Wireshark簡介:
Wireshark是一款最流行和強大的開源數據包抓包與分析工具,沒有之一。在SecTools安全社區里頗受歡迎,曾一度超越Metasploit、Nessus、Aircrack-ng等強悍工具。該軟件在網絡安全與取證分析中起到了很大作用,作為一款網絡數據嗅探與協議分析器,已經成為網絡運行管理、網絡故障診斷、網絡應用開發與調試的必用工具。
上面是wireshark的主窗口,分三大主塊:Packlist List(數據包列表)、Packet Details(數據包細節)、Packet Bytes(數據包字節)。
首選項設置
在wireshark的首選項里有很多設置,以方便定制,可在菜單欄的Edit里的Preferences里設置,其界面如下:
包括這幾個部分:User Intereface(用戶接口)、Capture(捕獲)、Name Resolutions(名字解析)、Statistics(統計)、Protocols(協議)
查找數據包:
按ctrl+N打開查找對話框
可以看到有三種查詢條件:
- Display filter 通過表達式進行篩選,其功能強大,后面有具體介紹,如ip.addr==192.168.1.23
- Hex value 通過十六進制對數據包進行篩選,如00:ff
- String 通過字符串進行查找,如passwd
按ctrl+N向下查找,按ctrl+B向前查找。其實wireshark的使用說明已經做的非常非常的人性化的,它的所有設置窗口都有在線的幫助說明,上面是左下角的“Help”就是。而且是英文的,那么問題來了,你是到底啥不懂呢?
標記數據包:
在Packet List中選中一個數據包,右鍵選擇Mark Packet就可以將該數據包標記,標記后該數據包會高亮顯示。快捷鍵是選中一個數據包,按ctrl+M,取消標記同樣是ctrl+M,
在多個被標記的數據之間切換可用shift+ctrl+N、shift+ctrl+B。
捕獲設置:
啟動Wireshark后,在左邊的網絡接口里的Capture Optiion可以用來設置各種數據包抓取規則。
- 在‘1’處設置網絡接口,可以選擇一個接口雙擊,彈出該接口的具體設置信息(如下圖)。這里可以設置是否開啟混雜模式,是否以pcap-ng格式捕獲數據包,以及按字節數限制每個捕獲數據包的大小。
- 在‘3’捕獲文件的設置:這里提供了過濾規則,各種觸發器(基於文件大小或時間),其中的Ring Buffer With選項可以設置環形緩沖創建文件,采用FIFO原則,只保留所設定的文件數目,從而只會捕獲指定的數據包數,不會因為大量數據包占用大量空間。
- 在‘4’停止捕獲:同樣的,可以以文件大小、時間或者數據包數目為觸發條件,停止數據包捕獲。
- 在‘5’顯示設置的相關設置。注意實時顯示會增加CPU負荷,可以取消該項。
- 在‘6’名字解析.MAC地址解析,嘗試將數據鏈路層的MAC地址解析成網絡層的IP,如果解析失敗,則會按MAC地址前三個字節轉換成設定制造商的名稱,如Netgear_01:02:03;網絡名字解析:嘗試使用DNS協議,將IP地址解析成主機名,注意這會產生格外的DNS流量;傳輸名字解析:嘗試將端口號解析成與其相關的名字,如80端口轉換成http顯示。
查看端點與會話:
在wireshark的Endpoints窗口里(Statistics -> Endpoints)已經統計出了每一個端點的地址、傳輸發送數據包的數量u以及字節數。這里一個很有用的地方是:單擊一個數據包右鍵,在相關選項里有該數據包的過濾語法規則,很值得學習,對於過濾規則學習很有用!!
網絡會話是指地址A與地址B之間的會話,同樣地,可以右鍵單擊一個會話,用以創建一些有用的過濾規則。可以在Statistics -> Conversations里查看。
協議數據的分層統計:
有時需要分析捕獲數據包中各協議所占的比例,以分析網絡流量是否正常。此時可以選擇Statistics->Protocol Hierarchy。
跟蹤TCP數據流:
burpsuite的功能相似,Wireshark也有TCP流量重組功能。右鍵單擊一個數據包選擇Follw TCP/UDP Stream即可重組出數據流交互過程。其中紅色表示從源地址發往目標地址,藍色反之。
wireshark的入門就簡單到這里了。我只是簡單的介紹了一下,其功能十分強大,是數據包分析的一大利器!!要想深入學習,還需要使用者去探索嘗試,特別是在實戰中的應用,有很多的樂趣哦。后期將繼續講解wireshark高級過濾的實戰應用,也歡迎各位感興趣的同學一起交流技術:)