Wireshark 抓包使用 Wireshark 是一款最流行和强大的开源数据包抓包与分析工具,可以截取各种网络数据包,并可以查看网络数据包详细信息。Wireshark 在网络安全与取证分析中起到了很大作用,作为一款网络数据嗅探与协议分析器,已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。 一、Wireshark 简介 Wireshark 是一款功能强大、开源的网络协议分析工具,可以截取和分析各种网络数据包,帮助用户了解网络协议的工作原理、网络流量的组成、网络流量的变化趋势等。Wireshark 可以在 Windows、Linux、MacOS 等多种操作系统上运行,支持多种网络协议,包括 TCP/IP、HTTP、HTTPS、FTP、SMTP 等。 二、Wireshark 的基础使用 1. 使用 Wireshark 需要了解网络协议,否则就看不懂 Wireshark。 2. Wireshark 能获取 HTTP,也能获取 HTTPS,但是不能解密 HTTPS,所以 Wireshark 看不懂 HTTPS 中的内容。 3. Wireshark 是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 4. Wireshark 的窗口介绍数据包列表(Packlist List)包括序列号、时间、源地址、目的地址、协议、包长度、信息等信息。 三、Wireshark 的窗口介绍 1. 数据包列表(Packlist List):显示当前捕获的网络数据包的信息,包括序列号、时间、源地址、目的地址、协议、包长度、信息等信息。 2. 数据包细节(Packet Details):显示当前选择的数据包的详细信息,包括数据包字节(Packet Bytes)、协议信息、源地址、目的地址等信息。 3. 着色规则:数据包列表区中不同的协议使用了不同的颜色区分,可以根据着色规则快速筛选需要的数据。 四、Wireshark 的着色规则 1. Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update,即 TCP 解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。 2. HSRP State Change:hsrp.state != 8 && hsrp.state != 16,HSRP 即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非 active 和 standby。 3. Spanning Tree Topology Change:stp.type == 0x80,生成树协议的状态标记为 0x80,生成树拓扑发生变化。 4. OSPF State Change:ospf.msg != 1,OSPF(Open Shortest Path First,开放式最短路径优先协议)的 msg 类型不是 hello。 5. ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4,ICMP 协议错误,协议的 type 字段值错误。 6. ARP:arp,即 ARP 协议。 7. ICMP:icmp || icmpv6,即 icmp 协议。 8. TCP RST:tcp.flags.reset eq 1,TCP 流被 RESET。 9. SCTP ABORT:sctp.chunk_type eq ABORT,串流控制协议的 chunk_type 为 ABORT(6)。 10. TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp),TTL 异常。 11. Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1,条件中的各类协议的 checksum 异常,在 PC 上抓包时网卡的一些设置经常会使 Wireshark 显示此错误。 12. SMB:smb || nbss || nbns || nbipx || ipxsap || netbios,即 Server Message Block 类协议。 Wireshark 是一款功能强大、开源的网络协议分析工具,可以帮助用户了解网络协议的工作原理、网络流量的组成、网络流量的变化趋势等,是网络安全与取证分析的必用工具。
剩余16页未读,继续阅读
- 粉丝: 0
- 资源: 3
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
评论0