Wireshark抓包分析
(仅作为个人笔记,如有雷同,请联系删除。。)
下载:https://www.wireshark.org/#download
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mvgt05Xp-1649780036559)(images/W6du7OwPpCU6tW7wMgXtqcvN5x4pwY8xovZ6v9lFCHs.png)]](https://img-blog.csdnimg.cn/f3f2e7b529254e268ff3990d30e5a543.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5L2g5Lus55qE5aW95pyL5Y-L5aSn5by6,size_20,color_FFFFFF,t_70,g_se,x_16)
1、设置时间格式:视图–>时间显示格式
2、设置解析:视图–>Name Resolution,可以直接将mac地址、ip地址转换为易懂的名字
3、数据包的处理:
- 合并数据包:当需要抓多个较大的包时,可能需要将抓到的几个数据包进行合并
- 打印数据包:将数据包打印成pdf格式,Ctrl+P
- 导出数据包:可以选择是导出标记的数据包、选择的数据包、全部数据包
4、编辑-首选项:一些全局配置,能进行布局调节,颜色设置,Ctrl+Shift+P
5、抓包选项设置:
-
输入:选择抓包接口。要开启混杂模式:是指也会抓取不属于自己主机的数据包。
-
输出:将抓到的数据包分文件保存。可以设置文件大小,保存为多个文件,还可以设置路径。可以设置每多少秒保存为一个文件,可以设置为每多少个分组保存为一个文件,也可以设置一个目标达成之后停止抓包。
-
选项:抓到的包显示设置。
显示选项 解析名称 实时更新分组列表:抓到的包一直更新 解析MAC地址 实时捕获:平常数据包在不停的滚动就是因为打开了这个 解析网络名称 在实时捕获期间显示过滤信息:打开之后可以显示 解析传输层名称
6、抓包过滤器:在设置了过滤项之后只抓取需要的包
- 类型typ:
host、net、port - 方向dir:
src、dst - 协议proto:
ether、ip、tcp、udp、http、ftp - 逻辑运算符:
and、or、not、&&、||、!
# 举例
# 过滤mac地址(适用于目标主机ip地址、端口号一直在变动)
ether host 8c:78:d7:08:57:10
# 过滤ip地址
src host 192.168.1.101
# 过滤端口号
!src port 80
# 过滤协议:对于那些二三层不常用的协议,直接输入协议名就好
icmp
# 整合:利用与运算符&&或者或运算符||来加强过滤条件的限制
ecp and src host 192.168.1.101 and !src port 80
7、显示过滤器:抓取所有包,之后再根据过滤规则的不同显示需要的包。
语法格式:一条基本的表达式由过滤项、过滤关系、过滤值组成。eg: ip.src == 192.168.1.101
过滤项:协议 + . + 协议字段
-
过滤IP地址:
ip.src、ip.dst、ip.addr、eth.addr、eth.type -
过滤端口:
tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn -
过滤协议:
arp、tcp、udp、http -
逻辑运算符:
and、or、not、&&、||、!、==、in、contains# 举例 ip.src == 192.168.1.101 ip.dst == 10.90.11.88 ip.src == 192.168.1.101 and ip.dst == 10.90.11.88 tcp.port == 80 tcp.srcport == 80 tcp.dstport == 80 tcp.flag.syn == 1 not http !udp ip.src == 192.168.1.101 and tcp.srcport == 80 or ip.dst == 10.90.11.88 and tcp.flag.syn == 1 http.request.method == "POST" # 过滤请求方式 http.request.url contains admin # 过滤要求u rl中包含admin http.request.code == 404 # 过滤请求状态码
8、数据分析界面:
- 捕获到的所有数据包的列表,注意最后一列info是组织说明列,不一定是该数据包中的原始内容;
- 选中数据包的分层协议展示,选中某一层,在下面对应的原始数据会高亮显示;
- 选中数据包的原始数据,其中左侧十六进制表示,右侧ascii码表示;
9、着色规则:视图–>着色规则
10、数据包的大致结构:
- 第一行:数据包整体概述;
- 第二行:链路层详细信息,主要的是双方的mac地址;
- 第三行:网络层详细信息,主要的是双方的IP地址;
- 第四行:传输层的详细信息,主要的是双方的端口号;
- 第五行:和协议相关,不同的协议展示不同的内容。例如:dns协议,展示域名系统相关信息
11、数据流的追踪:
一个完整的数据流一般都是由很多个包组成的。想要查看某条数据包对于的数据流:选中数据,右键选择追踪流。里面就会有tcp流、udp流、ssl流、http流。数据包属于哪种流就选择对应的流。然后会弹出该流的完整的数据流以及这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则。
12、专家信息:分析–>专家信息。可以对数据包中特定的状态进行警告说明。errors[ 错误 ]、warnings[ 警告 ]、notes[ 标记 ]、chats[ 对话 ]
13、统计:对抓取的数据包进一步的分析。可以根据数据包的属性、已解析的地址、协议分级、IO graphs(显示抓包文件中的整体流量情况)等等进行统计分析。
