工具 - Wireshark使用


Wireshark

简介

  • 抓包嗅探协议分析
  • 安全专家必备技能
  • 抓包引擎(wireshark本身是分析数据包, 抓包靠下面两个引擎)
    • Linux上: Libpcap
    • Windows上: Winpcap
  • 解码能力(衡量抓包软件好坏的重要标准)

基本使用方法

启动
捕获->选项-> … …

选择抓包网卡

混杂模式
勾选上之后,如果数据包不是发送给我指定这个网卡的,也会被抓取

抓包筛选器
指定抓什么包,不抓什么包

实时抓包

就是主界面

保存和分析捕获文件

先停止,再保存(可以选择格式, 尽量使用.pcap格式),压缩等, 下次可以导入已经抓取的数据包文件

首选项

编辑->首选项 -> 可以自己根据需要修改和定制界面布局

筛选器

  • 过滤干扰的数据包
  • 抓包筛选器(捕获, 选项里面那个)
  • 显示筛选器(主界面那个, 更多使用) – 常用语法

可以单独选择,也可以叠加(and, or)上面的条件进行筛选:

常见协议数据包

数据包的分层结构显示

ARP


IP

Protocol字段: 表示上层是: udp–> 17, tcp–> 6, icmp –>2, igmp –>2
四层有好多中协议对应不同的数字
Header checksum字段:校验和, 每两位进行异或

tcp和udp一般不会有option字段(视情况而定)

TCP


附:
三次握手

四次挥手

UDP

udp和tcp的类似,自己实践能看懂
udp开销更小

DNS

应用层协议,基于udp

HTTP


ftp

这里没ftp服务器就先不放图了
ftp也是一个应用层协议

wishark默认是用端口区分协议(假设我们手动把http不开在80端口,wireshark分不清非标准端口的, 需要我们手动修改.如下图.)

数据流

比如访问一个网页, 往往产生很多数据包
wireshark提供了数据流

  • http
  • smtp
  • pop3
  • ssl 等

操作(以http为例):

按照上图操作完后,会来到数据流的界面,如下:

信息统计

1.查看导入数据包文件摘要信息
导入数据包文件,打开“统计”->“文件属性”:可以看到一些摘要性的信息

2.节点数
打开“统计”->“endpoint”: 可以以ip地址区分/udp有多少/二层的包头/其他标准区分 节点的个数等
Tx表示发送, Rx表示接收的数据包

3.协议分布
打开“统计”->“协议分级”:可以看到每个协议里面什么协议的占用百分比(DNS流量占用一般都很小,否则很有可能出现异常)

4.包大小分布
打开“统计”->“分组长度”:可以看到大包多还是小包多

5.会话连接
打开“统计”->“conversations”:可以看到哪两台机器之间数据包会话传送最多啥的

6.解码方式
对于非默认端口的数据包,wiresharl只会按端口区分的
右键, 手动decode为指定的协议, 这样wireshark就会按正确的协议来解析

需要熟悉不同协议数据包的内容, 防止手动解析错误

7.专家系统
“分析” -> “专家系统”: 可能自动给我们一些提示

思路:如果很多个数据包,先从统计信息入手,分析出重点,找出方向。然后筛选出来,逐步分析包的内容

实践

  • 抓包对比nc、ncta加密与不加密的流量
  • 企业抓包部署方案 (Wiershark也有不足,大型网络还是需要商业化的软件)
    • Sniffer
    • Cace / riverbed (大部分还是基于wireshark进行了二次开发,改名了应该, 如果需要去网上找吧)
    • Cascad pilot

文章作者: 剑胆琴心
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 剑胆琴心 !
评论
 上一篇
工具 - tcpdump使用&过程文档记录 工具 - tcpdump使用&过程文档记录
工具-tcpdump使用 No_GUI的抓包分析工具 Linux、Unix系统默认安装 抓包默认只抓68个字节 #参数: -i网卡 -s 抓包大小 -w保存到文件 tcpdump -i ens33 -s 0 -w file
2020-03-15
下一篇 
工具 - netcat使用 工具 - netcat使用
netcat使用简介 侦听模式/传输模式 可以替代telent / 获取banner信息 传输文本信息 传输文件/目录 加密传输文件 远程控制/木马 加密所有流量 流媒体服务器 远程克隆硬盘 基本用法1. 实现telnet / bann
2020-03-15
  目录