世界观点:【保姆级教学】抓包工具Wireshark使用教程
今天讲一下另一款底层抓包软件,之前写过两篇抓包软件分别是
fiddler抓包【https://www.cnblogs.com/zichliang/p/16067941.html】mitmdump抓包【https://www.cnblogs.com/zichliang/p/16067941.html】Wireshark (前身 Ethereal) 是一个网络包分析工具该工具主要是用来捕获网络数据包,并自动解析数据包为用户显示数据包的详细信息,供用户对数据包进行分析当然wireshark更多的偏向于硬件底层多一点。偏向于底层接口抓包。wireshark可以通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。那常见的协议过滤是哪几种呢?常见协议包抓取ARP协议ICMP协议TCP协议UDP协议DNS协议HTTP协议WireShark应用网络管理员会使用wireshark来检查网络问题网络安全工程师 使用Wireshark 来检查资讯安全相关问题软件测试工程师使用wireshark抓包,来分析自己测试的软件开发人员 使用Wireshark来为新的通讯协议除错从事socket编程的工程师会用wireshark来调试普通使用 使用Wireshark 来学习网络协议的相关知识还可以抓一些敏感信息....下载及安装Kali Linux系统自带 Wireshark 工具,而windows 需要手动安装wireshark下面贴上下载官网:https://www.wireshark.org/download.html下载完之后一直点下一步安装即可。
(资料图片仅供参考)
wireshark的界面介绍首先安装完了之后,我们打开抓包软件可以看到有很多的网络接口,那我们应该如何选择呢?win+r =====> cmd ====> ipconfig
选择我们现在正在上网的网卡这里用的wifi 就直接抓wlan这个网卡了。直接鼠标双击点进去可以看到有很多的数据包
整体来说,界面主要分为以下几部分:菜单栏:Wireshark的标准菜单栏。工具栏:常用功能的快捷图标按钮,提供快速访问菜单中经常用到的项目的功能。过滤器:提供处理当前显示过滤得方法。Packet List面板:显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包,其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。Packet Details面板:分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。Packet Bytes面板:以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子,也就是在链路上传播时的样子。状态栏:包含有专家信息、注释、包的数量和Profile。
在此之前了解下抓包的两种模式。
混杂模式与普通模式不勾选就是普通模式那什么是混杂模式 和普通模式呢?
混杂模式: 混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址普通模式: 普通模式下网卡只接收发给本机的包 (包括广播包)传递给上层程序,其它的包一律丢弃一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用
菜单栏文件:打开文件集、保存包、导出HTTP对象编辑:清除所有标记的包、忽略包和时间属性视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色跳转:跳转到某个设置好的分组列表捕获:用于设置模式和开始与停止分析:创建显示过滤器宏、查看启用协议、保存关注解码统计:创建图表并打开各种协议统计窗口电话:执行所有语音功能(图表、图形、回放)无线:用于设置无线蓝牙等抓包的功能工具:根据包内容构建防火墙规则、访问Lua脚本工具帮助:学习wireshark全球存储和个人配置文件
工具栏从左至右
开始捕获停止捕获重新开始当前捕获捕获选项打开已保存的捕获文件保存捕获文件关闭捕获文件重载捕获文件查找一个分组转到前一个文组转到后一个分组转到特定分组转到首个分组转到最新分组在实时捕获时,自动滚动屏幕到最新的分组.放大主窗口文本收缩主窗口文本使主窗口文本回归正常大小调整分组列表以适应内容过滤器当用户面向大量需要处理的数据时,可以通过使用显示过滤器快速的过滤自己需要的数据。下文会详细介绍,搜索即可过滤。
Packet List面板No. :包的编号 ————————————默认wireshark是按照数据包编号从低到高排序,该编号不会发生改变,即使使用了过滤也同样如此Time:包的时间戳。时间格式可以自己设置Source 和Destination :包的源地址和目的地址Protocol:包的协议类型Length:包的长度Info:包的附加信息
右击还有其他的一些配置
packet details在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为(1)Frame: 物理层的数据帧概况(2)Ethernet II: 数据链路层以太网帧头部信息(3)Internet Protocol Version 4: 互联网层IP包头部信息.... (这里点点点表示 不同的包所展示的是不同的内容)分层的显示了一个数据包中的内容,并且可以通过展开或者收缩来显示这个数据包中所捕获的全部内容还可以看到一些详细信息。
packet bytes这个板块 分为两部分 左边这部分是16进制的数据,右边是ASCII格式
当在packet details面板中选择任意一个字段后,在packet bytes面板中包含该字段的字节也高亮显示
最底层状态栏分为一些杂项和地址栏。个人感觉作用不大。
过滤器的使用。刚刚点击了停止抓包 要是重新开启抓包点击左上角这个按钮
如果想保存就点击第一个,一般做测试都是不保存的。然后就可以重新开始抓包了。
然后就正式开始过滤抓包了,我们想抓http相关的包====> 直接输入http或者tcp可能这样显得不太直观。
举个三次握手四次挥手的例子。当输入 tcp.flags.ack == 0
即代表底层握手(链接成功)当输入 tcp.flags.syn == 1
即代表底层握手(数据发送成功)不懂的可以自己去百度什么是三次握手四次挥手。
所抓到也都是底层链接成功和发送成功的包。当然 命令和命令之间也可以通过and 或者or来完成与或非的关系。即使讲到了链接和发送的命令 再讲一下发送成功结束的命令tcp.flags.fin==1
其中展示了本机向此服务器发送成功的数据包之前所讲到的所有协议包 都可以在这里过滤,比如 udp,http,tcp 等等等
刚刚讲了可以通过协议过滤 那我们再抓取网站数据的时候能不能通过IP过滤呢。搜下我们本地发送了那些包ip.src_host==192.168.2.51
可以清楚的看到source来源就都是我们的主机了搜下目标地址是百度的包 百度的IP地址是180.101.50.188ip.dst_host == 180.101.50.188
还有一个命令 ip.addr 代表着 只有IP是xxx 就全部显现出来,不管是接收 还是发送
wireshark解析ARP协议在了解使用wireshark分析arp协议之前,我们先来了解下,什么是是arp协议?
通俗点说,在局域网中通信时使用的是MAC地址,而不是常见的IP地址。所以在局域网的两台主机间通信时,必须要知道对方的MAC地址,这就是ARP协议要做的事:将IP地址转换为MAC地址。
光看这个讲arp可能太笼统了,我们肯定之前听过一个名称——arp欺骗,那什么是arp欺骗呢?
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了
这里也介绍完了我们先来抓下arp的包 ,直接在过滤器中搜索ARP,并且随意打开一个包
Hardware type(网卡类型):以太网(Ethernet)是1。我们常见的网络都是以太网Protocol type:查询中提供的网络地址的类型,IPv4是0x0800。Harware size:网卡地址长度,以太网网卡是6字节。Protocol size:查询中提供的网络地址的的长度,IPv4是4字节。Opcode:查询包值为1,响应包值为2。Sender MAC address:发送者的Mac地址。Sender IP address:发送者的IP地址。Target MAC address:接收者的Mac地址,指向性查询包是MAC地址表中记录的mac,广播性查询包是00:00:00:00:00:00。(注意区分ARP头和Eth头,指向性查询包Eth头的dst mac是MAC地址表中记录的mac,而广播性查询包是ff:ff:ff:ff:ff:ff)。Target protocol address:要查询目标的mac地址的ip。再来看一下回复包故: 由一个request 和一个reply 组成的一组arp包,有请求有回复组成的arp响应。
WireShark解析ICMP协议使用Ping命令用来测试网络的可达性。从而接受ICMP的报文包首先我们ping下自己的网关然后找下wireshark中刚刚抓到的包重点看下ICMP里面的内容type:报文类型,8代表请求,0代表应答;code:为0,表示为回显应答成功;checksum:表示认证这个ICMP报文是否被篡改过。校验完整性。checksum Status: 表示校验的结果,Good代表没问题。identifier:表示标识符IDSequence Number: 表示序列号Data: 具体发送到数据包,当然肯定是通过加密的。
这是请求数据,还有一组回复数据
可以看到。标示符和序列号都是一样的
wireshark 解析TCP协议即两台电脑或者是两台机器之间的相互链接>>>中间会经历一个三次握手 四次挥手的过程。
TCP 三次握手如下图所示是示意图>>>我们随意打开一个网页:百度 IP是180.101.50.188如上图所示 有syn的tcp链接包然后我们来看下TCP协议的具体的内容
封包信息:
Frame: 物理层的数据帧概况Ethernet II: 数据链路层以太网帧头部信息Internet Protocol Version 4: 网络层IP包头部信息Transmission Control Protocol: 传输层TCP数据段头部信息传输层TCP数据段信息
源端口:source Port: 44922目的端口:Destination Port: 19999序号:sequence Number: o确认号:Acknowledgment number: o报头长度:Header Length: 4o bytes标志位:Flags: ox002 (SYN)校验和:Checksum: oxac81当然这么看肯定不太直观,还要结合这回复包去看每一条信息。所以我们可以打开流数据包来查看tcp协议报文选择限制显示过滤器 选择百度的地址这样看起来就非常的直观了。
TCP断开链接 四次挥手既然有链接,肯定就有断开链接 天下无不散之筵席嘛,不可能一直互相连接的。而断开链接则有另一个名词—— 四次挥手和三次握手一样,我们直接关闭百度这个网站,然后去wireshark中搜索180.101.50.242这个ip(由于百度的地址会改变,我们需要实时查看下百度的ip)
首先就会发起第一步:客户端打算断开连接第二步:服务器收到连接释放报文段(FIN报文)后,就向客户端发送ACK应答报文第三步:服务器也打算断开连接,向客户端发送连接释放(FIN)报文段第四步:客户端收到来自服务器的连接释放(FIN)报文段后,会向服务器发送一个ACK应答报文段,以连接释放(FIN)报文段的确认序号 ack 作为ACK应答报文段的序列号 seq,以连接释放(FIN)报文段的序列号 seq+1作为确认序号ack。
wireShark 解析HTTP协议http的底层本质上还是TCP协议。话不多说,直接请求百度地址。这里百度地址不是www.baidu地址然后打开抓包软件 搜索tcp还可以查看具体信息
总结总的来说,WireShark非常强大,不仅可以抓各种包,还能对局域网的某些数据进行监控抓包分析。非常强大。不过要慎用。
标签:
-
2022-02-07 14:57:45
奇迹!绝杀!女足亚洲杯逆转夺冠!<
刚刚,中国女足上演逆转绝杀奇迹!她们在亚洲杯决赛中3:2力克韩国队,时隔16年再夺亚洲杯冠军!
-
2022-02-07 14:57:45
中国政府与阿根廷共和国政府签署共建“一带一路”谅解备忘录<
新华社北京2月6日电(记者安蓓)国家发展改革委6日称,国家发展改革委主任何立峰与阿根廷外交、国际贸易和宗教事
-
2022-02-07 14:57:43
中华人民共和国和阿根廷共和国关于深化中阿全面战略伙伴关系的联合声明(全文)<
新华社北京2月6日电中华人民共和国和阿根廷共和国关于深化中阿全面战略伙伴关系的联合声明一、应中方邀请,阿根廷
-
2022-02-07 14:57:40
春节假期国内旅游出游2.51亿人次<
春节遇冬奥,旅游年味浓。根据文化和旅游部数据中心测算,2022年春节假期7天,全国国内旅游出游2 51亿人次,同比
-
2022-02-07 14:57:40
中吉签署关于经典著作互译出版的备忘录 开启两国人文交流互鉴新阶段<
新华社北京2月6日电(记者史竞男)国家主席习近平6日会见来华出席北京2022年冬奥会开幕式的吉尔吉斯斯坦总统扎帕
-
2023-06-13 16:25:54
世界观点:【保姆级教学】抓包工具Wireshark使用教程
wireshark介绍今天讲一下另一款底层抓包软件,之前写过两篇抓包软件分
-
2023-06-13 16:00:33
全球热文:武汉康晟环保环创科技有限公司
武汉康晟环保环创科技有限公司投诉直通车是湖南日报、华声在线、新湖南
-
2023-06-13 15:32:06
福州医保网上缴费流程及时间查询 2023年福州医保缴费时间是几月到几月?
福州医保网上缴费流程及时间查询,下文跟着社保网小编一起去看看吧。福
-
2023-06-13 14:56:45
天天信息:安徽科技
1、《安徽科技》创刊于1988年,是由安徽省科学技术厅主管、安徽省科学
-
2023-06-13 14:12:05
新易盛(300502):该股换手率大于8%(06-13)
摘要:2023年06月13日新易盛(300502)换手率大于8%,主力资金净流入11
-
2023-06-13 13:37:14
全球今热点:2006-28 《孙中山诞生一百四十周年》纪念邮票
(4-1)J 孙中山故居 80分 793 71万枚(4-2)J 中山陵 80分 8
-
2023-06-13 13:00:01
美国退群后又申请进群,中国也不客气,提了一个条件
(一)还记得美国一言不合就退群吗?反正,过去几年,全世界都看得目瞪
-
2023-06-13 12:23:41
世界热资讯!汉鑫科技:6月8日接受机构调研,中泰证券参与
2023年6月12日汉鑫科技(837092)发布公告称公司于2023年6月8日接受机
-
2023-06-13 11:42:52
iphone5c充电速度_iphone5充电时间_观点
1、五块电瓶的电瓶车正常充满电需要8-10个小时左右。2、最多不会超过12
-
2023-06-13 11:14:06
3天往返12趟!三亚警方护航伤病考生圆梦高考_前沿资讯
6月10日12时30分,伴随着一阵急促的课铃响起,三亚市第一中学高考考点
-
2023-06-13 10:46:48
安全警示牌标准尺寸的观察距离_安全警示牌标准尺寸
1、大的用1146*860小的用500*375或者640*480。本文分享完毕,希望对大
-
2023-06-13 10:39:51
一言不合引发冲突 两伙人聚众斗殴被判刑 要闻
法院审理认为,王某、金某等人出于逞强斗狠,邀约他人在公共场所聚众斗
-
2023-06-13 10:17:21
勇士管理层完成权力更迭,三方交易革故鼎新,保罗携手字母哥争冠
勇士管理层完成权力更迭,三方交易革故鼎新,保罗携手字母哥争冠,保罗,
-
2023-06-13 09:39:22
天天实时:绿的谐波:6月12日融资买入6305.57万元,融资融券余额7.02亿元
6月12日,绿的谐波(688017)融资买入6305 57万元,融资偿还5777 02万
-
2023-06-13 09:07:10
地名保护是门艺术 尊重历史兼顾古今-新动态
地名保护是门艺术,城市地名一代又一代居民共同的家园。又是与先人、与
-
2023-06-13 08:46:11
天天简讯:我想问一下高考后,理科生选什么专业好,都说选择大于努力,是这样的吗?
“选择大于努力”的真正意义是说,在做选择的时候要结合自己的实际情况
-
2023-06-13 07:46:01
芝加哥农产品期价12日涨跌不一
新华社芝加哥6月12日电(记者徐静)芝加哥期货交易所玉米、小麦和大豆
-
2023-06-13 07:07:35
齐鲁政情丨“山东多地开放政府大院晒粮”上热搜,网友:把为民服务落到了实处
6月12日,微博话题 山东多地政府开放场地让村民晒麦 登上山东16市同城
-
2023-06-13 06:00:48
今日热讯:江西上高:贴心为老服务,真心盼老幸福
江西上高:贴心为老服务,真心盼老幸福“爷爷,我们来看您了。”“奶奶
-
2023-06-13 05:24:18
交联的定义是什么意思(交联的定义是什么)
联的定义是什么意思,交联的定义是什么这个问题很多朋友还不知道,来为
-
2023-06-13 01:12:19
“鼠鼠我鸭”背后,官方解释如何才有说服力|天天报道
近日,一则“江西一高校饭菜中疑吃出老鼠头”的视频引发热议。事后,江
-
2023-06-12 22:49:21
当前关注:菲达环保(600526):浙江菲达环保科技股份有限公司第八届监事会第十七次会议决议
证券代码:600526证券简称:菲达环保编号:临2023-032浙江菲达环保科技
-
2023-06-12 21:49:05
【环球播资讯】北京海淀城市大脑新阶段十大应用场景需求发布
中新网北京6月12日电 (记者 陈杭)12日,2023中关村论坛系列活动—
-
2023-06-12 21:03:59
天天热点!多家银行宣布!今起再次下调→
多家银行宣布!今起再次下调→,定存,招商银行,定期存款利率
-
2023-06-12 20:08:48
河南省夏播面积过九成 已播种8234万亩 全球速看
记者从河南省农业农村厅了解到,截至6月12日,河南省夏播面积8234万亩
-
2023-06-12 19:37:13
火影忍者晓组织戒指折纸_火影忍者晓组织戒指 环球热消息
1、戒指の零——佩恩代号:零无戒指位置:右手大拇指流派:雨忍原所属
-
2023-06-12 18:36:51
每日消息!Mysteel日报:上海钢筋网片小幅下跌 市场情绪较为观望
【市场总结】 上海本地钢筋网片价格小幅下跌;具体来看,今日螺纹期
-
2023-06-12 18:11:55
以医疗科技创新筑牢“护城河” AMIRO觅光登陆2023深圳国际高性能医疗器械展
汇前沿创新,聚智造高地。6月8—10日,由深圳市人民政府指导,中国医学
-
2023-06-12 17:11:32
长春快速路启用24处测速抓拍点位
原标题:长春快速路启用24处测速抓拍点位为保证快速路交通安全,长春市
-
2023-06-12 16:00:22
全方位展现滨海美景 福建奋力开创文旅融合发展新格局-每日快播
近日,由福建省文化和旅游厅(简称福建省文旅厅)推出的“1号滨海风景道