当前位置: 首页 > Kali Linux, TCP/IP, 安全工具, 网络安全 > 正文

Wireshark数据包分析(一)——使用入门

Wireshark简介:

Wireshark是一款最流行和强大的开源数据包抓包与分析工具,没有之一。在SecTools安全社区里颇受欢迎,曾一度超越Metasploit、Nessus、Aircrack-ng等强悍工具。该软件在网络安全与取证分析中起到了很大作用,作为一款网络数据嗅探与协议分析器,已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。

 上面是wireshark的主窗口,分三大主块:Packlist List(数据包列表)、Packet Details(数据包细节)、Packet Bytes(数据包字节)。

首选项设置

在wireshark的首选项里有很多设置,以方便定制,可在菜单栏的Edit里的Preferences里设置,其界面如下:

包括这几个部分:User Intereface(用户接口)、Capture(捕获)、Name Resolutions(名字解析)、Statistics(统计)、Protocols(协议)

查找数据包:

按ctrl+N打开查找对话框

 

可以看到有三种查询条件:

  • Display filter 通过表达式进行筛选,其功能强大,后面有具体介绍,如ip.addr==192.168.1.23
  • Hex value 通过十六进制对数据包进行筛选,如00:ff
  • String 通过字符串进行查找,如passwd

按ctrl+N向下查找,按ctrl+B向前查找。其实wireshark的使用说明已经做的非常非常的人性化的,它的所有设置窗口都有在线的帮助说明,上面是左下角的“Help”就是。而且是英文的,那么问题来了,你是到底啥不懂呢?

标记数据包:

在Packet List中选中一个数据包,右键选择Mark Packet就可以将该数据包标记,标记后该数据包会高亮显示。快捷键是选中一个数据包,按ctrl+M,取消标记同样是ctrl+M,

在多个被标记的数据之间切换可用shift+ctrl+N、shift+ctrl+B。

捕获设置:

启动Wireshark后,在左边的网络接口里的Capture Optiion可以用来设置各种数据包抓取规则。

  • 在‘1’处设置网络接口,可以选择一个接口双击,弹出该接口的具体设置信息(如下图)。这里可以设置是否开启混杂模式,是否以pcap-ng格式捕获数据包,以及按字节数限制每个捕获数据包的大小。

  • 在‘3’捕获文件的设置:这里提供了过滤规则,各种触发器(基于文件大小或时间),其中的Ring Buffer With选项可以设置环形缓冲创建文件,采用FIFO原则,只保留所设定的文件数目,从而只会捕获指定的数据包数,不会因为大量数据包占用大量空间。
  • 在‘4’停止捕获:同样的,可以以文件大小、时间或者数据包数目为触发条件,停止数据包捕获。
  • 在‘5’显示设置的相关设置。注意实时显示会增加CPU负荷,可以取消该项。
  • 在‘6’名字解析.MAC地址解析,尝试将数据链路层的MAC地址解析成网络层的IP,如果解析失败,则会按MAC地址前三个字节转换成设定制造商的名称,如Netgear_01:02:03;网络名字解析:尝试使用DNS协议,将IP地址解析成主机名,注意这会产生格外的DNS流量;传输名字解析:尝试将端口号解析成与其相关的名字,如80端口转换成http显示。

 查看端点与会话:

在wireshark的Endpoints窗口里(Statistics -> Endpoints)已经统计出了每一个端点的地址、传输发送数据包的数量u以及字节数。这里一个很有用的地方是:单击一个数据包右键,在相关选项里有该数据包的过滤语法规则,很值得学习,对于过滤规则学习很有用!!

 

网络会话是指地址A与地址B之间的会话,同样地,可以右键单击一个会话,用以创建一些有用的过滤规则。可以在Statistics -> Conversations里查看。

协议数据的分层统计:

 有时需要分析捕获数据包中各协议所占的比例,以分析网络流量是否正常。此时可以选择Statistics->Protocol Hierarchy。

 

 跟踪TCP数据流:

burpsuite的功能相似,Wireshark也有TCP流量重组功能。右键单击一个数据包选择Follw TCP/UDP Stream即可重组出数据流交互过程。其中红色表示从源地址发往目标地址,蓝色反之。

wireshark的入门就简单到这里了。我只是简单的介绍了一下,其功能十分强大,是数据包分析的一大利器!!要想深入学习,还需要使用者去探索尝试,特别是在实战中的应用,有很多的乐趣哦。后期将继续讲解wireshark高级过滤的实战应用,也欢迎各位感兴趣的同学一起交流技术:)



这篇博文由 s0nnet 于2014年11月06日发表在 Kali Linux, TCP/IP, 安全工具, 网络安全 分类下, 欢迎你在下面发表评论
如无特别说明,独木の白帆发表的文章均为原创,欢迎大家转载,转载请注明: Wireshark数据包分析(一)——使用入门 | 独木の白帆
关键字:

Wireshark数据包分析(一)——使用入门:等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter