Kali Linux自帶Wireshark工具使用介紹:
1.進入界面
這里Lua腳本報錯,無需關注
開始使用:
雙擊第一個eth0:以太網0,開始抓包:
點擊上邊的這個按鈕可以設置:
這里注意:需要選擇混雜模式,獲取機器所有以太網連接包
作用:不發送給當前IP的數據包也會抓取
同時我們觀察到,下邊這個捕獲過濾器,這個有什么用呢?
通常我們抓獲的數據包都有很多,這里的過濾器作用就是過濾得到我們需要的數據包。
使用方式:
點擊綠色按鈕再管理界面:
在這里就可以設置各種,可以按需求自己按照格式書寫,點擊加號新建:
好的,我們選擇抓本機的包:192.168.87.132:
點擊開始,然而,並沒有反應
我們ping 一下其他IP
這時候打開wireshark,發現有數據了
抓取到的這些數據包可以保存下來,以后看,點擊文件中的保存即可
我們還可以在編輯的首選項中設置適合自己的布局、在列中設置每一列需要顯示的內容(通常默認設置足以滿足我們的需求):
好的,剛才我們設置的是抓包篩選器(總閘)
接下來看看顯示篩選器:對抓取到的數據包進行篩選
我們實際使用的其實通常是顯示篩選器:
比如這里我們只需要ARP協議:
可以手動輸入,也可以自動:
比如我只看192.168.1.1的:
選中后,它會自動生成匹配規則:
也可以多選一些,多種組合:
可以查看抓取包的詳細信息,以一個ARP協議包為例:
看一個TCP協議包:
我們發現這里為1,說明這個包是TCP協議的ACK數據包
簡單介紹下TCP協議:
在客戶機和服務器之間建立正常的TCP網絡連接時
客戶機首先發出一個SYN消息
服務器使用SYN+ACK應答表示接收到了這個消息
最后客戶機再以ACK消息響應
這樣在客戶機和服務器之間才能建立起可靠的TCP連接
再看一個DNS協議:
這是一個查詢的DNS數據包:
這是一個響應包:
具體數據:
我們最常見的其實是HTTP協議:
訪問下百度看看:
通常HTTP協議是80端口,但是如果有些奇葩網站,偏要使用81端口,那么Wireshark無法自動解析,我們可以這樣:
右鍵解碼為:
點擊添加相應的端口即可(81)
這時候81端口就會解析為HTTP協議
Wireshark還有一個follow stream的功能,會跟蹤你的訪問:
右鍵,這里有個追蹤流:
通常我們追蹤TCP流:
從這里可以看到:
我發送了一個GET請求,服務器響應了一個200狀態碼
在這里就可以完整觀察一個連接過程
我們可以再看看TCP數據包:
這里我們可以發現,我們看不懂TCP數據包,而HTTP數據包能看懂?
因為,HTTP是明文傳輸的,我們可以看出來內容
於是產生了HTTPS加密,我們抓包HTTPS,基本就無法看出來了
我們可以看一個SSL:
看不懂?沒錯,這就是HTTPS加密
基本功能的使用就到這里了,還有一些統計等等功能。