【最詳細(xì)】Wireshark使用教程

• • 原理
  • 步驟
  • • 1.安裝
    • 2.wireshark使用
    • 3.先看幾個(gè)數(shù)據(jù)包，熟悉一下wireshark
    • 4.wireshark過(guò)濾規(guī)則
    • • 4.1 地址過(guò)濾
      • 4.2 端口過(guò)濾
      • 4.4 其他常用過(guò)濾
      • 5.流查看
      • 6.數(shù)據(jù)包保存
  • 說(shuō)明
  • 總結(jié)

原理

wireshark是一款網(wǎng)絡(luò)嗅探工具。可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ．?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式來(lái)進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。嗅探技術(shù)常常用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個(gè)領(lǐng)域。

步驟

1.安裝

到wireshark官網(wǎng)下載你所需要的版本，官網(wǎng)地址https://www.wireshark.org，選擇下載，跟進(jìn)自己的操作系統(tǒng)選擇。

安裝是注意勾選Wireshark l選項(xiàng)，wireshark有兩種UI界面，兩種都裝上

跟進(jìn)個(gè)人的偏好，選擇復(fù)選項(xiàng)

選擇安裝winpcap，如果已經(jīng)安裝，會(huì)有提示是否替換

安裝后，會(huì)有以下兩個(gè)圖標(biāo)，帶Legacy的是GTK的UI，另外一個(gè)是新的QT的GUI，一個(gè)英文，一個(gè)中文。

打開(kāi)圖標(biāo)時(shí)使用右鍵單擊，選擇“以管理員身份運(yùn)行”，這里我們講解Legacy版本。

2.wireshark使用

2.1 首先選擇要監(jiān)聽(tīng)的接口，有一下幾種方式：

可以打開(kāi)的界面（注：部分操作系統(tǒng)需要右鍵單擊圖片，然后選擇“以管理員身份運(yùn)行”）上，選擇要監(jiān)聽(tīng)的接口，然后點(diǎn)擊start。

也可以點(diǎn)擊接口列表interface list，選擇要監(jiān)聽(tīng)的網(wǎng)卡，然后點(diǎn)擊start。

也可以點(diǎn)擊菜單的capture選項(xiàng)，然后選擇interface list。

選擇好要監(jiān)聽(tīng)的網(wǎng)卡之后，界面如下，就是通過(guò)這個(gè)網(wǎng)卡的所有包，看下圖片的介紹：

常用按鈕：

第一欄：第一個(gè)是接口列表，第二個(gè)是抓取過(guò)濾選項(xiàng)（這就根據(jù)過(guò)濾條件直接抓了，我們不使用這種過(guò)濾方式），看下配置，可以直接保存自己設(shè)置的過(guò)濾條件（過(guò)濾規(guī)則我們稍后講），自定義抓取規(guī)則。第三個(gè)是“開(kāi)始”第四個(gè)是“停止”第五個(gè)是“重新抓包”第二欄：打開(kāi)或保存包文件，抓到的包是可以保存，離線看的。第三欄：查找包工具第四欄：樣式，是否滾到最下邊，也就是最新到的包第五欄：放大與縮小第六欄：配置過(guò)濾規(guī)則，顯示顏色等 其實(shí)最常用的，是前兩欄。

3.先看幾個(gè)數(shù)據(jù)包，熟悉一下wireshark

看下單個(gè)包，已經(jīng)格式化后的部分，與OSI的對(duì)應(yīng)關(guān)系。

TCP的握手包，看下幾個(gè)標(biāo)記位，鼠標(biāo)點(diǎn)擊第47號(hào)包，

47號(hào)包的傳輸層：

47號(hào)包的網(wǎng)絡(luò)層：

再看一個(gè)有應(yīng)用層數(shù)據(jù)的，第985號(hào)包，是一個(gè)加密后的數(shù)據(jù)包，網(wǎng)絡(luò)中的數(shù)據(jù)，可以跟進(jìn)自己的需要進(jìn)行加密，后面我們會(huì)講。

再看一個(gè)dns請(qǐng)求包，第45，46號(hào)包，一個(gè)是DNS請(qǐng)求，一個(gè)是DNS響應(yīng)，我們可以ping下域名，看看是不是這樣。
在這里插入圖片描述

4.wireshark過(guò)濾規(guī)則

網(wǎng)卡上嗅探的數(shù)據(jù)包是非常多的，上面看的只是幾種，要從數(shù)以萬(wàn)計(jì)的包中查看你想要的，就要使用過(guò)濾規(guī)則。（這里講的都是非常常用的，經(jīng)常用到的）

4.1 地址過(guò)濾

IP地址過(guò)濾，比較常用，在過(guò)濾器Filter中輸入過(guò)濾條件：

過(guò)濾源ip，語(yǔ)法：

源ip：ip.src == IP 或 ip.src eq IP

目的ip：ip.dst == IP或 ip.dst eq IP

指定主機(jī)ip，源或目的: ip.host == IP或 ip.host eq IP，或者用ip.addr

指定的源ip或指定的目的ip: ip.src == IP or ip.dst == IP

指定的源ip并且指定的目的ip: ip.src == IP and ip.dst == IP

IP層還可以跟進(jìn)IP協(xié)議的字段過(guò)濾，在過(guò)濾器中輸入ip.可以查看其它選項(xiàng)，有興趣的的同學(xué)可以嘗試一下：

MAC地址過(guò)濾，與ip.過(guò)濾類似，使用eth.XXX，沒(méi)有eth.host，大家可以自己嘗試一下，如下：

eth.addr；eth.src；eth.dst

4.2 端口過(guò)濾

端口過(guò)濾非常常用，要指明協(xié)議是tcp還是udp，可以用srcport，dstport，port，端口可以用比較符合>，>=，<，<=，==，eq，例子如下：

過(guò)濾目的端口是80端口的tcp報(bào)文

過(guò)濾源端口是443的tcp報(bào)文

過(guò)濾端口是80的tcp報(bào)文 或者端口是53的udp報(bào)文

過(guò)濾源端口號(hào)大于1024的tcp報(bào)文

加上4.1的ip過(guò)濾，用and組合一下，過(guò)濾了指定服務(wù)器80端口的報(bào)文：

可以用協(xié)議（tcp，udp），端口（srcport，dstport，port），比較符合（>，>=，<，<=，==，eq）以及and和or任意組合，過(guò)濾你期望得到的報(bào)文。

4.3 協(xié)議過(guò)濾

tcp，udp，arp，icmp，http，smtp，ftp，dns，msnms，ip，ssl，oicq，bootp等。排除的化，前面加個(gè)‘!’或者‘not’。

只顯示tcp報(bào)文

在tcp后面打個(gè)‘.’，可以看到，是可以根據(jù)協(xié)議的字段進(jìn)行過(guò)濾的

比如，過(guò)濾ack的包，可以看到，下面的所有包都是帶ack==1的包

過(guò)濾http包，以及dns包，以及ssl包

4.4 其他常用過(guò)濾

過(guò)濾HTTP的GET請(qǐng)求和POST請(qǐng)求，以及HTTP過(guò)濾內(nèi)容

http.request.method == GET

http.request.method == POST

過(guò)濾HTTP協(xié)議的響應(yīng)包，響應(yīng)碼是200的

http contains "HTTP/1.1 200 OK"

用contains字段過(guò)濾內(nèi)容，如 過(guò)濾HTTP協(xié)議Content-Type類型，Content-Type: text/plain；tcp包含admin

http contains "Content-Type: text/plain"

tcp contains "admin"

過(guò)濾包的指定的字段：協(xié)議[其實(shí)位置：長(zhǎng)度]

舉個(gè)例子：tcp協(xié)議，從第2個(gè)字符開(kāi)始（起始是0，不是1，這個(gè)2是偏移的位置），長(zhǎng)度為3，內(nèi)容為01，bb，eb

tcp[2:3] == 01:bb:eb

過(guò)濾規(guī)則是支持正則語(yǔ)法的，使用的是matches，不是contains

例如：tcp中包含user字段的，tcp matches ".GET"，是包含GET的包，.GET是正則表達(dá)式，如果用tcp contains ".GET"，contains把.GET當(dāng)初字符串

5.流查看

數(shù)據(jù)包位置，點(diǎn)擊鼠標(biāo)右鍵，可以跟進(jìn)不同的協(xié)議選擇不同的流查看，我們可以先選tcp流進(jìn)行跟蹤。

點(diǎn)擊之后，會(huì)看到這條tcp流上的所有請(qǐng)求和回復(fù)

有些流是密文的，查看的時(shí)候就是亂碼，比如ssl的，如果follow的是ssl的流，查看的是空。

6.數(shù)據(jù)包保存

wireshark可以把抓到的數(shù)據(jù)包保存成文件，點(diǎn)擊File，可以把抓到是數(shù)據(jù)包保存save/save as，也可以把之前保存的數(shù)據(jù)包打開(kāi)open

可以選擇保存特殊的包Export Specified Packetes，在下面選擇Selected packet選擇你要保存的包。

說(shuō)明

Linux下也可以安裝wireshark：

yum install wireshark

yum install wireshark-gnome

如果需要圖形界面，要UI支持要安裝gnome，Linux下重點(diǎn)講一下另外一種抓包工具tcpdump，可以保存結(jié)果，在wireshark中查看，后面講。

wiresharkd的基本常用用法，足夠進(jìn)行協(xié)議分析。

總結(jié)

掌握wireshark使用，在網(wǎng)絡(luò)數(shù)據(jù)分析中是非常有用的

總結(jié)

以上是生活随笔為你收集整理的【最详细】Wireshark使用教程的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。