用说明
1、选择待抓包的网卡
2、启停抓包功能
3、过滤指定的包
在捕获过滤器栏内输入过滤规则,更多的过滤规则使用说明见抓包工具之wireshark常用过滤表达式
4、查看数据包
四、wireshark解密https流量
方法一、导入网站服务器私钥
此方面配置简单,因为需要网站私钥,仅适用于分析自己的网站流量。
方法二、通过浏览器的 SSL 日志功能
目前该方案只支持Chrome和Firefox浏览器,通过设置SSLKEYLOGFILE环境变量,可以指定浏览器在访问SSL/TLS网站时将对应的密钥保存到本地文件中,有了这个日志文件之后wireshake就可以将报文进行解密了。
- 设置系统环境变量
- wireshark下设置指定TLS key文件
- 抓取https包测试
测试结果为启动抓包后就卡死,软件为未响应状态,博主暂未找到原因,有知道的大神请还望不吝赐教。
如果需要抓包https的同学,可以参照博文抓包工具之Fiddler的安装和使用,可以抓取https流量包,使用的是中间代理的模式。