精华内容
下载资源
问答
  • Wireshark作用

    万次阅读 2017-07-12 18:48:49
    Wireshark的常用功能分为四个方面: 1.一般分析任务 (1)找出在一个网络内发送数据包最多的主机 (2)查看网络通信 (3)查看某个主机使用了哪些程序 (4)基本正常的网络通信 (5)验证特有的网络操作 (6)...

    Wireshark的常用功能分为四个方面:

    1.一般分析任务

    (1)找出在一个网络内发送数据包最多的主机

    (2)查看网络通信

    (3)查看某个主机使用了哪些程序

    (4)基本正常的网络通信

    (5)验证特有的网络操作

    (6)了解尝试连接无线网络的用户

    (7)同时捕获多个网络的数据

    (8)实施无人值守数据捕获

    (9)捕获并分析到/来自一个特定主机或子网的数据

    (10)通过FTP或HTTP查看和重新配置文件传输

    (11)从其他捕获工具导入跟踪文件

    (12)使用最少的资源捕获数据

    2.故障任务

    (1)为故障创建一个自定义的分析环境

    (2)确定路径,客户端和服务延迟

    (3)确定TCP问题

    (4)检查HTTP代理问题

    (5)检查应用程序错误响应

    (6)通过查看图形显示的结果,找到相关的网络问题

    (7)确定重载的缓冲区

    (8)比较缓慢的通信到正常通信的一个基准

    (9)找出重复的IP地址

    (10)确定DHCP服务或网络代理问题

    (11)确定WLAN信号强度问题

    (12)检测WLAN连接的次数

    (13)检查各种网络配置错误

    (14)确定应用程序正在加载一个网络片段

    3.安全分析(网络取证)任务

    (1)为网络取证创建一个自定义分析环境

    (2)检查使用非标准端口的应用程序

    (3)确定到/来自可疑主机的数据

    (4)查看哪台主机正在尝试获取一个IP地址

    (5)确定phone home数据

    (6)确定网络侦查环境

    (7)全球定位和映射远程目标地址

    (8)检查可疑数据重定向

    (9)检查单个TCP或UDP客户端和服务器之间的会话

    (10)检查到恶意畸形的帧

    (11)在网络数据中找出攻击签名的关键因素

    4.应用程序分析任务

    (1)了解应用程序和协议如何工作

    (2)了解图形应用程序的带宽使用情况

    (3)确定是否将支持应用程序的链接

    (4)更新/升级后检查应用程序性能

    (5)从一个新安装的应用程序中检查错误响应

    (6)确定从哪个用户正在运行一个特定的应用程序

    (7)检查应用程序如何使用传输协议,如TCP或UDP

    展开全文
  • Wireshark学习

    千次阅读 多人点赞 2020-01-31 14:00:32
    0x1 Wireshark安装和下载 老样子给出Wireshark下载地址Wireshark官网,下载完成后除了选择安装路径外都可以直接下一步默认安装配置。如果嫌下载慢我这还有刚下好的最新版本x64 v3.2.1,给大家带来便利网盘入口,密码...

    0x1 Wireshark安装和下载

    老样子给出Wireshark下载地址Wireshark官网,下载完成后除了选择安装路径外都可以直接下一步默认安装配置。如果嫌下载慢我这还有刚下好的最新版本x64 v3.2.1,给大家带来便利网盘入口,密码:sayb
    我这里安装的版本是Wireshark v3.0.6
    在这里插入图片描述

    0x2 Wireshark的安置

    想要使用Wireshark首先要知道Wireshark部署位置,要根据当前需要抓包环境的完整网络拓扑图,至少要知道出故障网络的网络拓扑才能有效的进行网络抓包和诊断。根据网络拓扑图才可以找到合理安置Wireshark的位置。
    安置Wireshark的方法:
    1)确定要抓取并监控的设备发出的流量
    2)将安装了Wireshark的主机或笔记本连接到目标主机所在的交换机上(同一局域网)
    3)开启交换机的端口监控功能(该功能叫端口镜像或交换式端口分析器[Switched Port Analyzer,SPAN]),把受监控设备发出的流量重定向给Wireshark主机。
    按照以上步骤就可以进行抓包了,这是最简单的操作。
    Wireshark可以用来监控LAN端口、WAN端口、服务器/路由器端口或接入网络的任何其他设备发出的流量。需要按照下图所示方向配置端口镜像,即可监控到S2服务器所有进出流量,Wireshark也可以安装到S2服务器本身对本机抓包。
    在这里插入图片描述
    注意,流量监控的特性是需要交换机支持的,而不是Wireshark软件本身。
    Wireshark软件包中自带WinPcat函数库,这个库主要作用是通过软件形式模拟网卡,并获取网卡收发消息的。(Windows下使用的类库,可以用这个进行开发类似Wireshark的网络分析小工具)
    因为我是之前就安装过Wireshark,这里按照书中版本的安装截图进行说明
    在这里插入图片描述
    TShark组件:一种命令行协议分析器。
    Wireshark 1/2:对老版本兼容软件,保证新版本出现问题可以随时切回老版本使用。安装这个比较稳妥。
    拓展功能和和工具也都默认选上,里面有很多关于协议解析和过滤数据包好用的功能和工具。

    0x3 操作方法wireshark配置方案图

    1、服务器流量监控
    如上图所示,如果想要监控服务器的收发流量只需要将安装Wireshark的笔记本与服务器连接在相同交换机下,然后让该交换机重定向流量到Wireshark就可以开始抓包。也就是上图标号1所指向的位置。当然也可以直接在服务器上安装Wireshark本机抓包。
    2、路由器流量监控
    可以根据以下各种情形,来监控进出路由器的流量
    情形1:监控路由器连接交换机的LAN口的进出流量
    1)将Wireshark设备接在编号2的位置上(路由器和交换机中间)
    2)开启交换机上的端口镜像功能,把与路由器LAN口相连的端口流量重定向至连接Wireshark主机的端口。
    情形2:监控安装在路由器上的交换模块端口读进出流量
    1)当路由器安装了一块交换模块时,如图编号6(5指的是WAN端口,6指的是LAN端口)
    2)只能监控链接到交换模块的设备流量(因为路由器先把流量处理后交给了交换模块,交换模块再转交交换机,Wireshark接入的位置相当于交换模块和交换机之间自然只能接到交换模块的流量)
    情形3:监控未安装交换模块的路由器的WAN口的流量
    1)可在路由器WAN口和服务提供商(SP)网路间架设一台交换机,在该交换机上执行端口监控。如下图
    在这里插入图片描述
    2)同样开启交换机端口监控功能,将连接WAN口的端口流量重定向到安装Wireshark的笔记本上。
    情形4:嵌入了抓包功能的路由器
    启用路由器内置抓包功能时,请确保路由器有足量的内存,不能因为开启该功能而影响路由器的速度。
    某些厂商将抓包功能嵌入了路由器或路由器操作系统。
    监控路由器流量时请注意:发往路由器的数据包并不一定都会得到转发。有些数据包在发送的过程中有可能丢包,路由器本身也可能因为内存不足对一部分数据从接收端口原路送回。还有广播包不会得到路由器转发。
    3.防火墙流量监控
    有两种手段进行监控:
    1)监控防火墙内口流量
    2)监控防火墙外口流量
    如下图
    在这里插入图片描述监控防火墙内口,可以查看内网所有用户发起的Internet的流量,其源IP地址均为分配给内网用户的内部IP地址。监控外口,能看到所有经过防火墙放行的访问Internet的流量,这些流量IP地址均为外部IP地址(拜NAT所赐,分配给内网用户的内部IP地址被转换成了外部IP地址)。
    4、分路器和Hub
    执行流量监控任务时,可能会用到以下两种设备。
    **分路器:**可在受监控的链路上用分路器(Test Access Point,TAP)来取代互联网到路由器间的交换机的位置。与交换机作用相同,而且TAP便宜方便,还可以把出错的数据包给Wireshark,交换机遇到错误就会直接将错误包丢弃。
    **Hub:**也是为替代监控互联网到路由器之间的路由器而设计的,它时半双工设备。用这个设备,路由器和SP设备之间穿行的每个数据包都能被Wireshark注意获取。但半双工的缺点也很明显,流量速度太慢,会显著加剧流量的延迟。所以一般抓包都不用Hub

    0x3 幕后原理

    LAN交换机运作方式
    1)LAN会不断地学习接入本机的所有设备的MAC地址。
    2)收到发往某MAC地址的数据帧时,LAN交换机只会将其从学的此MAC地址的端口外发
    3)收到广播帧时,交换机会从出接收端口外的所有端口外发
    4)收到多播帧时,若未启用Cisco组织管理协议或Internet组织管理协议监听特性,LAN交换机会从除接收端口以外所有的端口外发;如启用了上面两种特性之一,LAN交换机会通过接连了相应多播接收主机的端口外发多播帧。(简单来说,如果没开特性就全发跟广播一样,开启特性就根据哪些主机开了上面的专门接收多播的端口选择性的发送)
    5)收到目的MAC地址未知的数据帧时(这种比较罕见),交换机会从除接收端口意外的所有端口外发。
    接下来以下图为例进行说明第二层(L2)网络的运作方式。
    在这里插入图片描述
    接入网络的每台设备都会定期发送广播包。ARP请求消息和NetBIOS通告消息都属于广播包。广播包已经发出,就会遍布整个L2网络(如图虚线所示)。上图发广播帧的计算机是1号终端,所有交换机接到这个广播帧后都会记录这个MAC帧和发出MAC帧的计算机端口M1。
    当PC2要将一帧发送给PC1时,由于所有交换机都学过了PC1的MAC帧地址。PC2的MAC帧会被转发给SW5,由于SW5已经知道了PC1的地址,则会继续转发给其他知道PC1的MAC地址的交换机,一直到最终的PC1的地址。
    因此,将交换机上的某端口配置为镜像端口,先把受监听端口流量重定向到该端口上,再接入安装了Wiershark的笔记本电脑,即可观察到到所有受监控的端口流量。如果直接连接Wireshark笔记本电脑而不做任何配置,只能抓取到流过这个笔记本网卡的单播流量,以及广播和多播流量。
    注意:Wireshark再对于不同交换机端口之间交换的同一VLAN流量,Wireshark会从流量接收端口的流入方向以及流量发送端口的流出方向分别收取一遍,所以会抓到重复的数据包。

    0x4 在虚拟机上抓包

    1、再驻留于单一硬件平台的VM上抓包
    在这里插入图片描述
    由图可知,个操作系统(客户操作系统)分别运行了多个应用程序APP。这些操作系统都运行于虚拟化软件之上,而虚拟化软件则运行于硬件平台之上。
    现实生活中想要实施抓包有两种选择:
    1)在有待监控的主机上安装Wireshark
    2)在LAN交换机上开启端口镜像功能,将连接受监控主机的网卡(NIC)的交换端口流量重定向至Wireshark主机。
    在驻留于单一硬件的虚拟化平台(云端)进行抓包方法有两种:
    1)在有待监视的指定服务器上安装Wireshark,直接在服务器上抓包。
    2)在安装了Wireshark的笔记本电脑连接交换机,开启重定向服务,重定向进出口的流量。在上图所示场景中,将笔记本电脑连接至交换机某个空闲端口(8口)相连,开启端口镜像功能,将1、2口流量重定向至8口,不过这种抓包方法容易碰到问题。
    第一种抓包方式直接。第二种有可能碰到问题。
    如上图,服务器和LAN交换机之间通常会通过两条以上的链路互联。可以把这样的连接方式称为链路聚合(LAG)、端口/网卡结对(teaming)或EtherChannerl(如用Cisco 交换机)。在监控服务器流量时,得检查连接服务器的交换机接口时运行于负载共享(load sharing)模式还是端口冗余(port redundancy)(也叫做故障切换或者主备[Failover]模式)。若运行于端口冗余模式:请先确认连接服务器网卡的活跃交换机端口,再配置镜像,实施抓包。若运行于负载共享模式(一个网络请求,由两个网卡一起完成,但两个网卡的流量却完全不等),则必须采用以下三种流量镜像之一:
    1)镜像抓取LAG接口的流量。即镜像抓取两个或两个以上的物理端口,并捆绑而成的虚拟机接口流量。交换机厂商一般会把这样的虚拟机接口称为Port-Group接口或Port-Channel接口。
    2)服务器NIC运行于端口冗余模式。请将连接服务器网卡的两个交换机物理端口(如下图所示交换机的1、2两口,选项A)中活跃端口流量镜像至Wireshark主机。
    在这里插入图片描述
    3)在LAN交换机上配置两路端口镜像,将连接服务器双网卡的两个物理机端口流量同时镜像给Wireshark主机的双网卡。
    还有一个问题:
    在负载共享抓包模式下抓包,若进出服务器流量过高,采用方法1,将会把两块网卡京享值Wireshark主机单网卡。这种流量已经超过了网卡接包的最大流量上限,Wireshark主机不可能抓全所有服务器流量,某数据包势必会被丢弃。因此想要保证抓全所有流量包,请保证Wireshark主机的NIC速率高于受监控服务器网卡速率,或采用3方法(用双网卡抓包)

    0x5 在刀片服务器上抓包

    刀片服务器是指在标准高度的机架式机箱内可插装多个卡式的服务器单元,是一种实现HAHD(High Availability High Density,高可用高密度)的低成本服务器平台,为特殊应用行业和高密度计算环境专门设计。刀片服务器就像“刀片”一样,每一块“刀片”实际上就是一块系统主板。
    在这里插入图片描述
    下图是刀片式服务器机箱的硬件网络拓扑
    在这里插入图片描述
    所示刀片式服务器机箱(刀箱)包含以下部件。
    刀片服务器:硬件刀片,通常安装在刀箱正面。插在刀箱卡槽上的小单元。
    服务器:虚拟服务器,也叫虚拟机,驻留于硬件刀片服务器之内。也就是每个卡槽上的服务器里都有个虚拟机服务器。
    内部LAN交换机:内部LAN交换机安装在刀箱的正面或背面。此类交换机一般都有12 ~ 16个内部(虚拟)端口和4 ~ 8个外部(物理端口)。
    外部LAN交换机:安装在通信机架上的物理交换机,不属于刀箱。
    监控服务器刀箱(里刀片服务器的流量)会更困难,因为进出刀片服务器的流量是没有办法直接抓取的。
    刀箱内部流量监控
    要监控进出特定服务器的流量,请在虚拟服务器上安装Wireshark。此时只要确定收发流量的虚拟网卡。检查虚拟机的网络设置即可确认这一点,还可以启动Wireshark,在Wireshark-Capture Interface界面确认接收流量的虚拟机网卡。
    刀片服务器与导向内部交换机所连服务器之间(上图1)的流量监控
    要监控刀片服务器与导向内部交换机所连服务器之间的流量,请在导向内部交换机上开启镜像功能,将上连刀片服务器的内口(虚拟端口)流量重定向至下连Wireshakr主机的外口(物理端口)。
    刀箱内部交换机所连服务器与外部交换机所连设备间(标号2)的流量监控。
    在内部或外部LAN交换机开启端口镜像功能,抓取流量。

    0x6 开始抓包

    0x6.1 操作方法

    只要开启软件,进入启动窗口即可看见所有本机网卡及流量状况
    在这里插入图片描述
    发起单网卡抓包最简单的方式就是双击有流量经过的网卡,还可以选中指定网卡后点击小鲨鱼的图标2。
    1、多网卡抓包
    先按下Ctrl或Shift键,再用鼠标选择就可以选中多个网卡选项。我随便找了4个本地连接做演示。
    在这里插入图片描述
    选中后点击鲨鱼图标,就可以同时抓取选中的内容的流量了。这里只是举个例子。
    多网卡抓包很多情况下会用到。比如,只要Wireshark主机配备了两块物理网卡,即可同时监控到两台不同服务器的流量或一台路由器的两个接口流量,如下图。
    在这里插入图片描述
    2、如何配置实际用来抓包的网卡
    1)在菜单中点击捕获->设置选项,会弹出捕获接口窗口。可以在窗口中配置抓包网卡的参数
    在这里插入图片描述
    2)可以在该窗口中的网卡列表区域选择实际用来抓包的网卡,无需配置网卡上的其他参数,直接点击start就可以开始抓包。
    3)左下角有个"在所有接口上使用混杂模式的复选框"。一旦勾选,Wireshark主机便会抓取交换机(端口镜像功能)重定向给自己的所有数据包,哪怕数据包的目的不是本机地址;若取消勾选,Wireshark就只会接收自己本机需要的数据报,丢弃重定向接口的数据包。
    4)在网卡列表区域正下方,有抓包过滤器输入栏。
    3、将抓到的数据存入多个文件
    可在网卡列表的“输出”选项卡下配置,点击“输出选项卡”会弹出以下窗口。
    在这里插入图片描述
    Wireshark会将抓到的数据保存到我们自定义的路径下。若勾选了"自动创建新文件,经过…“复选框,则可以设定条件,让Wireshark按照所指定的条件,将抓包数据存入多个文件,文件名格式为文件路径栏内输入的文件名+_xxxx_时间戳。该功能在有待监控的网络链路的流量极高或需要长期抓包的情况下十分有用。在这种情况下可以设定条件,让Wireshark在指定事件之后、抓取到指定规模的数据之后,或者抓取到指定数量的数据包只好,将抓包数据存入一个新文件。
    4、设置抓包选项参数
    点击选项,在左上角1区域内设置显示抓包后要显示的选项。右上角2区域显示解析选项。
    在这里插入图片描述
    5、网卡管理
    在这里插入图片描述
    弹出管理接口窗口,在该窗口下可以看到所有网卡信息,包括未在启动窗口的网卡列表区域出现的网卡。
    在这里插入图片描述
    Wireshark还能时时读取应用程序抓取到数据包。
    6、远程机器上抓包
    1)在远程机器上安装pcap驱动程序,也可以在远程机器上完整安装Wireshark软件包。
    2)在Wireshark启动窗口选择“捕获->设置->管理接口”,在弹出的另一个管理接口窗口中,点击远程接口选项卡,在该选项卡中点击左下角”+“按钮,会弹出一个远程接口按钮
    在这里插入图片描述
    3)在该窗口添加参数。
    主机IP地址或主机名
    输入端口2002,不填则默认为2002
    可以选择不验证,验证就是添加登陆的用户名密码
    4)登陆有待采集数据的远程机器
    5)回到接口管理界面点击OK按钮,这样远程机器的网卡就会出现在本地网卡列表中,操作与本机一样。
    7、开始抓包——在Linux/UNIX机器上抓包
    Linux和UNIX系统自带tcpdump工具。我们需要记住以下常用指令

    ;从指定接口抓包:
    	语法: tcpdump -i <接口名>
    	例子: tcpdump -i eth0
    ;将从指定接口抓到数据存入指定文件
    	语法: tcpdump -w <文件名> -i <接口名>
    	例子: tcpdump -w test001 -i eth1
    ;读取抓到的数据包文件
    	语法: tcpdump -r <文件名>
    	例子: tcpdump -r test001
    

    8、从远程通讯设备采集数据
    该功能常规理念是,某些厂商的网络设备具备本机抓包功能,抓包完毕之后,还支持将抓包文件导出至外部主机。
    按Cisco的说法,该功能名为嵌入式数据包捕获(EPC)功能,配置方法可在思科官网进行搜索。

    0x6.2 Wireshark抓包原理

    将Wireshark主机的网卡接入有线或无限网络开始抓包时,介于有线(或无线)网卡和抓包引擎之间的软件驱动程序便会参与其中。在Windows和UNIX平台上,这一软件驱动程序分别叫作WinPcap和LibCap驱动程序;对于无线网卡,行使抓包任务的软件驱动程序名为AirPacP驱动程序。
    若需要精准获取时间还需要利用NTP协议从NTP服务器上获取。

    展开全文
  • Wireshark抓包的妙用

    千次阅读 2020-09-25 15:47:16
    今天小编要给大家介绍的这个抓包工具–Wireshark,它相对其他的抓包工具来说更厉害一些。 功能 它支持上百种协议的解密嗅探分析,在互联网上发生的事情,多微小的细节都能通过它分析出来,而且它不仅可以实时抓包,...

    今天小编要给大家介绍的这个抓包工具–Wireshark,它相对其他的抓包工具来说更厉害一些。

    功能

    它支持上百种协议的解密嗅探分析,在互联网上发生的事情,多微小的细节都能通过它分析出来,而且它不仅可以实时抓包,还可以离线分析,它还提供了 GUI 界面工具,你在其它大部分的抓包工具中抓到的数据文件都能拿来这里分析一波,而且,Wireshark 是跨平台的,市面上大多数系统都能运行。

    认识一下Wireshark

    首先就是安装:https://www.wireshark.org/download.html 根据自己的版本进行安装
    安装完成之后打开图下:

    在这里插入图片描述

    现在来带大家了解一下每个模块有什么作用:

    在这里插入图片描述

    现在这样一看就知道,然而当你抓包的时候界面就会改变图下:

    在这里插入图片描述

    再来给大家说一下这几个面板分别有什么作用

    在这里插入图片描述

    现在我们先来简单进行一个抓包
    首先我们要开启Wireshark的数据访问监听,你也可以使用快捷键 ctrl+E 或者点击工具栏第一个图标

    在这里插入图片描述

    我们先过滤一下Http的请求:

    在这里插入图片描述

    然后随便去浏览器找一些图片:

    在这里插入图片描述

    这时候 wireshark 就监听到请求的数据包了:

    在这里插入图片描述

    在数据包列表中,每个 item 所表示的都一目了然,从左到右分别是请求的时间、请求的 IP 、响应的IP、请求的协议、内容长度、以及相关信息:

    在这里插入图片描述

    每条数据下方都会有具体信息的显示,你也可以直接双击具体的数据包,这时候会弹出一个窗口,专门用来展示具体数据包的相关传输信息:

    在这里插入图片描述

    我们来看看应用层抓到的信息:

    在这里插入图片描述

    可以看到,这里我们是通过 Get 请求,其中Http 协议参数以及请求头的相关信息都可以在应用层这里获取。
    响应的信息:

    在这里插入图片描述
    在这里插入图片描述

    那么除了 Hypertext Transfer Protocol 之外,上面的那几个显示的都是什么内容呢?

    在这里插入图片描述

    我们一个一个来,其中的 Frame 里面主要是展示这个数据包报文的具体信息:

    在这里插入图片描述

    比如这里就展示了网卡信息,抓取的时间,数据的大小,协议等信息。
    因为网络数据包的传输是分层的,所以这里的以太网Enternet II表示的是数据链路层,在这里可以看到的是源 mac 地址和目的 mac地址:

    在这里插入图片描述

    接下来就是 IP 网络层,这里可以看到IP协议头的一些信息:

    在这里插入图片描述

    接下来就是TCP 传输层,在这里可以看到TCP 数据包的一些信息,比如源端口,目的端口,序列号,Ack确认等:

    在这里插入图片描述

    最后就是我们刚刚看到的 HTTP 协议应用层:

    在这里插入图片描述

    大概认识了 Wireshark 之后,接下来我再跟你说说它的常用功能。
    我们刚刚输入http 进行了显示过滤:

    在这里插入图片描述

    实际上 Wireshark 的过滤很强大,可以定义不同的参数过滤,你可以点击菜单栏的:
    View-internals-Support Protocols
    在这里可以看到各种协议的过滤字段:

    在这里插入图片描述

    比如 http 协议的过滤字段:

    在这里插入图片描述

    通过 Filter字段中的值,就可以直接用它来定义过滤了,比如过滤fxxkpython.com 的请求就可以这样:
    http.host == fxxkpython.com

    在这里插入图片描述

    过滤 80 端口的数据:

    在这里插入图片描述

    另一种过滤的方式是在抓取的时候过滤,也就是说,我们只要抓取某一范围的数据,而不是网卡所请求的所有数据,那么这个时候你可以使用快捷键Ctrl + K,打开input面板下面的搜索框里定义,比这里只定义分析 fxxkpython.com的数据:

    在这里插入图片描述

    另外,你还可以选择不同网卡设备的抓取:

    在这里插入图片描述

    设置完之后点击start 就能开始根据你定义的规则进行抓包了。
    在抓包的时候你会看到数据包列表各种颜色:

    在这里插入图片描述

    这些不同颜色代表不同的协议,你可以在View-Coloring Rules中自定义:

    在这里插入图片描述

    你点击具体的数据包的时候,在数据列表的左侧会出现类似这样的图:

    在这里插入图片描述

    被框住的数据包表示一整个会话,其中的虚线表示与会话无关,而 -->代表的是请求,<-- 代表的是返回。
    表示的是报文的确认:

    在这里插入图片描述

    如果你想晚点再去分析数据包的话,你也可以把你想要的数据包给导出到本地,点击菜单栏的 File--Export Specified Packets

    在这里插入图片描述

    等你想要分析了的时候,打开Wireshark, 导入文件就可以继续分析了:

    在这里插入图片描述
    在这里插入图片描述

    以上就是小编今天带来的内容 小编本身就是一名python开发工程师,我自己花了三天时间整理了一套python学习教程,从最基础的python脚本到web开发,爬虫,数据分析,数据可视化,机器学习,等,这些资料有想要的小伙伴 点击 即可领取

    展开全文
  • wireshark使用及作用

    千次阅读 2020-05-14 20:35:06
    Wireshark 下载链接:https://www.wireshark.org/download.html 根据电脑版本下载。 一个非常好用的免费的抓包工具。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。获取网络数据封包,包括 HTTP、...

    Wireshark

    下载链接:https://www.wireshark.org/download.html

    根据电脑版本下载。

    一个非常好用的免费的抓包工具。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。获取网络数据封包,包括 HTTP、TCP、UDP 等网络协议包。

    wireshark的简单使用:

    wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。

    wireshark是开源软件,可以放心使用。 可以运行在Windows和Mac OS上。

    使用wireshark的人必须了解网络协议,否则很难看懂wireshark。

    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容

    总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark

    为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

    wireshark使用场景

    1. 网络管理员会使用wireshark来检查网络问题

    2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件

    3. 从事socket编程的工程师会用wireshark来调试

    4. 听说,华为,中兴的大部分工程师都会用到wireshark。

    总之跟网络相关的东西,都可能会用到wireshark.

    数据包的过滤:

    过滤表达式的规则

    表达式规则

    1. 协议过滤

    比如TCP,只显示TCP协议。

    2. IP 过滤

    比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

    ip.dst==192.168.1.102, 目标地址为192.168.1.102

    3. 端口过滤

    tcp.port ==80, 端口为80的

    tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

    4. Http模式过滤

    http.request.method==”GET”, 只显示HTTP GET方法的。

    5. 逻辑运算符为 AND/ OR

    常用的过滤表达式

    过滤地址
    ip.addr==192.168.10.10  或  ip.addr eq 192.168.10.10  #过滤地址
    ip.src==192.168.10.10     #过滤源地址,只看源地址为192.168.10.10
    ip.dst==192.168.10.10     #过滤目的地址,只看目的地址为192.168.10.10
     
    过滤协议,直接输入协议名
    icmp        #只看ICMP协议的记录
    http          #只看HTTP协议的记录
     
    过滤协议和端口
    tcp.port==80
    tcp.srcport==80
    tcp.dstport==80
     
    过滤http协议的请求方式
    http.request.method=="GET"
    http.request.method=="POST"
    http.request.uri contains admin   #url中包含admin的
    http.request.code==404    #http请求状态码的
     
    连接符
    &&  
    ||
    and
    or
     
    通过连接符可以把上面的命令连接在一起,比如:
    ip.src==192.168.10.10 and http.request.method=="POST"

    wireshark与对应的OSI七层模型

    TCP包的具体内容:

    实例分析三次握手

    打开网站https://blog.csdn.net/Candyys

     

     

    wireshark的作用

    可看知乎这个问题-->用 wireshark抓包工具能做到哪些有趣的事情?

    Wireshark的常用功能分为四个方面:

    1.一般分析任务

    (1)找出在一个网络内发送数据包最多的主机

    (2)查看网络通信

    (3)查看某个主机使用了哪些程序

    (4)基本正常的网络通信

    (5)验证特有的网络操作

    (6)了解尝试连接无线网络的用户

    (7)同时捕获多个网络的数据

    (8)实施无人值守数据捕获

    (9)捕获并分析到/来自一个特定主机或子网的数据

    (10)通过FTP或HTTP查看和重新配置文件传输

    (11)从其他捕获工具导入跟踪文件

    (12)使用最少的资源捕获数据


    参考链接:简明 Wireshark 和 TCP 入门指南
     

    展开全文
  • wireshark基础使用说明

    千次阅读 2020-01-16 10:26:04
    一、什么是wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 二、wireshark界面说明 三、过滤规则 如果过滤的框为绿色,表示这个规则合法;...
  • wireshark常用用法总结

    2015-08-10 13:57:14
    wireshark常用用法总结
  • Wireshark-win64-3.4.8

    2021-10-19 12:32:24
    主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络管理员使用Wireshark来检测网络问题,网络安全工程师使用wireshark中文版来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通...
  • 主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络管理员使用Wireshark来检测网络问题,网络安全工程师使用wireshark中文版来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通...
  • wireshark2.6.6.rar

    2019-10-25 15:15:40
    wireshark支持上百种协议和媒体类型,从而更加准确的报告出协议内容和Tcp会话方式,软件主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况,如果用户想要更明显的看出一个网络中数据的变化情况,甚至可以...
  • 本文档主要讲述的是Wireshark中文手册;Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。
  • wireshark介绍、使用

    2020-10-28 19:12:04
    1 WIRESHARK介绍 5 2 功能介绍 5 3 图形界面抓报文 5 3.1 选择网卡抓报文 5 3.2 显示报文抓取时间 7 3.3 WIRESHARK界面布局 8 3.4 报文过滤条件 9 3.4.1 常用过滤条件 10 3.4.2 WIRESHARK EXPRESSION 11 3.4.3 高级...
  • wireshark的简单使用

    千次阅读 2017-08-09 00:01:40
    wireshark简单使用
  • wireshark-3.2.4.tar.xz

    2020-06-26 19:54:22
    主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络管理员使用Wireshark来检测网络问题,网络安全工程师使用wireshark中文版来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通...
  • Wireshark lua 插件简介

    千次阅读 2020-01-05 10:26:58
    如果需要更多分析过滤作用的话,tshark是提供了-b参数来解决在线长时间抓取报文的问题。据说有人曾连续抓了一个星期200G 的报文没有出现问题,参见 这里 。类似这样 tshark -i eth0 -Y “http.host == \“baidu\””...
  • Wireshark配置显示IP地理位置信息

    千次阅读 2019-12-26 20:34:45
    通过配置wireshark显示出IP地址蕴含的地理位置等信息
  • Wireshark 是网络包分析工具。主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。本文档介绍了wireshare 的下载安装,以及具体实例介绍
  • 网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。...
  • 最近在使用wireshark 抓包,发现IP 包里面有个协议字段,是进行协议类型区分的,IP协议格式如下:其中协议字段,是对上层协议的描述: 比如:ICMP 为1,TCP 为6,UDP为17 具体协议对应数字可参考: ...
  • Wireshark-win64-3.2.4.rar

    2020-06-26 20:50:55
    主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络管理员使用Wireshark来检测网络问题,网络安全工程师使用wireshark中文版来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通...
  • 网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。...
  • 使用Wireshark工具分析网络协议

    千次阅读 2020-09-22 13:50:02
    在正式接触网络协议之前,我们应先学习Wireshark的使用以及如何通过Wireshark抓取协议包,在后面的具体的网络协议学习,Wireshark将始终陪伴着我们。 0x00 Wireshark简介 Wireshark是一个网络封包分析软件。网络封包...
  • wireshark使用

    2019-06-21 16:24:40
    Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把...
  • wireshark抓包

    2018-10-19 21:30:12
    本学期还是在学wireshark抓包,捕获各种协议,最近一段时间因为在学攻防,又补充了一点点wireshark作用和知识点,希望对小白有用。
  • 前言:为什么要学wireshark?工欲善其事必先利其器,wireshark是一款工具软件,主要作用是抓取数据封包,可以帮助我们更加直观更加具象的学习各种网路协议(http、TLS、TCP、UDP、IP、ARP、ICMP等)。学习wireshark...
  • 既然用户可能是使用各种不同的应用程序传输的文件,为什么Wireshark都可以对其进行解析呢,有人可能会此感到困惑。其实这些应用程序在应用层可能使用不同的协议。 但是它们在传输数据时传输层采用的大多数采用的是TCP...
  • Wireshark菜单栏介绍

    2021-04-25 12:16:07
    Wireshark的菜单栏如图1所示。 图1 Wireshark菜单栏 1 “文件”栏 “文件”栏的英文名为“File”,该菜单中包含了打开和合并捕获数据文件项、部分或全部保存/打印/导出捕获数据文件项以及退出应用程序选项等...
  • Wireshark&GNS3

    2019-11-30 20:21:00
    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络封包分析软件...
  • 网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 Wireshark 可能算得上是今天能使用的最好的开元网络分析软件。 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用...
  • Wireshark 实验

    2020-12-25 18:54:29
    Wireshark 实验 目录Wireshark 实验1.数据链路层 1.数据链路层
  • Wireshark流量分析

    2021-05-14 18:11:36
    Wireshark流量分析开始抓包wireshark过滤器表达式wireshark着色规则数据流的追踪数据包的统计分析数据包的大致结构网络分析只抓包头 开始抓包 打开wireshark后,按ctrl+K,勾选需要抓包的网卡 点击Start开始抓包 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 10,082
精华内容 4,032
关键字:

wireshark的作用是什么