精华内容
下载资源
问答
  • Wireshark 抓包工具使用

    2020-07-25 15:50:36
    另一种是直接抓取经过网卡的所有协议包,其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpdump。下面重点介绍一下wireshark的使用。 二、Wireshark wireshark想必大多数程序员都不会陌生。wireshark...

    一、概述

    无论是开发还是测试,在工作中经常会遇到需要抓包的时候。目前的抓包软件总体可以分为两类,一种是设置代理抓取http包,比如Charles、mitmproxy这些软件。另一种是直接抓取经过网卡的所有协议包,其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpdump。下面重点介绍一下wireshark的使用。

    二、Wireshark

    wireshark想必大多数程序员都不会陌生。wireshark在各个平台都可以安装使用,它可以抓取经过指定网卡的所有协议。wireshark虽然很强大,但是对初学者其实不是很友好。

    这也正是由于它太强大,它可以抓取所有包,所以初学者在使用时面对茫茫数据流不知所措。初学者需要认真的去学习怎么过滤得到自己感兴趣的包,但是如果不熟悉wireshark的过滤语法,要过滤数据包将举步维艰。

    1、下载

    官网:https://www.wireshark.org/download.html

    根据部署节点操作系统选择对应版本下载就行

    2、安装

    安装过程没有特殊的,一直下一步就行

    3、启动软件

    启动软件时会自动扫描本地节点(个人理解:抓包工具由于是直接绑定网卡,所以需要部署在准备监测数据包的收/发两台节点中的一台,不能部署在不相关的节点,因为其监测原理所限)

    wireshark是捕获机器上的某一块网卡的网络数据包,当你的机器上有多块网卡的时候,你需要选择一个网卡:

    选择其中一块网卡后双击确认,开始抓包。

    Wireshark 窗口介绍,如下图,显示过滤器、封包列表、封包详细信息,是我们经常要看的。

    WireShark 主要分为这几个界面

    1. Display Filter(显示过滤器),  用于过滤

    2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

    3. Packet Details Pane(封包详细信息), 显示封包中的字段

    4. Dissector Pane(16进制数据)

    5. Miscellanous(地址栏,杂项)

    4、过滤语法简单介绍

    1、说明

    wireshark的过滤语法总结起来其实也很简单,就是以协议开头,后面可以跟着协议的属性,然后加上一些判断符号,比如contains、==、>、<等等。多个表达式用and or 等逻辑运算符进行连接。比如只想展示http的协议内容,则直接在过滤器输入框中输入http即可。如下图:

    使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

    过滤器有两种,

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

    2、保存过滤

    在Filter栏上,填好Filter的表达式后,比如【http.request.full_uri contains "hello" and tcp.port==8080】,点击+按钮, 取个名字。比如"Filter 102",填写备注点击OK按钮进行保存。

    Filter栏上就多了个"Filter 102" 的按钮:

    3、过滤表达式规则简介

    表达式规则

     1. 协议过滤

    比如TCP,只显示TCP协议。

    2. IP 过滤

    比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

    ip.dst==192.168.1.102, 目标地址为192.168.1.102

    3. 端口过滤

    tcp.port ==80,  端口为80的

    tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

    4. Http模式过滤

    http.request.method=="GET",   只显示HTTP GET方法的。

    5. 逻辑运算符为 AND/ OR

    常用的过滤表达式

    过滤表达式 用途
    http 只查看HTTP协议的记录
    ip.src ==192.168.1.102 or ip.dst==192.168.1.102  源地址或者目标地址是192.168.1.102

    4、封包列表

    封包列表(Packet List Pane)

    封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

    你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

    封包详细信息 (Packet Details Pane)

    这个面板是我们最重要的,用来查看协议中的每一个字段。

    各行信息分别为

    Frame:   物理层的数据帧概况

    Ethernet II: 数据链路层以太网帧头部信息

    Internet Protocol Version 4: 互联网层IP包头部信息

    Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

    Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

    5、Wireshark对应的OSI七层模型

    wireshark与对应的OSI七层模型

    TCP包的具体内容

     从下图可以看到wireshark捕获到的TCP包中的每个字段。

     

    本文参考网址1:https://blog.csdn.net/mingongge/article/details/102848924

    本文参考网址2:http://www.winwin7.com/JC/9065.html

    本文参考网址3:https://www.cnblogs.com/nmap/p/6291683.html

    展开全文
  • Wireshark安装 1、去官网下载相应的安装包 地址如下:https://www.wireshark.org/ 2、安装步骤,一路next,需要同意的地方点同意 ...2、选择完毕后就进入抓包页面,如下: 这个时候捕获的经过该网卡的所有数...

    Wireshark安装

    1、去官网下载相应的安装包

    地址如下:https://www.wireshark.org/

    2、安装步骤,一路next,需要同意的地方点同意

    3、安装完成后打开软件,如下:

     

    Wireshark的使用

    1、选择一个网卡点击使用,(按自己需要抓包的软件的所在的通讯网络进行选择)

    2、选择完毕后就进入抓包页面,如下:

    这个时候捕获的经过该网卡的所有数据包,还没有达到我们的需求,我们需要进行筛选

    选择“应用显示过滤器”

    显示过滤:wireshark过滤经过指定ip的数据包

    显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

    ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
    ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
    ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包

    eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤

    ip.src==192.168.0.0/16   //网络过滤,过滤一个网段

    捕获过滤:wireshark捕获经过指定ip的数据包

    捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。

    host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包
    src host 192.168.1.1    //源地址,192.168.1.1发出的所有数据包
    dst host 192.168.1.1    //目标地址,192.168.1.1收到的所有数据包

    src host hostname    //根据主机名过滤

    ether  host 80:05:09:03:E4:35    //根据MAC地址过滤

    net 192.168.1    //网络过滤,过滤整个网段
    src net 192.168
    dst net 192

    使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

    非: ! or “not” (去掉双引号)
    且: && or “and”
    或: || or “or”

    wirershark过滤指定ip收发数据包示例:

    抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据

    (tcp port 80) and ((dst host 192.168.1.2) or (dst host
    192.168.1.3))   //捕获过滤

    tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤

    抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据

    (icmp) and ((ether dst host 80:05:09:03:E4:35))

    icmp && eth.dst==80:05:09:03:E4:35

    抓取所有目的网络是192.168,但目的主机不是192.168.1.2 的TCP 数据

    (tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

    tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

    捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信

    host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

    ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

    获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

    host 192.168.1.1 and ! 192.168.1.2

    ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

    获取主机192.168.1.1接收或发出的telnet包,telnet使用tcp 23端口

    tcp port 23 and host 192.168.1.1

    tcp.port==23&&ip.addr==192.168.1.1

     

    转载于:https://www.cnblogs.com/bestwei/p/10763981.html

    展开全文
  • 1.嗅探欺骗wireshare位置 2.wireshare简单介绍 看图分析 1.第1处eth0 以及下面的Loopback:lo等等都是网卡(一般就选eth0) 2.第2处过滤器可以指定你想抓包的内容,有如下图这么多 ...

    wireshark

    1.嗅探欺骗wireshark位置

    在这里插入图片描述

    2.wireshark简单介绍(可能由于版本内容不同但大同小异)

    在这里插入图片描述
    看图分析(可能由于版本内容不同但大同小异)
    1.第1处eth0 以及下面的Loopback:lo等等都是网卡(一般就选eth0)。
    2.第2处过滤器可以指定你想抓包的内容,有如下图这么多。
    在这里插入图片描述
    如想抓捕ip的话可以指定或者IPV4 only:ip
    在这里插入图片描述
    在这里插入图片描述
    等我拿下来图方便大家
    在这里插入图片描述
    3.第三处 开始抓包(可能由于版本内容不同但大同小异)
    4.抓包设置(其实更具体上面1.2处内容具体看图)
    在这里插入图片描述

    3.开始抓包

    1.介绍总览;开始;结束(如图)
    在这里插入图片描述
    2.一些功能的介绍
    首先点编辑再点首选项可以编辑很多基本的东西(如图就是表现格式)
    在这里插入图片描述
    补图:格式在这里插入图片描述
    4.查看非加密的包的内容
    (1)自己可以弄两个kali linux 虚拟机试试
    (2)用nc来 不知道的看 (主要是来远程一下这样就是数据包传输开了)https://blog.csdn.net/weixin_46765649/article/details/105758325
    上图了(记得抓包一方打开wireshark)
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    重点来了
    在这里插入图片描述
    刚刚输入的内容都被抓捕到(关键nc远程不会加密,加密就是乱码下面继续演示)
    ncat加密 不知道看https://blog.csdn.net/weixin_46765649/article/details/105758325
    在这里插入图片描述
    在这里插入图片描述
    为乱码
    wireshark就介绍到这,大家可以自己点上面一栏去自己看看了解一次,只有自己实际操作过一次才会真正理解

    tcpdump

    1.抓包代码

    tcpdump -i eth0 -s 0 -w 1.pcap
    tcpdump -i eth0 port 22(只抓取22端口)
    -i-选择网卡
    eth0-网卡
    -s-大小“size”
    0-此处0位无论多大都抓取
    -w-保存
    1.pcap-保存成文件的名称和格式
    在这里插入图片描述
    在这里插入图片描述

    2.读取抓包的内容

    tcpdump -r 1.pcap

    -r-"read"的意思就是读取
    1.pcap文件名字
    在这里插入图片描述

    3.筛选过程

    tcpdump -n -r 1.pcap | awk ‘{print $3}’ | sort -u
    -n-不对IP地址做相应的解析
    awk ‘{print $3}’-只抓取第3列的信息
    sort -u-删去重复信息

    如果不加awk已经后面的sort效果如图
    在这里插入图片描述
    加上awk不加sort效果如图
    在这里插入图片描述
    正常全部效果如图
    在这里插入图片描述
    tcpdump -n src host 1.1.1.1 -r 1.pacp
    src host 1.1.1.1-只筛选原目标1.1.1.1这个地址的信息
    在这里插入图片描述

    在这里插入图片描述
    tcpdump -n dst host 1.1.1.1 -r 1.pcap
    dst-为目标地址
    在这里插入图片描述
    在这里插入图片描述
    tcpdump -n port 333 -r 1.pcap
    port 333-333端口
    在这里插入图片描述
    tcpdump -n -X port 333 -r 1.pcap
    -X-用16进制显示
    在这里插入图片描述

    tcpdump -A -r 1.pcap(显示ascll形式)
    tcpdump -X -r 1.pcap(显示16进制)

    展开全文
  • Windows 抓包Windows 上 必须要在wireshark 软件安装时勾选这个USBPcap,否则无法抓取USB的数据安装后通过选择下图中的USBPcap 进行抓包同时需要注意这个旁边有个齿轮的按钮可以指定抓取哪个USB总线,哪个USB设备如...

    USB抓包方法总结

    Linux 和 Windows 环境上 都能通过wireshark 软件分析USB报文。

    Windows 抓包

    Windows 上 必须要在wireshark 软件安装时勾选这个USBPcap,否则无法抓取USB的数据

    25bfc452d0ddba67d40ef89fec85d8e5.png

    安装后通过选择下图中的USBPcap 进行抓包

    3ca79d9c184e3dc3f0643c5fbeed840b.png

    同时需要注意这个旁边有个齿轮的按钮可以指定抓取哪个USB总线,哪个USB设备

    如下图,我勾选了华为设备接入的USB1 这个总线。

    93f98f9a645f56beb7992b28b9bcdb8a.png

    配置完成后点击开始就能抓包了,可以看到报文信息,包括传输的内容都能获取。

    特别注意windows上RNDIS模式的USB网卡经过实测部分报文抓不到,将卡模式改为NCM模式后能正常抓取。原因在官网其实已有描述链接如下CaptureSetup/USB - The Wireshark Wiki

    下面是摘取的官网说明

    USB attached network interfaces

    A special case are network interfaces connected to a host computer through an USB cable. The operating system "converts" the raw USB packets into the network traffic (e.g. Ethernet packets) and provides a network interface that looks like an ordinary network interface. So you can capture from:

    • the USB device for raw USB traffic (if supported)
    • the network device for "normal" network packets

    The USB bus will add additional overhead, so the raw USB traffic will have higher volume than the network traffic, even if the only active USB devices on the system are network adapters. (If there are other active USB devices, the raw USB traffic will include traffic to and from those devices, so it will obviously have higher volume than Ethernet traffic.)

    Linux抓包

    Linux 下 对USB抓包是 使用USBMON 即 usb monitor模组来进行抓包操作。需要Linux在编译时打开CONFIG_USB_MON

    详细描述可以参考 https://www.kernel.org/doc/html/latest/usb/usbmon.html

    挂载debugfs文件系统

    sudo mount -t debugfs none_debugs /sys/kernel/debug

    确认内核中是否有加载usbmon模块

    lsmod | grep usbmon

    或者

    ls /sys/module/usbmon

    如果发现没有对应的目录或者模块,则表示需要加载usbmon

    modprobe usbmon

    抓取USB日志

    最好先用lsusb –t 查看一下需要抓哪个USB总线的数据

    c9e83d9043d2f8fd6e608180170462eb.png

    如果要抓所有总线的数据就指定usbmon0,其他usbmon设备一一对应USB的各个总线

    采用如下命令可以抓取 usb通信过程数据

    sudo tcpdump -i usbmon1 -w usbmon11.pcap

    对应文件导出后用wireshark 打开就能看到数据

    当然也可以直接cat usbmon1 设备,但是全是数据需要自己解析 比较繁琐。

    通用查看部分

    如下图所示,可以抓到USB通信的流程,但不包括握手的部分。

    84b9c3bef925d357d03179de51b58b5b.png

    可以通过流图看到与谁做了交互

    b33d5a2334822b7ea3e7b13dcb1b06db.png

    协议分析统计可以看到数据量

    8743842eb4c73d3b7e60e79b4c2e170d.png
    展开全文
  • tcpdump抓包分析详解

    万次阅读 2017-01-12 15:05:22
    tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用...使用-i选项,我们可以在某个指定的网口抓包: linux:/tmp/lx # tcpd
  • tcpdump抓包

    2019-05-01 22:45:00
    Linux tcpdump 抓包: 3.监视指定网络接口的数据包 tcpdump -i ens33 4.也可以指定ip,例如截获所有192.168.131.131的主机收到的和发出的所有的数据包 tcpdump host 192.168.131.131 -i ens33(必须加上网卡名称) ...
  • tcpdump抓包使用详解

    2019-02-25 22:19:06
    tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的...使用-i选项,我们可以在某个指定的网口抓包: linux:/tmp/lx # tcpdump -i ...
  • WireShark的使用

    2020-06-30 23:21:22
    打开 Wireshark,选取指定的网卡进行抓包,首先我们ping下百度的地址: ip为61.135.169.125 抓包情况如下: Wireshark 的控制面板包含 7 个字段,分别是: NO:编号 Time:包的时间戳 Source:源地址 ...
  • tcpdump抓包分析详解tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用wireshark软件进行查看。1.针对特定网口抓包(-i...
  • linux抓包工具tcpdump

    千次阅读 2015-12-22 11:10:54
    tcpdump可以保存成后缀为pcap的文件,使用wireshark软件进行查看1. 针对特定网口(-i)# tcpdump -i eth02. 抓取指定数目(-c)# tcpdump -i eth1 -c 2 tcpdump: verbose output suppressed, use -v or -vv ...
  • TCP Dump 抓包工具详解

    2019-10-02 03:17:26
    一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。 一、基本语法 1.1、过滤主机 抓取所有经过eth1,目的或源地址是192.168.1.1的网络...
  • WireShark虚拟机数据包捕获

    千次阅读 2020-06-28 21:16:06
    选中指定网卡进行流量嗅探 使用netdiscover软件进行配合 //////////////////////////////// 先获取你的kaili虚拟机的ip比如192.156.4.5 ...你可以通过WireShark抓包看出来 最终扫描结果 发现了三台机器 ...
  • Fiddler+X5S(XSS漏洞扫描,抓包)工具 Fiddler 是用C#写出来的,它包含一个简单却功能强大的基于JScript .NET 事件脚本子系统,它的灵活性非常棒,可以支持众多的http调试任务,并且能够使用.net框架语言进行扩展。 ...
  • 简介: Hbasepacket是基于HBASE的分布式记录、回溯工具。采用的是HBASE为存储网络时光机。... 后续可以通过使用wireshark等网络分析软件对网络数据包进行分析排障。 标签:HbasePacket
  • tcpdump能帮助我们捕捉并保存网络包,保存下来的网络包可用于分析网络负载情况,包可通过tcpdump命令解析,也可以保存成后缀为pcap的文件,使用...使用-i选项,我们可以在某个指定的网口抓包: linux:/tmp/lx #
  • 网络流量分析

    千次阅读 2019-09-12 21:33:56
    可用wireshark软件抓包 网络流量大小的时序图,可按每半分钟、每分钟、每五分钟、每十分钟进行分别显示。 流量协议类型直方图 可设置过滤条件,显示指定协议数据包、显示时间段数据包、显示长度范围内的数据包 提示...
  • dongle后, 都反馈说不知道如何抓包, 并且, 即使很多朋友到TI官网论坛去找信息,不少朋友依然是无功而返,实际上, 用cc2540 usb-dongle来进行ble数据的抓包,并不像用电脑的wireshark软件来抓取ip包一样简单。...
  • 国嵌linux视频课件整理(1)

    千次阅读 2013-09-13 00:11:09
    Linux系统管理 Linux与Linux之间通过NFS(network file system)实现...Wireshark抓包软件,分析网络协议。 shell编程: 1)#!/bin/bash ,符号#!用来指定该脚本文件的解析程序。 2)# 开头表示该行是注释。
  • tcpdump使用技巧

    2018-10-25 17:01:20
    一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。 一、基本语法 1.1、过滤主机 抓取所有经过eth1,目的或源地址是192.168.1.1的网络数据 ...
  • 用于网络协议测试的工具

    千次阅读 2013-08-27 15:13:20
    Packetsquare, 一个协议编辑器和回放工具 Tcptrace, 网络通讯消息截取工具 EtherApe, 一个图形化的网络流量嗅探器 ...Wireshark, 跨平台的图形抓包软件件 tcpdump,用于拦截和显示TCP/IP数据包(Win
  • TCPdump

    2018-01-10 18:13:52
    tcpdump的使用技巧一般情况下,非HTTP协议的网络分析,服务器在端的用tcpdump比较多,在客户端用的Wireshark比较多,两个抓包软件的语法是一样的。一,基本语法1.1,过滤主机抓取所有经过eth1的,目的或源地址是192....
  • 本文实例讲述了Python脚本实现虾米网...有的服务器登录成功后会让客户端浏览器跳转或者立即刷新一次页面等等,会把登录时向服务器post的数据刷没掉,那么就要用到强大的抓包软件——WireShark来分析。比如用chrome:

空空如也

空空如也

1 2
收藏数 28
精华内容 11
关键字:

wireshark指定软件抓包