一、簡介:
Wireshark(前稱 Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包���,并盡可能顯示出最為詳細的網絡封包資料�。Wireshark 使用 WinPCAP 作為接口���,直接與網卡進行數據報文交換。
網絡封包分析軟件的功能可想像成 "電工技師使用電表來量測電流����、電壓、電阻" 的工作 - 只是將場景移植到網絡上���,并將電線替換成網絡線�����。在過去,網絡封包分析軟件是非常昂貴的����,或是專門屬于營利用的軟件。Ethereal 的出現改變了這一切�。在 GNUGPL 通用許可證的保障范圍底下�,使用者可以以免費的代價取得軟件與其源代碼����,并擁有針對其源代碼修改及客制化的權利��。Ethereal 是目前全世界最廣泛的網絡封包分析軟件之一。
網絡管理員使用 Wireshark 來檢測網絡問題�,網絡安全工程師使用 Wireshark 來檢查資訊安全相關問題�����,開發者使用Wireshark 來為新的通訊協定除錯��,普通使用者使用 Wireshark 來學習網絡協定的相關知識�。當然,有的人也會“居心叵測”的用它來尋找一些敏感信息……
Wireshark 不是入侵偵測系統(Intrusion Detection System,IDS)。對于網絡上的異常流量行為����,Wireshark 不會產生警示或是任何提示����。然而����,仔細分析 Wireshark 擷取的封包能夠幫助使用者對于網絡行為有更清楚的了解�����。Wireshark 不會對網絡封包產生內容的修改,它只會反映出目前流通的封包資訊�。 Wireshark 本身也不會送出封包至網絡上����。
wireshark 能獲取 HTTP����,也能獲取 HTTPS����,但是不能解密 HTTPS,所以 wireshark 看不懂 HTTPS 中的內容�,如果是處理 HTTP��,HTTPS 還是用 Fiddler����,其他協議比如 TCP,UDP 就用 wireshark���。同類產品:tcpview
二����、工作流程:
(1)確定 Wireshark 的位置����。如果沒有一個正確的位置,啟動 Wireshark 后會花費很長的時間捕獲一些與自己無關的數據�。
(2)選擇捕獲接口���。一般都是選擇連接到 Internet 網絡的接口�,這樣才可以捕獲到與網絡相關的數據����。否則,捕獲到的其它數據對自己也沒有任何幫助。
(3)使用捕獲過濾器��。通過設置捕獲過濾器�,可以避免產生過大的捕獲文件���。這樣用戶在分析數據時�,也不會受其它數據干擾����。而且�����,還可以為用戶節約大量的時間。
(4)使用顯示過濾器�����。通常使用捕獲過濾器過濾后的數據,往往還是很復雜�����。為了使過濾的數據包再更細致�����,此時使用顯示過濾器進行過濾�����。
(5)使用著色規則�。通常使用顯示過濾器過濾后的數據���,都是有用的數據包。如果想更加突出的顯示某個會話����,可以使用著色規則高亮顯示��。
(6)構建圖表。如果想要更明顯的看出一個網絡中數據的變化情況����,使用圖表的形式可以很方便的展現數據分布情況�����。
(7)重組數據�。Wireshark 的重組功能,可以重組一個會話中不同數據包的信息�,或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大���,所以信息分布在多個數據包中����。為了能夠查看到整個圖片或文件���,這時候就需要使用重組數據的方法來實現���。
三、使用教程:
1、英文版界面菜單及布局:
2����、捕捉過濾器:
捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發的軟件一樣����,比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設置完畢����,這一點跟顯示過濾器是不同的。
設置捕捉過濾器的步驟是:
- 選擇 capture -> options���。
- 填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存,以便在今后的捕捉中繼續使用這個過濾器�����。
- 點擊開始(Start)進行捕捉��。
語法:Protocol Direction Host(s) Value Logical Operations Other expression
例子:tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128
Protocol(協議):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒有特別指明是什么協議��,則默認使用所有支持的協議����。
Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地,則默認使用 "src or dst" 作為關鍵字。
例如����,"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。
Host(s):
可能的值: net, port, host, portrange.
如果沒有指定此值�,則默認使用"host"關鍵字。
例如���,"src 10.1.1.1"與"src host 10.1.1.1"相同���。
Logical Operations(邏輯運算):
可能的值:not, and, or.
否("not")具有最高的優先級?���;?"or")和與("and")具有相同的優先級�����,運算時從左至右進行����。例如,
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同����。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同���。
例子:
tcp dst port 3128 顯示目的TCP端口為3128的封包。
ip src host 10.1.1.1 顯示來源IP地址為10.1.1.1的封包���。
host 10.1.2.3 顯示目的或來源IP地址為10.1.2.3的封包����。
src portrange 2000-2500 顯示來源為UDP或TCP���,并且端口號在2000至2500范圍內的封包���。
not imcp 顯示除了icmp以外的所有封包����。(icmp通常被ping工具使用)
src host 10.7.2.12 and not dst net 10.200.0.0/16 顯示來源IP地址為10.7.2.12,但目的地不是10.200.0.0/16的封包���。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 顯示來源IP為10.4.1.12或者來源網絡為10.6.0.0/16,目的地TCP端口號在200至10000之間���,并且目的位于網絡10.0.0.0/8內的所有封包���。
注意事項:
當使用關鍵字作為值時,需使用反斜杠“/”���。
"ether proto /ip" (與關鍵字"ip"相同).
這樣寫將會以IP協議作為目標。
"ip proto /icmp" (與關鍵字"icmp"相同).
這樣寫將會以ping工具常用的icmp作為目標���。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"關鍵字。
當您想排除廣播請求時��,"no broadcast"就會非常有用�。
3、顯示過濾器:
通常經過捕捉過濾器過濾后的數據還是很復雜�����。此時您可以使用顯示過濾器進行更加細致的查找。
它的功能比捕捉過濾器更為強大��,而且在您想修改過濾器條件時�,并不需要重新捕捉一次�。
語法:Protocol String 1 String 2 Comparison operator Value Logical Operations Other expression
例子:ftp passive ip == 10.2.3.4 xor icmp.type
Protocol(協議):
您可以使用大量位于OSI模型第2至7層的協議。點擊"Expression..."按鈕后����,您可以看到它們�����。
比如:IP�����,TCP�,DNS����,SSH
Wireshark的網站提供了對各種 協議以及它們子類的說明�����。
四、練習:
首次啟動:本案例的客戶端有 4 塊網卡�,其中出口網卡被命名為 “28”,使用 Wireshark 版本是 v2.0.1
雙擊 出口網卡 “28”�,開始捕捉包?���;蛘邚牟藛伍_始此步,注意勾選“混雜模式”:
正在對 網卡“28” 進行捕包:
滾屏設置:
封包列表(Packet List Pane)的面板中顯示:編號��,時間戳����,源地址����,目標地址����,協議,長度�����,以及封包信息。
不同的協議用了不同的顏色顯示�����,也可以修改這些顯示顏色的規則�, View ->Coloring Rules
保存后的本地文件:
查看 arp 協議的數據包:
查看與某個地址相關的握手:
以上就是Wireshark簡介以及使用教程,感謝大家的閱讀��,更多內容請關注武林技術頻道網站����。
