一、Wireshark抓包介紹

1、WireShark簡介

Wireshark是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報文交換。

2、 WireShark的應(yīng)用

• 網(wǎng)絡(luò)管理員使用Wireshark 來檢測網(wǎng)絡(luò)問題，
• 網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，
• 開發(fā)者使用Wireshark 來為新的通訊協(xié)議除錯，
• 普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議的相關(guān)知識。
• 當(dāng)然，有的人也會“居心叵測”的用它來尋找一些敏感信息…

3、 WireShark抓數(shù)據(jù)包技巧

• (1)確定Wireshark的物理位置。如果沒有一個正確的位置，啟動Wireshark后會花費(fèi)很長的時間捕獲一些與自己無關(guān)的數(shù)據(jù)。
• (2)選擇捕獲接口。一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對自己也沒有任何幫助。
• (3)使用捕獲過濾器。通過設(shè)置捕獲過濾器，可以避免產(chǎn)生過大的捕獲數(shù)據(jù)。這樣用戶在分析數(shù)據(jù)時，也不會受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時間。e
• (4)使用顯示過濾器。通常使用捕獲過濾器過濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過濾的數(shù)據(jù)包再更細(xì)致，此時使用顯示過濾器進(jìn)行過濾?；?/li>
• (5)使用著色規(guī)則。通常使用顯示過濾器過濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個會話，可以使用著色規(guī)則高亮顯示。
• (6)構(gòu)建圖表。如果用戶想要更明顯的看出一個網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。
• (7)重組數(shù)據(jù)。當(dāng)傳輸較大的圖片或文件時，需要將信息分布在多個數(shù)據(jù)包中。這時候就需要使用重組數(shù)據(jù)的方法來抓取完整的數(shù)據(jù)。Wireshark的重組功能，可以重組一個會話中不同數(shù)據(jù)包的信息，或者是重組一個完整的圖片或文件。

二、Wireshark抓包入門操作

1、常見協(xié)議包

本節(jié)課主要分析以下幾種協(xié)議類型。

• ARP協(xié)議
• ICMP協(xié)議
• TCP協(xié)議
• UDP協(xié)議
• DNS協(xié)議
• HTTP協(xié)議

2、查看本機(jī)要抓包的網(wǎng)絡(luò)

• 輸入指令ipconfig找到對應(yīng)的網(wǎng)絡(luò)

3、混雜模式介紹

• 混雜模式概述:混雜模式就是接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包，即不驗(yàn)證MAC地址。普通模式下網(wǎng)卡只接收發(fā)給本機(jī)的包（包括廣播包）傳遞給上層程序，其它的包一律丟棄。
• 一般來說，混雜模式不會影響網(wǎng)卡的正常工作，多在網(wǎng)絡(luò)監(jiān)聽工具上使用。

4、如何開起混雜模式

三、Wireshark過濾器使用

1、開啟以上的混淆模式，抓取接口上使用混雜模式直接進(jìn)行抓包

• 例1：對TCP協(xié)議的包進(jìn)行篩選
  

• 例2：篩選出ACK相關(guān)的包 。SYN=1、ACK=0：客戶端請求向服務(wù)端建立連接。
  

• 例3：抓取指定條件的包。tcp.flags.fin == 1 當(dāng) FIN=1 時，表明數(shù)據(jù)已經(jīng)發(fā)送完畢，要求釋放連接
  

• 例4：篩選出ARP數(shù)據(jù)包
  

• 例5：篩選出udp屬于傳輸層的數(shù)據(jù)包
  
  我們使用過濾器輸入“udp”以篩選出udp報文。但是為什么輸入udp之后出現(xiàn)那么多種協(xié)議呢?原因就是oicq以及dns都是基于udp的傳輸層之上的協(xié)議

• 擴(kuò)展:客戶端向DNS服務(wù)器查詢域名，一般返回的內(nèi)容都不超過512字節(jié)，用UDP傳輸即可。不用經(jīng)過三次握手，這樣DNS服務(wù)器負(fù)載更低，響應(yīng)更快。理論上說，客戶端也可以指定向DNS服務(wù)器查詢時用TCP，但事實(shí)上，很多 DNS服務(wù)器進(jìn)行配置的時候，僅支持UDP查詢包。

• 例6：http請求
  

• 例7：dns數(shù)據(jù)包
  

• 例8：數(shù)據(jù)包條件篩選
  其實(shí)我們不僅可以對協(xié)議類型進(jìn)行篩選，我們還有跟多的篩選條件，比如源地址目的地址等等例6:篩選源地址是192.168.1.53或目的地址是192.168.1.1
  

• 例9：本機(jī)向外發(fā)或接受的所有數(shù)據(jù)包
  

四、ARP協(xié)議

1、Arp協(xié)議解讀

• 協(xié)議分析的時候我們關(guān)閉混淆模式，避免一些干擾的數(shù)據(jù)包存在常用協(xié)議分析-ARP協(xié)議(英語:Address Resolution Protocol，細(xì)與︰AKP) 是一個通過解析網(wǎng)層地址來找尋數(shù)據(jù)鏈路層地址的網(wǎng)絡(luò)傳輸協(xié)議，它在IPv4中極其重要。ARP是通過網(wǎng)絡(luò)地址來定位MAC地址。
• 主機(jī)向目標(biāo)機(jī)器發(fā)送信息時，ARP請求廣播到局域網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后將該IP地址和物理地址，存入本機(jī)ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。

2、分析ARP包

五、ICMP抓包與解讀

1、先Ping一個地址，獲得ICMP包

2、再篩選過濾icmp格式包

• 工作過程:
  • 本機(jī)發(fā)送一個ICMP Echo Request的包
  • 接收方返回一個ICMP Echo Reply，包含了接受到數(shù)據(jù)拷貝和一些其他指令

六、TCP的3次握手協(xié)議

1、清空數(shù)據(jù)包然后篩選tcp開始抓包

• 選中一個包，進(jìn)行解讀

七、TCP連接斷開的4次揮手

我們分析一下過程，我們在終端輸入EXIT實(shí)際上是在我們Kali 上執(zhí)行的命令，表示我們SSHD的Server端向客戶端發(fā)起關(guān)閉鏈接請求。

• 我們分析一下過程，我們在終端輸入EXIT實(shí)際上是在我們Kali上執(zhí)行的命令，表示我們SSHD的Server端向客戶端發(fā)起關(guān)閉鏈接請求。
• 第一次揮手:
  服務(wù)端發(fā)送一個[FIN+ACK]，表示自己沒有數(shù)據(jù)要發(fā)送了，想斷開連接,并進(jìn)入FIN_WAIT_1狀態(tài)
• 第二次揮手:
  客戶端收到FIN后，知道不會再有數(shù)據(jù)從服務(wù)端傳來，發(fā)送ACK進(jìn)行確認(rèn)，確認(rèn)序號為收到序號+1(與SYN相同，一個FIN占用一個序號)，客戶端進(jìn)入CLOSE_WAIT狀態(tài).
• 第三次揮手:
  客戶端發(fā)送[FIN+ACK]給對方，表示自己沒有數(shù)據(jù)要發(fā)送了，客戶端進(jìn)入LAST_ACK狀態(tài)，然后直接斷開TCP會話的連接，釋放相應(yīng)的資源。
• 第四次揮手:
  服務(wù)戶端收到了客戶端的FIN信令后，進(jìn)入TIMED_WAIT 狀態(tài)并發(fā)迂
  ACK確認(rèn)消息。服務(wù)端在TIMED_WAIT 狀態(tài)下，等待一段時間，沒有數(shù)據(jù)到來，就認(rèn)為對面已經(jīng)收到了自己發(fā)送的ACK并正確關(guān)閉了進(jìn)入 CLOSE狀態(tài)，自己也斷開了TCP連接，釋放所有資源。當(dāng)客戶端收到服務(wù)端的ACK回應(yīng)后，會進(jìn)入CLOSE狀態(tài)并關(guān)閉本端的會話接口，釋放相應(yīng)資源。

數(shù)據(jù)流的統(tǒng)計
文章來源地址http://www.zghlxwxcb.cn/news/detail-636159.html

八、wireshark常用過濾條件

1、常用條件

• ‘eq’和’==’ 等同
• and 并且
• or 或者
• ‘!’ 和’not’ 取反

2、針對IP地址過濾

• 1.源地址：ip.src == 192.168…
• 2.目的地址：ip.dst == 192.168.xx
• 3.不看源或目的地址：ip.addr == 192.168.xx

3、針對協(xié)議過濾

• 1.某種協(xié)議的數(shù)據(jù)包 直接輸入?yún)f(xié)議名字
  如：http
• 2.排除某種協(xié)議
  not tcp 或者 ！tcp

4、針對端口過濾

• 1.捕獲某端口的數(shù)據(jù)包
  tcp.port == 80
  tcp.srcport == 80
  tcp.dstport == 80
• 2.捕獲多端口
  udp.port >=2048

5、針對長度和內(nèi)容過濾

• 1.長度過濾
  data.len > 0
  udp.lenth < 30
  http.content_lenth <= 20
• 2.數(shù)據(jù)包內(nèi)容過濾
  http.request.uri matches “vipscu”(匹配http請求中含有vipscu字段的請求信息)

到了這里，關(guān)于網(wǎng)絡(luò)安全工具——Wireshark抓包工具的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！