精华内容
下载资源
问答
  • 一、Wireshark利用chrome/firefox解析SSL数据 环境变量设置 chrome和firefox在解析SSL数据的时候会把对称密钥信息保存下来,添加...设置完成后,重启浏览器,wireshark就可以解析到的SSL数据了,如下图所示:.

    一、 Wireshark利用chrome/firefox解析SSL数据

    • 环境变量设置

    chrome和firefox在解析SSL数据的时候会把对称密钥信息保存下来,添加windows的环境变量可以设置对称密钥信息保存文件的路径,如下图所示:

    • wireshark设置

    以wireshark2.9.0为例,在首选项-》Protocols-》TLS(低版本为SSL)中,设置对称密钥信息文件路径,如下图所示:

    设置完成后,重启浏览器,wireshark就可以解析抓到的SSL数据了,如下图所示:

    二、 sslkey.log文件分析

    下图是sslkey.log文件,每一行是一组对称密钥信息。

    Wireshark是开源的,在它的源码里有段注释,介绍了Wireshark支持的log file格式:

    可以看到sslkey.log属于最后一种格式“CLIENT_RANDOM xxxx yyyy”,所以我们可以在自己的程序进行SSL握手时把client_random和master secret保存到文件中,提供给wireshark进行SSL解析。“PMS_CLIENT_RANDOM xxxx yyyy”这种格式经测试也可以正确解析。

    参考资料:

    https://jingyan.baidu.com/article/20b68a88b2af7f796cec62b3.html

    https://www.jianshu.com/p/13d96afb47ce

    https://blog.csdn.net/fw0124/article/details/40983787

    展开全文
  • Wireshark 抓包保存当前过滤数据包的小技巧 如果你在抓包的时候只想保留当前经过显示过滤匹配的数据包,怎么做呢? 如图,我只想当前过滤后的数据包可以选择 “导出特定分组” (Wireshark 2.x版本默认支持中文了...

    Wireshark 抓包仅保存当前过滤数据包的小技巧

    如果你在抓包的时候只想保留当前经过显示过滤匹配的数据包,怎么做呢?在这里插入图片描述
    如图,我只想当前过滤后的数据包可以选择 “导出特定分组” (Wireshark 2.x版本默认支持中文了)
    在这里插入图片描述
    在这里插入图片描述然后就可以保存指定的数据报文了。

    展开全文
  • 保存wireshark抓包数据为txt文本,然后更改cpp文件中的文件路劲并运行
  • 1,通过ip.addr 检索出可用请求 2,检索数据源 3,右键 ---》导出分组字节流,保存 4,打开图片

    1,通过ip.addr 检索出可用请求

    2,检索数据源

    3,右键  ---》导出分组字节流,保存

    4,打开图片

    展开全文
  • wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。 在捕获-选项菜单中可以设置捕获包的一些配置。 输入配置 在...

    杰哥很忙 7月9日

    前言

    本文整理一下日常抓包使用的一些方法及抓包分析的一些方法。

    本文基于wireshark2.2.6版本进行抓包处理。其他版本使用方式大同小异。

     

    自定义捕获条件

    wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。

    捕获-选项菜单中可以设置捕获包的一些配置。

     

    输入配置

    输入选项卡中可以选择抓取指定接口,在下方过滤器中可以输入过滤条件,比如host 172.17.1.100抓取指定ip的包,或tcp port 9055抓取指定端口的包。

     

    输出配置

    输出选项卡中可以设置保存的文件路径,包数量分组,文件大小分组,文件个数等配置。

    1. 文件保存路径:需要设置具体的文件名,wireshark会自动在文件名后加上序号和时间戳信息。比如文件名为1.pcapng,则会自动保存为如1_00001_20190625161142.pcapng的文件名。

     

    2. 自动创建新文件可以通过接收到包的数量和大小以及抓包时间进行设置,通常通过文件大小抓包即可。

     

    3. 文件个数:通过勾选使用一个唤醒缓冲器来保存最大的文件数量。防止文件过多

     

    选项选项卡中还有一些其他的配置,根据实际情况决定是否勾选。

     

    命令行抓包

    wireshark提供了很强大的GUI界面,但是在生产环境长时间抓包使用GUI界面有以下问题:

     

    界面刷新需要消耗资源,且GUI界面相比命令行界面,易出现闪退,卡死等不稳定现象。

     

    同时即使配置了切包,也会占用极大的内存,需要将包信息显示在界面,因此必须要等每次切包后才能释放内存。

     

    相比命令行将数据持久化到硬盘上会立即释放内存,因为界面上只需要显示简单的抓包数量和文件保存路径等信息。

     

    下图是通过GUI界面进行抓包的内存占用情况,配置的是100M切一个文件,一般需要占用几百兆的内存。

    下图是通过命令行抓包的内存占用情况,配置的是100M切一个文件,仅仅占用几兆内存。

    wireshark安装目录除了wireshark用于GUI界面的抓包程序以外还有一些其他的工具。

     

    比如reordercap、text2pcap、tshark、rawshark、mergecap、mmdbresolve、capinfos、dumpcap、editcap等

     

    其中tsharkdumpcap是用于命令行抓包的工具。

     

    tshark就是命令行版的wiresharktshark底层使用的即为dumpcap,因此tshark的功能相对强大一些,性能上则弱于dumpcap

     

    下图是在传输速率为每秒37244,共传输1000000个825B大小的帧下产生的测试结果。

    具体相关测试可以到Wireshark Packet Capture: Tshark Vs. Dumpcap查看,里面还有更多的不同的基准测试结果。

     

    我们可以通过dumpcap抓包,然后通过tshark或wireshark进行包分析。

    通过dumpcap -h查看命令参数。

    • -i: 抓取哪个网络接口的包

    • -f: 过滤器,只抓取满足过滤器的包。

    • -b filesize: 保存文件大小,即切包大小。

    • -b files:20: 保存文件个数。

    • -w: 保存的文件名。

       

    在wireshark安装目录有*.html包含各个工具的命令及示例。

     

    通过以上参数可以实现和GUI界面通过的抓包策略。比如

    dumpcap -i 1 -f "tcp port 8080" -w D:\1.pcapng -b filesize:100000 -b files:20

    表示抓取接口1的8080端口的tcp包,将数据保存到D:\1.pcapng路径下,通过100M切一个文件,最多保存20个最新的文件。

     

    抓取多个接口

    若需要抓取多个接口的包,则通过多个-i参数指定,通过每个-i参数后面可以带上-f配置过滤器。

    比如dumpcap -i 1 -i 3 -f "tcp port 8080" -w D:\1.pcapng -b

    表示抓取接口1和接口3的包。

    通常来说我们需要抓取某个ip的包,那么我们需要知道这个ip是那个网络接口。通过dumpcap -D可以获取所有网络接口。

    
     

    C:\Users\Dm_ca>dumpcap -D
    1. \Device\NPF_{E78E9C1F-C71D-40E6-A233-BEFE0A59FD3F} (浠ュお缃?3)
    2. \Device\NPF_{50A4BF57-AEF6-42CB-B481-E3BBE16F784A} (鏈湴杩炴帴* 2)
    3. \Device\NPF_{A37B6157-FB22-4FC7-870F-6FB76C950BCE} (vEthernet (Default Switch))
    4. \Device\NPF_{B6BC2FEF-E6A0-4E7F-BCF6-A4CBE39560A0} (鏈湴杩炴帴* 8)
    5. \Device\NPF_{E3B69F06-9D31-4970-B3B1-F7FC29D6F343} (Npcap Loopback Adapter)
    6. \Device\NPF_{B70FF207-6758-49F3-BD8B-1E58EBAAA350} (WLAN)
    7. \Device\NPF_{196071AF-E992-498F-99EE-32D5238EE947} (鏈湴杩炴帴* 10)
    8. \Device\NPF_{4EA95CCE-F4A3-4C1E-884F-033C2A475349} (鏈湴杩炴帴* 9)
    9. \Device\NPF_{2F5E422D-8579-4DA4-BD78-02AE4EAEA836} (浠ュお缃?2)
    10. \Device\NPF_{F4BDE9E1-950B-402B-9CD6-281119917271} (鏈湴杩炴帴* 3)

    最左边的为我们输入的参数-i的编号,右边的乱码的是中文名称本地连接等字样,如果不确定使用哪个网卡,也可以到wireshark中确认一下。

     

    输入选项卡选择接口下拉会有对应的地址。

    命令输入后就会显示正在抓包的一些信息,Packets为抓取的包数,File为保存的文件名,多切了文件之后,则会显示多个File行。

    
     

    C:\Users\Dm_ca>dumpcap -i 5 -f "tcp" -w E:\1.pcapng -b filesize:100000 -b files:20
    Capturing on 'Npcap Loopback Adapter'
    File: E:\1_00001_20190629091754.pcapng
    Packets: 4

     

    抓包分析

    通过dumpcap抓包后我们可以将抓包文件通过wireshark界面打开进行简单分析。

    若需要根据特定条件在大量信息中筛选出想要的信息,则需要通过tshark进行命令行的筛选。

    案例:生产环境中发现时常有丢包现象,通过wireshark进行简单分析发现有许多RST的重置连接包。追踪流查看发现,没有正常建立连接。

    通过tcp.flags.reset == 1筛选出大量的重置连接。大约占比1%的请求数据量。

     

    为了确认每个包是不是都是同样的原因。我们需要追踪每个包的流进行查看。

     

    wireshark上选择指定的包右键在弹出的菜单中选择追踪流-TCP流追踪完整的流。

    但是如果要追踪大量的流,在wireshark上操作就不太方便了。

     

    由于wireshark不支持批量选择包跟踪流,因此只能一个个跟踪。

     

    wireshark又不支持上一步历史搜索,追踪流实际wireshark是用了tcp.stream eq XXXX筛选流号。

     

    因此我们需要重新在通过前一个筛选指令重新筛选。这样就非常麻烦,尤其是若一个切包比较大的话,处理起来非常的慢。

     

    由于上述原因,我们通过tshark命令行筛选出异常连接后批量跟踪每个流并保存到文件进行分析。

     

    批量分析

    通过tshark -h可以查看命令从参数,由于多命令和dumpcap类似,但是tshark还扩展了其他命令。

    -r: 读取本地的数据包文件。

    -R: 捕获过滤器,可用于捕获符合过滤规则的报文。

    -Y: 显示过滤器,用于过滤已捕获的报文。

    -2: 若此时输入回车,则会将包信息打印到控制台上。

    -w: 通过过滤器删选后的包,保存另存到文件中,比如我们需要从某个包筛选出关键信息保存后进行单独分析。

    -T fields : 格式化输出,输出属性,我们要通过-e筛选包的指定属性,则需要用该参数。

    -e: 获取指定包属性,必须先指定-T fields格式化输出,若有多个属性输出,则使用多个-e,比如-e tcp.stream -e tcp.port

     

    捕获过滤器

    捕获过滤器是在捕获菜单中,直接用过滤出指定的条件,不满足条件的是不会被捕获的。

    显示过滤器

    显示过滤器则是在已捕获的包中进行过滤显示。

    捕获过滤器的规则是host 192.168.0.115 and tcp port 8080,而对应的显示过滤器规则是ip.addr eq 192.168.0.115 and tcp.port eq 8080,两者的语法还是不同的。

     

    实际通过tshark命令过滤时发现,使用的都是显示过滤器筛选。而在通过dumpcap -f抓包时需要使用捕获过滤器的语法。

     

    在简单了解参数之后,开始使用命令筛选出我们需要的包。

     

    批量筛选包

    1. 筛选出需要的包。通过

    tshark -r 172.18.12.1_00085_20190624193404.pcapng -2 -R "tcp.flags.reset == 1"

    筛选出我们需要的包。

    
     

    PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1"
    1 9341.446421 50094 TCP 60 50094 鈫?9055 [RST] Seq=1 Win=0 Len=0
    2 164451.986850 9055 TCP 54 9055 鈫?51707 [RST, ACK] Seq=966 Ack=717 Win=0 Len=0
    3 196000.984728 9055 TCP 54 9055 鈫?55516 [RST, ACK] Seq=762 Ack=717 Win=0 Len=0
    4 206748.235089 21 TCP 54 21 鈫?56839 [RST, ACK] Seq=432 Ack=121 Win=0 Len=0
    5 251344.165367 21 TCP 54 21 鈫?61652 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0
    6 260534.172129 21 TCP 54 21 鈫?62957 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0
    7 271885.709376 21 TCP 54 21 鈫?64407 [RST, ACK] Seq=434 Ack=121 Win=0 Len=0
    ...

    wireshark界面过滤一样,它会筛选出所有满足过滤条件的包。

     

    2. 对每个包进行追踪。

    由于追踪包的命令为tcp.stream eq XXXX,因此我们需要知道tcp.stream值才可以追踪该包。

    我们上面打印出了相关的包信息。通过-e可以获取指定的包属性,因此在上面的条件加上-T fields -e tcp.stream,表示只需要获取流号。

    
     

    powershell PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream 103 1048 1319 1419 1544 1687 ...

    追踪到流号后我们就需要对每个流进行跟踪并保存。

    将流号保存到变量中,遍历每个流号进行筛选即可,通过>>到文本中。

    在windows下通过powershell可以很方便的配合tshark命令执行脚本。

    
     

    $streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream
    $streams | foreach {tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $_" -t ad >> 20190628.txt}

    若想要保存成pcapng格式,则可以通过拼凑筛选条件进行筛选,然后通过-w 输出为pcapng格式。

    
     

    $streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream

    $filter=""
    foreach($stream in $streams)
    {
    $filter = "$filter tcp.stream eq $stream or"
    }
    ## 移除最后多余的or
    $filter= $filter.trim("or")
    tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $filter" -t ad -w 20190628.pcapng

    通过将流号进行拼凑,然后筛选出所有流号的包。

    合并包

    我们可以通过tshark过滤出我们需要的包并保存为文件,有时候我们可能需要把若干个包合并起来一起分析。则可以通过mergecap进行合并。

    通过

    Usage: mergecap [options] -w <outfile>|- <infile> [<infile> ...]

    比如

    mergecap.exe -w e:\file\Wireshark\port.pcapng e:\file\Wireshark\port*

    port开头的文件合并到port.pcapng

    结论

    通过对抓包文件进行脚本化的处理,可以做许多更为强大的数据分析。

    比如在软件层面上对网络连接进行异常监控及预警。实时的对包进行分析,有异常连接可以做到即使预警。

    阅读目录(置顶)(长期更新计算机领域知识)https://blog.csdn.net/weixin_43392489/article/details/102380691

    阅读目录(置顶)(长期更新计算机领域知识)https://blog.csdn.net/weixin_43392489/article/details/102380882

    阅读目录(置顶)(长期科技领域知识)https://blog.csdn.net/weixin_43392489/article/details/102600114

    展开全文
  • wireshark抓包流程文档

    2011-06-27 13:50:20
    此时,软件抓包显示区域内数据不断变化 4、点击wireshark停止键,结束抓包过程 5、点击wireshark软件左上角“File”后,选择“Save”选项,在弹出的对话框中,输入存档文件名后,点击“保存”,完成数据包存储...
  • 如图,我只想当前过滤后的数据包可以选择 “导出特定分组” (Wireshark 2.x版本默认支持中文了)然后就可以保存指定的数据报文了。. 转载于:https://blog.51cto.com/professor/1812235...
  • 下载安装请参考: wireshark简单介绍及入门安装(附中文安装包) Wireshark的基本使用: 1. 选择网卡 2. 捕获数据流量 3. 过滤数据包 4. 保存数据包
  • wireshark对Ethercat抓包分析

    千次阅读 2017-05-12 10:35:15
    下载2.0+版本的wireshark,工具已经内嵌了对Ethercat的支持抓包设置过滤器如下就可以显示所有的ethercat数据包了导出特定分组,就可把抓到的包保存下来了 分析单包分析分类分析通过过滤器分析特定的一类数据这里有...
  • 相关文章 1、wireshark 如何保存数据包为抓包文件 导出为文本文件----https://zhidao.baidu.com/question/516412399.html 2、返璞归真——流量中提取文件的五种方法----http://blog.sina
  • 目前抓包软件比较多,目前我们用的最多的是wireshart和linux下的tcpdump,其中tcpdump不直观,但可以抓包保存为文件以后使用wireshark进行分析。这里简单记录下wireshark的使用。 说明: 1,抓包需要对TCP/IP协议栈...
  • 二、抓包选项设置 点击捕获,选中选项 1.捕获网卡设置 2.保存文件方式设置 很多情况下wireshark保存很大的数据包而不停止,这样不利于我们分析数据包。所以我们可以设置保存数据的方式: (1)根据数据包...
  • 打开后开始抓包过程: 选捕获,选择可以用的网络,连接手机。模拟器等设备(监听移动设备的数据传递) 可以过滤剩下HTTP协议的流 查看关系的数据流,打开校验结构, 对抓取的数据进行保存保存成一个文件),...
  • 抓包工具wireshark

    热门讨论 2013-06-15 15:42:05
    可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包 创建多种统计分析 …还有许多 不管怎么说,要想真正了解它的强大,您还得使用它才行
  • tcpdump是linux下一款抓包工具,wireshark是一款抓包和数据包分析工具。两者通常结合使用,tcdump抓取的数据包保存为可分析文件,然后在windows系统下通过wireshark进行分析。tcpdump命令需要使用-w保存文件。 如果...
  • tcpdump 是Linux平台上网络抓包、分析神器,wireshark可用在Windows上以可视化方式直接分析查看tcpdump抓取的数据文件。且wireshark内置支持很多常见应用协议解析,其中就包括kafka通信协议(Wireshark 2.4.0到2.6.0)...
  • wireshark抓一个http协议的

    千次阅读 2010-09-17 09:32:00
    wireshark抓一个http协议的1)配置可以直接在wireshark的主窗口的filter框里输入过滤条件wireshark怎么保存需要的数据?--》选择saveas 后 有个 packet range可以设置一般选中Displayed即可
  • 如果我们需要长时间抓包,或者抓包接口的流量非常大,保存为一个...通过wireshark抓包,一秒钟保存一个文件,保存5个文件后停止抓包(因为数据中心的网络一秒的流量就有几个G ~!) 位置:capture &gt; optio...
  • 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包 创建多种统计分析 …还有许多 不管怎么说,要想真正了解它的强大,您还得使用它才行
  • 一站式学习Wireshark(九):应用Wireshark显示过滤器分析特定数据流(上) 发布日期:2014-7-27 所属分类:通信基础知识 原文出处:EMC中文支持论坛 介绍 掌握显示过滤器对于网络...
  • 一站式学习Wireshark(九):应用Wireshark显示过滤器分析特定数据流(上) 发布日期:2014-7-27 所属分类:通信基础知识 原文出处:EMC中文支持论坛 介绍 掌握显示过滤器对于网络分析...
  • 一站式学习Wireshark(十):应用Wireshark显示过滤器分析特定数据流(下) 发布日期:2014-8-5 所属分类:通信基础知识 原文出处:EMC中文支持论坛 介绍 掌握显示过滤器对于网络分析...
  • wireshark

    2021-02-18 19:31:36
    抓包嗅探协议分析 抓包引擎 windows: winpcap linux: libpcap 解码能力强 设置 混杂模式 勾选后,会抓取未发给本机的数据信息 capture - options 保存文件 保存为pcap模式 首选项 edit - prefences -...
  • 由于研究需要,用wireshark抓取了大量的modbus-tcp的...有部分人的做法是“自己动手,丰衣足食” (winpcap/libpcap抓包,用程序抽取出特定字段进行分析),当然也有更简单的方法——用tshark。 tshark相当于是wi...
  • tcpdump抓包保存文件的结构分析

    千次阅读 2016-11-04 14:08:40
    2、接下来的16字节是:8字节的时间戳(前4位高低位的互换再乘1000可得到当前的时间精确到秒,后4位是微妙,算法同前面),4字节的软件抓包帧长度,4字节的网络中实际数据长度(比如42 00 00 00 表示后面帧的长度为66...
  • 处理抓包软件抓包保存的文件,过滤并仅取出tcp包装的数据保存到txt文件中 使用网络抓包软件,抓包后,保存文件xxx.pcap; 使用本软件,可以将xxx.pcap文件中tcp包装的数据解析到txt文件中; 使用场景:

空空如也

空空如也

1 2 3 4 5
收藏数 89
精华内容 35
关键字:

wireshark保存抓包数据