精华内容
下载资源
问答
  • 文章来源:Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式) - 努力改个网名 - 博客园​www.cnblogs.com一、说明1.1 背景说明对于大多数刚开始接触wireshark的使用者而言,经常是开始的时候时候...

    文章来源:

    Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式) - 努力改个网名 - 博客园www.cnblogs.com
    631d8af7257899c50d2e687734a9e31f.png

    一、说明1.1 背景说明
    对于大多数刚开始接触wireshark的使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找(比如telnet登录过程的那些数据包)则完全是一脸茫然。
    一是界面一堆窗口,什么作用什么区别看不懂;二是捕获、显示过滤器表达示看不出有什么规律,每次过滤都要百度找半天。其实wireshark界面还是比较清晰的,过滤器表过示也不困难,我们今天就来破解这wireshark使用的两大难题。
    官网地址:https://www.wireshark.org/
    官网下载地址:https://www.wireshark.org/#download
    安装就不多说了和一般windows一样下一步下一下装就可以了。另外ethereal为什么在2006年更名wireshark参见:https://www.linux.com/news/ethereal-changes-name-wireshark1.2 拦截本地回环数据
    另外注意本机访问本机的回环数据是不经过网卡的,比如我们在本机访问搭建在本机上的web服务,但我们经常有服务搭建在本机的操作也经常有拦截本地回环数据包加以分析的需求,所以我们环要拦载回环数据包。操作如下。
    首先,以管理员身份运行cmd(普通用户没有路由表操作权限,会提示“请求的操作需要提升”)
    然后,使用ipconfig查看本机ip和网关:
    ipconfig
    再然后,使用以下命令添加路由,指定回环数据也要先转发到网关(使用上一步获取本的本机ip和网关替换其中的<your_IP>和<gateway_IP>):
    route add <your_IP> mask 255.255.255.255 <gateway_IP> metric 1
    最后,查看路由表中路由是否已添加成功:
    route print
    回环数据经网关再回来会增加网卡的压力,可使用以下命令删除路由(使用前边获取本的本机ip替换其中的<your_IP>):
    route delete <your_IP>二、Wireshark界面说明
    过滤器表达式书写是wireshark使用的核心,但在此之前,很多初学者还会碰到一个难题,就是感觉wireshark界面上很多东西不懂怎么看。其实还是挺明了的我们下面简单说一下,如下图。
    1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。
    2号窗口是1号窗口中选定的数据包的分协议层展示。底色为红色的是因为wireshark开启校验和验证而该层协议校验和又不正确所致。
    3号窗口是1号窗口中选定的数据包的源数据,其中左侧是十六进制表示右侧是ASCII码表示。另外在2号窗口中选中某层或某字段,3号窗口对应位置也会被高亮。

    918536ccb2619bf121aa5a2307c3fa61.png


    被认为最难的其实还是2号窗口展开后的内容不懂怎么看,其实也很明了,以IP层为例:
    每一行就对应该层协议的一个字段;中括号行是前一字段的说明。
    冒号前的英文是协议字段的名称;冒号后是该数据包中该协议字段的值。

    31be705c475ece234d46f5cbb4ebb2d7.png

    三、捕获过滤器表达式
    捕获过滤器表达式作用在wireshark开始捕获数据包之前,只捕获符合条件的数据包,不记录不符合条件的数据包。
    捕获过滤器表达式没有像显示过滤器表达式那样明显的规律,但写法不多所以也不难;而且除非全部捕获要占用的磁盘空间实现太大,且你非常明确过滤掉的数据包是你不需要的,不然一般都不用捕获过滤器表达式而用显示过滤器表达式。
    在wireshark2.x版本,启动后欢迎界面即有捕获过滤器,在其中输入过滤表达式开始捕获数据包时即会生效:

    a4ff04844e1d5c695bdf363df7db5c06.png


    点击图中“书签”标志,再点管理“捕获筛选器”,即可看到常用捕获过滤表达示的书写形式

    a9422b50471fe50212f734f299fd1934.png

    be5ac37c630c92c1ff79aa9ebadd4086.png

    四、显示过滤器表达示及其书写规律
    显示过滤器表达式作用在在wireshark捕获数据包之后,从已捕获的所有数据包中显示出符合条件的数据包,隐藏不符合条件的数据包。
    显示过滤表达示在工具栏下方的“显示过滤器”输入框输入即可生效

    4c0c6405f6907746b3d9f23b9a5676bb.png

    4.1 基本过滤表达式
    一条基本的表达式由过滤项、过滤关系、过滤值三项组成。
    比如ip.addr == 192.168.1.1,这条表达式中ip.addr是过滤项、==是过滤关系,192.168.1.1是过滤值(整条表达示的意思是找出所有ip协议中源或目标ip、等于、192.168.1.1的数据包)4.1.1 过滤项
    初学者感觉的“过滤表达式复杂”,最主要就是在这个过滤项上:一是不知道有哪些过滤项,二是不知道过滤项该怎么写。
    这两个问题有一个共同的答案-----wireshark的过滤项是“协议“+”.“+”协议字段”的模式。以端口为例,端口出现于tcp协议中所以有端口这个过滤项且其写法就是tcp.port。
    推广到其他协议,如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其他协议都是这么个书写思路。当然wireshark出于缩减长度的原因有些字段没有使用协议规定的名称而是使用简写(比如Destination Port在wireshark中写为dstport)又出于简使用增加了一些协议中没有的字段(比如tcp协议只有源端口和目标端口字段,为了简便使用wireshark增加了tcp.port字段来同时代表这两个),但思路总的算是不变的。而且在实际使用时我们输入“协议”+“.”wireshark就会有支持的字段提示(特别是过滤表达式字段的首字母和wireshark在上边2窗口显示的字段名称首字母通常是一样的),看下名称就大概知道要用哪个字段了。wireshark支持的全部协议及协议字段可查看官方说明。4.1.2 过滤关系
    过滤关系就是大于、小于、等于等几种等式关系,我们可以直接看官方给出的表。注意其中有“English”和“C-like”两个字段,这个意思是说“English”和“C-like”这两种写法在wireshark中是等价的、都是可用的。

    b12dca898d0131c76654666e364de9d1.png

    4.1.3 过滤值
    过滤值就是设定的过滤项应该满足过滤关系的标准,比如500、5000、50000等等。过滤值的写法一般已经被过滤项和过滤关系设定好了,只是填下自己的期望值就可以了。4.2 复合过滤表达示
    所谓复合过滤表达示,就是指由多条基本过滤表达式组合而成的表达示。基本过滤表达式的写法还是不变的,复合过滤表达示多出来的东西就只是基本过滤表达示的“连接词”
    我们依然直接参照官方给出的表,同样“English”和“C-like”这两个字段还是说明这两种写法在wireshark中是等价的、都是可用的。

    ad7e17f9210d7817784dfc87b72d5ca6.png

    4.3 常见用显示过滤需求及其对应表达式
    数据链路层:
    筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
    筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
    网络层:
    筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1
    筛选192.168.1.0网段的数据---- ip contains "192.168.1"
    筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2
    筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
    传输层:
    筛选tcp协议的数据包----tcp
    筛选除tcp协议以外的数据包----!tcp
    筛选端口为80的数据包----tcp.port == 80
    筛选12345端口和80端口之间的数据包----tcp.port == 12345 && tcp.port == 80
    筛选从12345端口到80端口的数据包----tcp.srcport == 12345 && tcp.dstport == 80
    应用层:
    特别说明----http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1),http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。
    筛选url中包含.php的http数据包----http.request.uri contains ".php"
    筛选内容包含username的http数据包----http contains "username"

    展开全文
  • wireshark(前称Ethereal)是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用...

    7891e4d6454d61e4677b4a2027dc0299.png

    what?

    wireshark(前称Ethereal)是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。
    在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,然而Wireshark的出现却改变了这种生态。[原创研究?]在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。
    1997年底,Gerald Combs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写Ethereal软件。
    2006年6月,因为商标的问题,Ethereal更名为Wireshark。
    -- 摘自维基百科

    why?

    日常开发中,我们经常会遇到需要抓包的场景。通过抓包,我们可以验证接口响应的结果是否与我们预期一致。市面上有非常多的抓包软件,以mac平台为例,charles便是其平台上使用非常广泛的抓包软件。charles非常优秀,界面简洁优美,展示也非常清晰。但是charles能够抓取到的网络包有限,当出现以下情况的时候,charles也许就无能为力了:

    • 抓取非HTTP包,比如你想抓包体验TCP三次握手的过程
    • 抓取未经设置的flutter应用时,使用charles抓取不到数据包
    • ...

    为什么flutter的应用发出的请求charles无法抓取到呢?

    这跟charles这类软件的工作原理有关系,charles会启动一个代理服务器,当客户端系统配置代理以后,请求包会经由charles的代理服务器到互联网中,因此charles才能够抓取到请求包。但是这种情况有个前提:就是当客户端系统配置代理以后,客户端软件要用客户端系统中的代理进行访问。

    但是flutter中的网络库,默认情况下不会使用系统代理。这也就是为什么你配置了系统代理仍然抓取不到flutter包的原因。

    为什么wireshark拥有比charles更强的能力呢?

    不同于charles,wireshark工作的时候,会借助Winpcap(windows)/Libpcap(linux)/AirPacp(无线网卡驱动)直接与网卡进行数据交换,进出网卡的数据流量都能被wireshark所捕获。因此,就比基于代理原理的抓包工具拥有更强的能力。(这里说网卡也许不那么准确,准确来说是 Network Interface 不过一般来说interface对应实体网卡,但是也可以对应虚拟网卡。关于Network Interface的具体含义可以参考JDK官方文档:https://docs.oracle.com/javase/tutorial/networking/nifs/definition.html

    763b67fda3fabb76ae9bd4292011e675.png

    (正在监听底层数据网卡流量的wireshark)

    how?

    使用wireshark抓取本机

    所谓本机就是运行wireshark的机器,只需要在wireshark启动的时候选择想要捕获的网卡即可。

    615a44cbc1e7924d660aacac810f214c.png

    使用wireshark抓取手机

    以iphone为例可以参考:https://www.jianshu.com/p/428503609bc1

    使用wireshark抓取虚拟机/模拟器

    抓取手机上的网络包时候,还是需要做一些前置配置的,比如上面抓取iphone的包。如果你没有数据线,或是懒得将目光在自己的手机和电脑之间切换。那么在电脑上装上一个安卓虚拟机/模拟器或是ios虚拟机/模拟器应该是个更好的选择。由于虚拟机/模拟器的流量是通过宿主机的网卡发送到互联网上,因此,启动模拟器之后,你只需要像监听宿主机的网卡即可捕获到模拟器中的流量。

    wireshark使用界面

    bd6dec67878a43cf5e888ebe67d40117.png
    1》开始捕获数据包
    2》停止捕获数据包
    3》停止然后重新捕获数据包
    4》捕获过程的设置,比如设置捕获哪些网卡。只有在捕获停止的时候才能进行设置,正在捕获时不能设置。
    5》打开自己曾经捕获的数据包文件
    6》保存当前捕获的数据包为文件
    7》关闭当前打开的数据包文件
    8》重载当前打开的数据包文件
    9》可以对包中的文本进行搜索

    ad52809725f249afbf2a61abfb688ed3.png


    10》选中当前记录的上一条记录
    11》选中当前记录的下一条记录
    12》跳到指定编号的包记录
    13》跳到当前捕获包列表中的第一条记录
    14》跳到当前捕获包列表中的最后一条记录
    15》抓取过程中,自动定位到最下面一条记录(最新的记录),可以想象成linux中的tail命令
    16》使用预定义的颜色规则对捕获的包进行着色

    246aa102f222429d25d2896e6bbcb4ec.png


    17》放大界面
    18》缩小界面
    19》重置界面
    20》自适应界面
    21》捕获的包列表,每个记录为一个包
    22》捕获包的具体内容 该内容显示结果对用户不友好,可以借助23来分析包内容
    23》包的分层解析结果 以一条http请求包为例,wireshark会解析出该包每层内容
    如下图所示1为http协议,2为tcp协议,3为ip协议

    6e6cd37c36c3fb5a746587916f31e3e8.png


    24》包搜索框,与9功能不同的是:此处填写的是符合wireshark定义规则的包过滤表达式,可以理解为数据库中的sql语句。

    包过滤表达式

    当我们想要过滤出来源ip为10.0.0.5的数据包时,我们可以在表达式搜索框24中输入以下表达式语句:

    ip.src==10.0.0.5

    问题在于:

    ip这个名字是怎么来的?

    怎么知道ip有src这个属性的?

    除了等号运算之外表达式还支持什么逻辑运算?

    前两个其实是同一个问题:

    可以通过 view->internals->supported protocols 查看wireshark能够支持的协议,以及每个协议的属性。

    f26a25f891ee57adc013d86c9fa60f5c.png

    7e903a47d2fe356352b69be519a63178.png

    从上图就可以知道,wireshark支持你过滤http协议的包,并且,你也知道了http协议有很多属性,其中3处http.accept就意味着你可以用这个属性去过滤包了。

    最后除了等号以外,wireshark还支持以下运算符,其中,english的写法和c风格的写法是一样的,意味着你在

    ip.src == 10.1.1.10 与 ip.src eq 10.1.1.10 的过滤效果是相同的

    wireshark支持的比较运算符:

    展开全文
  • 本文介绍了如何利用Wireshark从pcap中解密HTTPS流量。可以使用基于文本的日志进行解密方法,日志中包含最初记录pcap时捕获的加密密钥数据。HTTPS Web流量HTTPS流量通常显示一个域名。例如,在Web浏览器中查看ht...

    在审查可疑网络活动时,经常遇到加密流量。大多数网站使用HTTPS协议,各种类型的恶意软件也使用HTTPS,查看恶意软件产生的数据对于了流量内容非常有帮助。

    本文介绍了如何利用Wireshark从pcap中解密HTTPS流量。可以使用基于文本的日志进行解密方法,日志中包含最初记录pcap时捕获的加密密钥数据。

    HTTPS Web流量

    HTTPS流量通常显示一个域名。例如,在Web浏览器中查看https://www.wireshark.org,在自定义的Wireshark列显示中查看时,pcap将显示www.wireshark.org作为此流量的服务器名称。但无法知道其他详细信息,例如实际的URL或从服务器返回的数据。

    88216514ff3e0da1ead9ed707d56b7c4.png

    ce1255c63a4235b835e2c0b41d2d6383.png

    加密密钥日志文件

    加密密钥日志是一个文本文件。

    18de71d856c2672148f2a31761cd7017.png

    最初记录pcap时,使用中间人(MitM)技术创建这些日志。如果在记录pcap时未创建任何此类文件,则无法解密该pcap中的HTTPS通信。

    示例分析

    有密钥日志文件的HTTPS流量

    Github存储库中有一个受密码保护的ZIP文件,其中包含pcap及其密钥日志文件。ZIP中包含的pcap通过密钥日志解密后,可以访问恶意软件样本。

    96d3e9d6158f9f4bb9be177b3f49d67a.png

    7f468e9cdea05333ab73c4def132d7c5.png

    从ZIP(密码:infected)中提取pcap和密钥日志文件:

    Wireshark-tutorial-KeysLogFile.txt
    Wireshark解密HTTPS-SSL-TLS-traffic.pcap教程

    1583adb187e8386c88b9f601005f45e8.png

    没有密钥日志文件的HTTPS流量

    在Wireshark中打开解密的HTTPS-SSL-TLS-traffic.pcap Wireshark教程,使用Web筛选器:

    (http.request或tls.handshake.type eq 1)和!(ssdp)

    此pcap来自Windows 10主机上的Dridex恶意软件,所有Web流量(包括感染活动)都是HTTPS。没有密钥日志文件,看不到流量的任何详细信息,只有IP地址,TCP端口和域名:

    e0c15f7d4823dc15de452e15c65a596a.png

    加载密钥日志文件

    在Wireshark中打开解密的HTTPS-SSL-TLS-traffic.pcap Wireshark,使用菜单路径Edit –> Preferences来打开Preferences菜单:

    f7db0f117cead44bd4b67de4191a3cc3.png

    在Preferences菜单的左侧,单击Protocols:

    fcb70d1a247a6783682f26e400e055e3.png

    如果使用的是Wireshark版本2.x,需要选择SSL。如果使用的是Wireshark 3.x版,需要选择TLS。选择SSL或TLS后,可以看到(Pre)-Master-Secret日志文件名。单击“浏览”,然后选择名为Wireshark-tutorial-KeysLogFile.txt的密钥日志文件:

    a34760c81cf3b74f3ded7e2ec7df6edc.png

    fc0f69b7ee1da0937cbcba5f5e154627.png

    b2558b993b99b7551f96de4c8cbd2eb9.png

    密钥日志文件的HTTPS流量

    单击“确定”后,Wireshark会在每条HTTPS行下列出解密的HTTP请求:

    84f091d9572bcfab7dad2d7e0cc5f2b5.png

    在此pcap中可以看到隐藏在HTTPS通信中对microsoft.com和skype.com域的HTTP请求,还发现由Dridex发起的以下流量:

    foodsgoodforliver[.]com – GET /invest_20.dll
    105711[.]com – POST /docs.php

    对foodsgoodforliver[.]com的GET请求返回了Dridex的DLL文件。对105711[.]com的POST请求是来自受Dridex感染的Windows主机的命令和控制(C2)通信。

    针对foodsgoodforliver[.]com的HTTP GET请求的HTTP流:

    6c78c6a862da79709d83187e36c1a894.png

    83c892cecb23298cf6f10fd5b79419fe.png

    可以从pcap导出此恶意软件,使用菜单路径文件–>导出对象–> HTTP从pcap导出该文件:

    0f5ad829e7aa79382d9ee2b921001501.png

    使用file命令确认这是一个DLL文件,然后使用shasum -a 256获取文件的SHA256哈希:

    c23a08c9d33746838279d6be7ce5d4d5.png

    该恶意软件的SHA256哈希为:

    31cf42b2a7c5c558f44cfc67684cc344c17d4946d3a1e0b2cecb8e*173cb2f

    还可以检查来自此Dridex感染的C2流量,下图显示了其中一个HTTP流的示例:

    1700308548f40ca96811f646b4c420aa.png

    参考链接

    Customizing Wireshark – Changing Your Column Display
    Using Wireshark – Display Filter Expressions
    Using Wireshark: Identifying Hosts and Users
    Using Wireshark: Exporting Objects from a Pcap
    Wireshark Tutorial: Examining Trickbot Infections
    Wireshark Tutorial: Examining Ursnif Infections
    Wireshark Tutorial: Examining Qakbot Infections

    精彩推荐

    f9a11617aa4235345bc2b60e9c32e5a1.png8dfa5a513eb996f0eec542f4c3090050.pngb2be2b7d877fbf3c8933327a78f41920.png

    b88ace25d6e44afc022617213391d04a.png

    8aa997045e152bf1f3c8940193adbe6e.png

    8fe0901c520dc3a7f73d9cb97b42c509.png

    e3df18a4a12c6ca679b1e3f057797c83.gif

    展开全文
  • 在本教程中,你将学习如何在 Ubuntu 和其它基于 Ubuntu 的发行版上安装最新的 Wireshark。同时你也将学习如何在没有 sudo 的情况下来运行 Wireshark,以及如何设置它来进行数据包嗅探。-- Kushal RaiWireshark是一款...
    078c5123d2526a93fc2cc25b745d3ff7.png在本教程中,你将学习如何在 Ubuntu 和其它基于 Ubuntu 的发行版上安装最新的 Wireshark。同时你也将学习如何在没有 sudo 的情况下来运行 Wireshark,以及如何设置它来进行数据包嗅探。-- Kushal Rai

    Wireshark 是一款自由开源的网络协议分析器,它在全球被广泛使用。

    通过使用 Wireshark,你可以实时捕获网络的传入和传出数据包,并将其用于网络故障排除、数据包分析、软件和通信协议开发等。

    它适用于所有主流的桌面操作系统,如 Windows、Linux、macOS、BSD 等。

    在本教程中,我将指导你在 Ubuntu 和其他基于 Ubuntu 的发行版上安装 Wireshark 。我还将介绍如何设置和配置 Wireshark 来捕获数据包。

    在基于 Ubuntu 的 Linux 发行版上安装 Wireshark

    Wireshark 适用于所有主流 Linux 发行版。你应该查看官方安装说明。因为在本教程中,我将着重在仅基于 Ubuntu 的发行版上安装最新版本的 Wireshark 。

    Wireshark 可以在 Ubuntu 的 Universe 存储库中找到。你可以启用 universe 存储库,然后按如下方式安装:

    sudo add-apt-repository universesudo apt install wireshark

    这种方法的一个小问题是,你可能并不总是得到最新版本的 Wireshark 。

    例如,在 Ubuntu 18.04 中,如果你使用 apt 命令检查 Wireshark 的可用版本,可用版本会显示是 2.6 。

    abhishek@nuc:~$ apt show wiresharkPackage: wiresharkVersion: 2.6.10-1~ubuntu18.04.0Priority: optionalSection: universe/netOrigin: UbuntuMaintainer: Balint Reczey <rbalint@ubuntu.com>

    然而, Wireshark 3.2 稳定版已经在几个月前发布了。当然,新版本拥有新的特性。

    那么在这种情况下,你应该怎么办呢?谢天谢地, Wireshark 开发者提供了一种官方 PPA 方式,你可以使用它在 Ubuntu 和其它基于 Ubuntu 的发行版上安装最新稳定版本的 Wireshark.

    我希望你熟悉 PPA。如果没有,请阅读我们关于 PPA 的优秀指南,以便完全理解它。

    打开终端并逐个使用以下命令:

    sudo add-apt-repository ppa:wireshark-dev/stablesudo apt updatesudo apt install wireshark

    即使安装了旧版本的 Wireshark ,它也将更新为新版本。

    安装时,系统将询问你是否允许非超级用户捕获数据包。选择“Yes”允许,选择“No”限制非超级用户捕获数据包,最后完成安装。

    不使用 sudo 运行 Wireshark

    如果在上一次安装中选择了“No”,则以 root 用户身份运行以下命令:

    sudo dpkg-reconfigure wireshark-common

    然后按 tab 键并使用回车键选择“No”:

    32314c3e1ca7b957c9fb1b71106d7493.png

    由于你允许非超级用户捕获数据包,因此你必须将该用户添加到 wireshark 组。使用 usermod 命令将自己添加到 wireshark 组。

    sudo usermod -aG wireshark $(whoami)

    最后,重启你的 Ubuntu 系统对你的系统进行必要的修改。

    冷知识

    Wireshark 于 1998 年首次发布,最初被称为 Ethereal 。2006 年,由于商标问题,开发商不得不将其名称改为 Wireshark 。

    启动 Wireshark

    你可以从应用程序启动器或者命令行启动 Wireshark 应用。

    如果从命令行启动,只需要在你的控制台中输入 wireshark

    wireshark

    要是从图形化界面启动,需要在搜索栏搜索 Wireshark 应用,并按回车键。

    0838978664166d45fb8fb6459fe180d2.png

    现在,让我们来玩玩 Wireshark 吧。

    使用 Wireshark 捕获数据包

    当你启动 Wireshark 的时候,你会看到一个接口列表,你可以使用它来捕获这个接口接收和发送的数据包。

    你可以使用 Wireshark 监视许多类型的接口,例如,有线、外部设备等。根据你的偏好,你可以从下图中的标记区域选择在欢迎屏幕中显示特定类型的接口。

    37711f1f38dfea204fdad1776f9a15a1.png

    Select interface

    例如,我只列出了有线网络接口。

    377b1524fa2729d578fbc817bce004de.png

    接下来,要开始捕获数据包,你必须选择接口(在我的示例中是 ens33 ),然后单击“Start capturing packets”图标,如下图所示。

    4df70ff399facaed3859939cdc384662.png

    Start capturing packets with Wireshark

    你还可以同时从多个接口捕获数据包。只需按住 CTRL 按钮,同时单击要捕获的接口,然后点击“Start capturing packets”图标,如下图所示。

    7daeb8d833b42c78fabb955da6309263.png

    接下来,我尝试在终端中使用 ping google.com 命令,如你所见,捕获了许多数据包。

    f6d44431bab02bbf7341b6f3efcb9acc.png

    Captured packets

    现在你可以选择任何数据包来检查该特定数据包。在点击一个特定的包之后,你可以看到与它相关的 TCP/IP 协议的不同层的信息。

    11af2a52948a1016723d6a4852d31e0d.png

    Packet info

    你还可以在底部看到该特定数据包的原始数据,如下图所示。

    24f02284d86637056020a31b08dbce6e.png

    Check RAW data in the captured packets

    这就是为什么端到端加密很重要。

    假设你正在登录一个不使用 HTTPS 的网站。与你在同一网络上的任何人都可以嗅探数据包,并在原始数据中看到用户名和密码。

    这就是为什么现在大多数聊天应用程序使用端到端加密,而大多数网站使用 https (而不是 http)。

    在 Wireshark 中停止数据包捕获

    你可以点击如图所示的红色图标停止捕获数据包。

    2fc7b927ff876fe79ffb9ecb36410d7d.png

    Stop packet capture in Wireshark

    将捕获的数据包保存成文件

    你可以单击下图中标记的图标,将捕获的数据包保存到文件中以备将来使用。

    982820cc15b8e98abae6ed95b9d50b02.png

    Save captured packets by Wireshark

    注意:输出可以导出为 XML、PostScript、CSV 或纯文本。

    接下来,选择一个目标文件夹,键入文件名并单击“Save”。

    然后选择文件并单击“Open”。

    72e57a79cb190dbb17651e54b41dc0b9.png

    现在你可以随时打开和分析保存的数据包。要打开文件,请按 \+o,或从 Wireshark 转到 “File > Open”。

    捕获的数据包将从文件中加载。

    6eb437d664dd328a0a9bde252392fca7.png

    结语

    Wireshark 支持许多不同的通信协议。有许多选项和功能,使你能够以独特的方式捕获和分析网络数据包。你可以从 Wireshark 的官方文档了解更多关于 Wireshark 的信息。

    我希望这个教程能帮助你在 Ubuntu 上安装 Wireshark 。请让我知道你的问题和建议。


    via: https://itsfoss.com/install-wireshark-ubuntu/

    作者:Community 选题:lujun9972 译者:qianmigntian 校对:wxy

    本文由 LCTT 原创编译,Linux中国 荣誉推出

    71cbeeb3-752c-eb11-8da9-e4434bdf6706.svg
    展开全文
  • Wireshark对常见操作系统都支持安装,包括Windows系统、Mac OS X以及基于Linux的系统。你可以在Wireshark的官方网站上,查找所有 Wireshark支持安装的操作系统列表,以及系统版本和硬件要求信息。Wireshark安装系统...
  • Linux优秀安全工具 Wireshark :优秀的开源Sniffer工具(强烈推荐)官方地址:http://www.wireshark.org/Metasploit Framework : Hack the Planet(强烈推荐)官方地址:http://www.metasploit.com/Nmap:优秀开源...
  • 所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。 当然,如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以...
  • linux wireshark 安装

    2012-03-30 10:41:24
    /home/wireshark-1.4.2/wireshark-1.4.2 INSTALL
  • 根据官网的定义,WireShark是一个网络协议分析器(network protocol analyzer)。所以这个产品市场定位是对网络协议进行分析,由于它附带了抓包功能,所以又有人称为抓包工具,但是为了区分,我更愿意叫它包分析工具,...
  • 前言看到标题会觉得是一句废话,鼠标这种最常见的输入设备 Linux 原生就支持了,何需要搞个使用教程?但如果你在 Windows 上体验过 SteelSeries Engine 的话,可能就不会满意 Linux 下赛睿鼠标的使用效果了。因为...
  • 上文分享完二层一些过滤语法(一起学习wireshark-1.2.1二层过滤语法),本次继续IP层过滤语法。下面以ipv4为例介绍过滤语法规则:1. 过滤ip地址、源地址、目的地址:ip.addr == xx.xx.xx.xxip.src == xx.xx.xx.xxip....
  • 导读:现代计算机用来在互联网种查找资源的域名系统...本文字数:3512,阅读时长大约:4分钟https://linux.cn/article-12483-1.html作者:Thomas Bianchi译者:geekpi现代计算机用来在互联网种查找资源的域名系统(D...
  • 本文介绍了作者常用的 4 个 Linux 监控工具,希望可以帮助读者提高生产力。 身为一个运维开发人员,如果你不知道眼下当前服务器底层操作系统中正在发生什么,那就有点合眼摸象了。其实,你可以根据相应数据做出...
  • Wireshark是一款非常强大且流行的适用于Windows,Mac和Linux的网络分析器。它是一个简单的工具,用于检查通过网络接口传输的数据,该网络接口可能是您的以太网,LAN和WiFi。​关于Wireshark培训书籍和学习指南,你...
  • 输入wireshark后发现找不到无线网卡 后来想到用sudo试试 于是sudo wireshark后可以看到无线网卡了,wlp3s0就是
  • 上篇文章结尾提到 Linux 是支持 VXLAN 的,我们可以使用 Linux 搭建基于 VXLAN 的 overlay 网络,以此来加深对 VXLAN 的理解,毕竟光说不练假把式。 1. 点对点的 VXLAN 先来看看最简单的点对点 VXLAN 网络,点对点 ...
  • ”咳咳,主要是因为网络分析工具 Wireshark 的图标特别像大白鲨顶部的角。不信你看:“为什么拖了怎么久才发文?”为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓...
  • kali linux wireshark Lua: Error

    千次阅读 2014-08-17 13:49:22
    Lua: Error during loading: ... [string "/usr/share/wireshark/init.lua"]:46: dofile has been disabled due to running Wireshark as superuser. See http://wiki.wireshark.org/CaptureSetup/CapturePrivileges f
  • 当系统安装好Wireshark后请正常启动是否可以进行正常使用,如果不行请参考下列指导 向系统添加一个用户组 sudo groupadd wireshark //如提示此组存在可跳过 将指定用户添加到这个组中 sudo usermod -aG ...
  • Linux wireshark 抓取802.11数据包

    千次阅读 2015-05-11 19:18:29
    iw dev wlan0 interface add mon0 type monitor ifconfig mon0 up sudo wireshark 选着mon0端口 capture-->interface,在mon0 options wlan src or dst 选择一个AP 进行抓包
  • 表示使用当前的stdin 于是通过远程抓取然后使用管道就把数据能够实时的传输到mac上快速查看 总结 利用openwrt的linux系统、tcpdump的抓包、ssh的远程执行命令、.ssh的公私钥免密登录、linux的管道|、wireshark的...
  • wireshark linux

    2013-01-23 11:33:19
    wireshark linux
  • linuxwireshark安装包

    2015-01-25 09:12:15
    linuxwireshark安装包,抓包利器!
  • linux安装wireshark

    2020-07-18 18:06:34
    1、sudo apt-get install wireshark 2、wireshark安装完成后,选择选项为yes,如果选错,后期再改。默认为no,修改为yes即可。 3、重新修改为yes: sudo dqkg-reconfigure wireshark-common 选择为yes 4、修改用户...
  • linux 调试wireshark

    2016-10-11 14:51:19
    dumpcap需要root权限才能使用的,以普通用户打开WiresharkWireshark当然没有权限使用dumpcap进行截取封包。 虽然可以使用    sudo wireshark    但是,以sudo的方式用root打开Wireshark显然是不安全的,...
  • LINUX使用wireshark

    2019-01-15 10:12:04
    安装命令如下: sudo apt install wireshark-qt  然后抓包.功能不如windows,也能将就用了.网上介绍的tcpdump,基本是只能看看有没有,内容无法看到....

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,283
精华内容 913
热门标签
关键字:

linuxwireshark

linux 订阅