wireshark介紹--精選文檔

1、Wireshark 窗口介紹 WireShark 主要分為這幾個(gè)界面1. Display Filter(顯示過(guò)濾器)，  用于過(guò)濾2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標(biāo)地址，端口號(hào)。 顏色不同，代表3. Packet Details Pane(封包詳細(xì)信息), 顯示封包中的字段4. Dissector Pane(16進(jìn)制數(shù)據(jù))5. Miscellanous(地址欄，雜項(xiàng)) Wireshark 顯示過(guò)濾使用過(guò)濾是非常重要的， 初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬(wàn)條記錄中，以至于很難找

2、到自己需要的部分。搞得暈頭轉(zhuǎn)向。過(guò)濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。過(guò)濾器有兩種，一種是顯示過(guò)濾器，就是主界面上那個(gè)，用來(lái)在捕獲的記錄中找到所需要的記錄一種是捕獲過(guò)濾器，用來(lái)過(guò)濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設(shè)置 保存過(guò)濾在Filter欄上，填好Filter的表達(dá)式后，點(diǎn)擊Save按鈕， 取個(gè)名字。比如"Filter 102",Filter欄上就多了個(gè)"Filter 102" 的按鈕。過(guò)濾表達(dá)式的規(guī)則表達(dá)式規(guī)則 1. 協(xié)議過(guò)濾比如TCP，只顯示TCP

3、協(xié)議。2. IP 過(guò)濾比如 ip.src =02 顯示源地址為02，ip.dst=02, 目標(biāo)地址為023. 端口過(guò)濾tcp.port =80,  端口為80的tcp.srcport = 80,  只顯示TCP協(xié)議的愿端口為80的。4. Http模式過(guò)濾http.request.method="GET",   只顯示HTTP GET方法的。5. 邏輯運(yùn)算符為 AND/ OR常用的過(guò)濾表達(dá)式過(guò)濾表達(dá)式用途http只查看HTTP協(xié)議的記錄ip.src

4、=02 or ip.dst=02 源地址或者目標(biāo)地址是02           封包列表(Packet List Pane)封包列表的面板中顯示，編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長(zhǎng)度，以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示。你也可以修改這些顯示顏色的規(guī)則，  View ->Coloring Rules. 封包詳細(xì)信息 (Packet Details Pane)這個(gè)

5、面板是我們最重要的，用來(lái)查看協(xié)議中的每一個(gè)字段。各行信息分別為Frame:   物理層的數(shù)據(jù)幀概況Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息Transmission Control Protocol:  傳輸層T的數(shù)據(jù)段頭部信息，此處是TCPHypertext Transfer Protocol:  應(yīng)用層的信息，此處是HTTP協(xié)議 wireshark與對(duì)應(yīng)的OSI七層模型TCP包的具體內(nèi)容

6、60;從下圖可以看到wireshark捕獲到的TCP包中的每個(gè)字段。  實(shí)例分析TCP三次握手過(guò)程看到這， 基本上對(duì)wireshak有了初步了解， 現(xiàn)在我們看一個(gè)TCP三次握手的實(shí)例  三次握手過(guò)程為 這圖我都看過(guò)很多遍了， 這次我們用wireshark實(shí)際分析下三次握手的過(guò)程。打開(kāi)wireshark, 打開(kāi)瀏覽器輸入 在wireshark中輸入http過(guò)濾， 然后選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然后點(diǎn)擊"Follow TCP Stream",這樣做的目的是為了得到與瀏覽器打開(kāi)網(wǎng)站相

7、關(guān)的數(shù)據(jù)包，將得到如下圖圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包。第四個(gè)包才是HTTP的， 這說(shuō)明HTTP的確是使用TCP建立連接的。 第一次握手?jǐn)?shù)據(jù)包客戶端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0， 代表客戶端請(qǐng)求建立連接。 如下圖第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK. 將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1, 如下圖第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來(lái)ACK的序號(hào)字段+1,放在確定字段中發(fā)送給對(duì)方.并且在數(shù)據(jù)

8、段放寫ISN的+1, 如下圖:就這樣通過(guò)了TCP三次握手，建立了連接1.設(shè)置過(guò)濾條件【1】http and ip.addr = 06 and tcp.port = 8080【a】http：指定網(wǎng)絡(luò)協(xié)議【b】ip.addr = 06：指定服務(wù)器ip地址，請(qǐng)根據(jù)實(shí)際情況替換?！綾】tcp.port = 8080，指定端口號(hào)，請(qǐng)根據(jù)實(shí)際情況替換。圖1 過(guò)濾條件【2】點(diǎn)擊apply    點(diǎn)擊apply之后可過(guò)濾得到兩個(gè)數(shù)據(jù)包，分別是HTTP請(qǐng)求和HTTP響應(yīng)。圖2 HTTP請(qǐng)求和響應(yīng)2.

9、查看TCP數(shù)據(jù)流Follow TCP Stream【1】在任意數(shù)據(jù)包上右擊，選擇Follow TCP Stream    該步驟可以過(guò)濾出和該HTTP數(shù)據(jù)包有關(guān)的TCP數(shù)據(jù)包，包括TCP 3次握手，TCP分片和組裝等。圖3 選擇Follow TCP Stream【2】最終得到HTTP請(qǐng)求和響應(yīng)【a】紅色背景字體為HTTP請(qǐng)求，藍(lán)色背景字體為HTTP響應(yīng)【b】從User-Agent中可以看出，360瀏覽器兼容模式使用了IE8內(nèi)核（該臺(tái)計(jì)算機(jī)操作系統(tǒng)為XP，IE瀏覽器版本為8），這說(shuō)明360瀏覽器使用了系統(tǒng)中的IE核。圖4 HTTP請(qǐng)求和響應(yīng)具體內(nèi)容網(wǎng)絡(luò)中明碼傳輸?shù)奈ｋU(xiǎn)性

10、60;   通過(guò)明碼傳輸?shù)膒rotocol和工具相當(dāng)多，典型的就是telnet,ftp,http。我們拿telnet做這次實(shí)驗(yàn)。假設(shè)我以telnet方式登錄到我的linux服務(wù)器，然后通過(guò)wireshark抓包，以抓取賬號(hào)和密碼信息。1、首先啟動(dòng)wireshark，并處于Capture狀態(tài)。然后通過(guò)telnet遠(yuǎn)程登錄我們的linux服務(wù)器。進(jìn)入登錄界面后，輸入賬號(hào)和密碼登入系統(tǒng)。2、接下來(lái)停止wireshark的截取封包的操作，執(zhí)行快捷方式的"Stop"即可。    不過(guò)，捕獲的信息非常多，這個(gè)時(shí)候可以

11、利用Display Filter功能，過(guò)濾顯示的內(nèi)容，如下圖所示，點(diǎn)擊Expression,然后選擇過(guò)濾表達(dá)式。這里，我們選擇TELNET即可。表達(dá)式確定之后，選擇"Apply",就可以過(guò)濾出只包含TELNET的封包來(lái)，我們查看一下整個(gè)telnet會(huì)話的所有記錄， wireshark可以記錄會(huì)話記錄（就像我們聊QQ時(shí)，"QQ聊天記錄"一樣），任意找到一個(gè)telnet封包，右鍵找到"Follow TCP Stream"，wireshark就會(huì)返回整個(gè)會(huì)話記錄。OK， 我們看到以下這些數(shù)據(jù)信息，紅色的部分是我們發(fā)送出去的DATA，藍(lán)色的部

12、分是我們接收到的DATA。 ， 告訴我， 你看到了什么為了更準(zhǔn)確的看清楚，我們?cè)俅蝺H篩選出我們發(fā)送出去的DATA?；蛘邇H接收到的DATA。從這里，我們可以確切的抓到賬號(hào)和密碼信息。login:wireshark  Password:123456，除了這些，我們還可以更進(jìn)一步知道別人在看什么網(wǎng)站，或是私人文件，隱私將毫無(wú)保障。注：為了避免這些情況，防止有心人監(jiān)測(cè)到重要信息，可以使用SSH,SSL,TSL,HTTPS等加密協(xié)議對(duì)重要數(shù)據(jù)進(jìn)行加密，然后再到網(wǎng)絡(luò)上傳輸，如果被人截取下來(lái)，看到的內(nèi)容也是被加密的。 <常用到的過(guò)濾器規(guī)則：捕捉過(guò)濾器（CaptureFil

13、ters）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開(kāi)始捕捉前設(shè)置。顯示過(guò)濾器（DisplayFilters）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。 捕捉過(guò)濾器 Protocol（協(xié)議）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）:可能的值: src, dst, src and dst, src or dst如果沒(méi)有特別指明來(lái)源或目的地，則默

14、認(rèn)使用 “src or dst” 作為關(guān)鍵字。例如，”host 與”src or dst host 是一樣的。 Host(s):可能的值： net, port, host, portrange.如果沒(méi)有指定此值，則默認(rèn)使用”host”關(guān)鍵字。例如，”src 與”src host 相同。 Logical Operations（邏輯運(yùn)算）:可能的值：not, and, or.否(“not”)具有最高的優(yōu)先級(jí)?；?“or”)和與(“and”)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。例如，“not tcp port 31

15、28 and tcp port 23與”(not tcp port 3128) and tcp port 23相同?！皀ot tcp port 3128 and tcp port 23與”not (tcp port 3128 and tcp port 23)”不同。 例子：tcp dst port 3128  /捕捉目的TCP端口為3128的封包。ip src host   /捕捉來(lái)源IP地址為的封包。host   /捕捉目的或來(lái)源IP地址為的封包。ether host e0-05-c5-4

16、4-b1-3c /捕捉目的或來(lái)源MAC地址為e0-05-c5-44-b1-3c的封包。如果你想抓本機(jī)與所有外網(wǎng)通訊的數(shù)據(jù)包時(shí)，可以將這里的mac地址換成路由的mac地址即可。src portrange 2000-2500  /捕捉來(lái)源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。not imcp  /顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 2 and not dst net /16 /顯示來(lái)源IP地址為2，但目的地不是/16的封包。(src h

17、ost 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8  /捕捉來(lái)源IP為2或者來(lái)源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò) /8內(nèi)的所有封包。src net /24src net mask   /捕捉源地址為網(wǎng)絡(luò)內(nèi)的所有封包。  顯示過(guò)濾器例子：snmp | dns | icmp /顯示SNMP或DNS或ICMP封包。ip.addr =   /顯示來(lái)源或目的IP地址為的封包。ip.src != or ip.dst !=   /顯示來(lái)源不為或者目的不為的封包。換句話說(shuō)，顯示的封包將會(huì)為：來(lái)源IP：除了以外任意；目的IP：任意以及來(lái)源IP：任意；目的IP：除了以外任意ip.src != and ip.dst !=   /顯示來(lái)源不為10.