--------------------------------------------------------------
《Wireshark數據包分析實戰》這本書其實還很不錯,當時買回來只是翻了翻,就被同事借走了,之后公司搬家,這本書也就再也沒看到了…,不過我在網上找到了PDF版,這里共享一下(這個也是網上找到的,如果有侵權行為,我會立即刪除掉),PDf下載地址>>
這個算掃描版了,建議有興趣的同學還是購買正版圖書 :)
--------------------------------------------------------------
Wireshark是一個網絡封包分析軟件。一般我們主要用它來分析網絡數據,干嘛呢?比如分析是否遭受了DDoS攻擊(使用Wireshark分析並發現DDoS攻擊)
看看聊天工具(ICQ軟件,比如QQ、MSN)的消息傳送(現在全部加密了,聊天內容不能直接查看了)等等…
如何使用它呢?
第一步:下載並安裝;
可以直接去官網上進行下載(鏈接地址>>),支持Linux、OS X、Windows
第二步:使用
這一步,網上已經有很多很詳細的說明了。這里再大概介紹一下:Caputre –> Interfaces 選擇要監測的網卡。
默認是監聽所有的網絡消息(包括TCP、UDP等各種協議的網絡請求),如果不進行過濾(Filter)那么你會看看刷刷的網絡封包列表,不停的再滾動,根本無從下手。很有可能因為消息過多,而導致你的電腦“卡死”
紅色標注的按鈕,點擊后取消自動滾動列表。方便在查看某個網絡消息時,定格消息列表…
過濾器有兩種:
a、顯示過濾器,就是捕獲了全部,而通過過濾器來顯示滿足條件的封包消息(上圖中的Filter后面的文本輸入框);
b、捕獲過濾器,用來過濾捕獲的封包,避免捕獲過多的記錄,在Capture –> Capture Filters中進行設置;
二者的操作界面:
過濾的規則,有保存、應用、清除三個操作,你使用過的規則,默認如果不保存,在點擊輸入框右側下拉按鈕時也可以顯示。
Save按鈕后面的“Playboy”、“GAM”就是我所保存過的規則名稱,點擊后直接應用該規則了
過濾表達式的一些規則:
1、協議過濾;
TCP、HTTP、UDP、HTTP、IP、SMTP、FTP、ICMP、SSL等…,排除某種協議可使用!tcp或者not tcp
2、IP過濾:包括來源IP(src)和目標IP(dst);
ip.dst == 192.168.0.1 多個規則可使用and、or進行組合,支持括號,包括使用contains關鍵字
3、端口過濾;
tcp.port >= 1 and tcp.port <= 8
4、包長過濾;
(udp.length > 100 and udp.length < 1000) or udp.length == 1200
5、http模式過濾;
http.request.method == “Get”
所有的過濾規則,在應用時,如果表達式正確,會顯示“綠色”,否則為“紅色”。
比較方便的是,它有自動提示功能^_^
介紹到這里,一般也就差不多夠用了。但默認顯示的列數據可能不夠用,比如只顯示了請求目標的IP,但沒有顯示請求的url。
默認顯示的字段有:No.(列表編號)、Time(時間)、Source(消息源IP-src)、Destination(消息目標IP-dst)、Protocol(協議類型)、Length(封包長度)、Info(請求的相關信息,比如HTTP會顯示請求方式、路徑等)
如果想顯示更多信息,可以自已定制。點擊菜單 Edit –> Preferences –> User Interface –> Columns
Add –> 輸入顯示的字段名,然后選擇類型,這里可以選擇自定義。
然后保存應用即可。
封包列表顯示的消息發送的情況,那如何查看接口返回的消息呢?以一個HTTP請求為例:
選中要查看的封包消息,右擊菜單中選擇“Follow TCP Stream”
掌握以上這些,平時的工作中差不多夠用了。最后分享二篇關於Wireshark很精彩的文章