wireshark使⽤⽅法总结
Wireshark基本⽤法
cx368航班抓取报⽂:
下载和安装好Wireshark之后,启动Wireshark并且在接⼝列表中选择接⼝名,然后开始在此接⼝上抓包。例如,如果想要在⽆线⽹络上抓取流量,点击⽆线接⼝。点击Capture Options可以配置⾼级属性,但现在⽆此必要。
点击接⼝名称之后,就可以看到实时接收的报⽂。Wireshark会捕捉系统发送和接收的每⼀个报⽂。如果抓取的接⼝是⽆线并且选项选取的是混合模式,那么也会看到⽹络上其他报⽂。
上端⾯板每⼀⾏对应⼀个⽹络报⽂,默认显⽰报⽂接收时间(相对开始抓取的时间点),源和⽬标IP地址,使⽤协议和报⽂相关信息。点击某⼀⾏可以在下⾯两个窗⼝看到更多信息。“+”图标显⽰报⽂⾥⾯每⼀层的详细信息。底端窗⼝同时以⼗六进制和ASCII码的⽅式列出报⽂内容。
需要停⽌抓取报⽂的时候,点击左上⾓的停⽌按键。
⾊彩标识:
进⾏到这⾥已经看到报⽂以绿⾊,蓝⾊,⿊⾊显⽰出来。Wireshark通过颜⾊让各种流量的报⽂⼀⽬了然。⽐如默认绿⾊是TCP报⽂,深蓝⾊是DNS,浅蓝是UDP,⿊⾊标识出有问题的TCP报⽂——⽐如乱序报⽂。
报⽂样本:
⽐如说你在家安装了Wireshark,但家⽤LAN环境下没有感兴趣的报⽂可供观察,那么可以去Wireshark wiki下载报⽂样本⽂件。
打开⼀个抓取⽂件相当简单,在主界⾯上点击Open并浏览⽂件即可。也可以在Wireshark⾥保存⾃⼰的抓包⽂件并稍后打开。
过滤报⽂:
如果正在尝试分析问题,⽐如打电话的时候某⼀程序发送的报⽂,可以关闭所有其他使⽤⽹络的应⽤来减少流量。但还是可能有⼤批报⽂需要筛选,这时要⽤到Wireshark过滤器。
最基本的⽅式就是在窗⼝顶端过滤栏输⼊并点击Apply(或按下回车)。例如,输⼊“dns”就会只看到DNS报⽂。输⼊的时
候,Wireshark会帮助⾃动完成过滤条件。
省考是什么 也可以点击Analyze菜单并选择Display Filters来创建新的过滤条件。
另⼀件很有趣的事情是你可以右键报⽂并选择Follow TCP Stream。
你会看到在服务器和⽬标端之间的全部会话。
关闭窗⼝之后,你会发现过滤条件⾃动被引⽤了——Wireshark显⽰构成会话的报⽂。
注意:Find Packet也可以⽤于搜索⼗六进制字符,⽐如恶意软件信号,或搜索字符串,⽐如抓包⽂件中的协议命令。 ⼀个快速过滤TCP报⽂流的⽅式是在Packet List Panel中右键报⽂,并且选择Follow TCP Stream
我离不开你 更改为⼗六进制Dump模式查看载荷的⼗六进制代码,如下图所⽰:
关闭弹出窗⼝,Wireshark就只显⽰所选TCP报⽂流。现在可以轻松分辨出3次握⼿信号。
注意:这⾥Wireshark⾃动为此TCP会话创建了⼀个显⽰过滤。本例中:(ip.addr eq 192.168.1.2 and ip.addr eq 209.85.227.19) and (tcp.port eq 80 and tcp.port eq 52336)
SYN报⽂:
图中显⽰的5号报⽂是从客户端发送⾄服务器端的SYN报⽂,此报⽂⽤于与服务器建⽴同步,确保客户端和服务器端的通信按次序传输。SYN报⽂的头部有⼀个32 bit序列号。底端对话框显⽰了报⽂⼀些
有⽤信息如报⽂类型,序列号。
SYN/ACK报⽂:
7号报⽂是服务器的响应。⼀旦服务器接收到客户端的SYN报⽂,就读取报⽂的序列号并且使⽤此编号作为响应,也就是说它告知客户机,服务器接收到了SYN报⽂,通过对原SYN报⽂序列号加⼀并且作为响应编号来实现,之后客户端就知道服务器能够接收通信。
ACK报⽂:
8号报⽂是客户端对服务器发送的确认报⽂,告诉服务器客户端接收到了SYN/ACK报⽂,并且与前⼀步⼀样客户端也将序列号加⼀,此包发送完毕,客户端和服务器进⼊ESTABLISHED状态,完成三次握⼿。
ARP & ICMP:
开启Wireshark抓包。打开Windows控制台窗⼝,使⽤ping命令⾏⼯具查看与相邻机器的连接状况。
停⽌抓包之后,Wireshark如下图所⽰。ARP和ICMP报⽂相对较难辨认,创建只显⽰ARP或ICMP的过滤条件。
ARP报⽂:
地址解析协议,即ARP(Address Resolution Protocol),是根据获取的⼀个。其功能是:将ARP请求到⽹络上的所有主机,并接收返回消息,确定⽬标的物理地址,同时将IP地址和硬件地址存⼊本机ARP缓存中,下次请求时直接查询ARP缓存。
最初从PC发出的ARP请求确定IP地址192.168.1.1的MAC地址,并从相邻系统收到ARP回复。ARP请求之后,会看到ICMP报⽂。
ICMP报⽂:
⽹络控制消息协定(Internet Control Message Protocol,ICMP)⽤于⽹络中发送控制消息,提供可能发⽣在通信环境中的各种问题反馈,通过这些信息,令管理者可以对所发⽣的问题作出诊断,然后采取适当的措施解决。
PC发送echo请求,收到echo回复如上图所⽰。ping报⽂被mark成Type 8,回复报⽂mark成Type 0。
如果多次ping同⼀系统,在PC上删除ARP cache,使⽤如下ARP命令之后,会产⽣⼀个新的ARP请求。
C:\> ping 192.168.1.1
… ping output …数字电子钟
我曾经等过你 因为我也相信什么歌C:\> arp –d *
HTTP:
HTTP协议是⽬前使⽤最⼴泛的⼀种基础协议,这得益于⽬前很多应⽤都基于WEB⽅式,实现容易,软件开发部署也简单,⽆需额外的客户端,使⽤浏览器即可使⽤。这⼀过程开始于请求服务器传送⽹络⽂件。
从上图可见报⽂中包括⼀个GET命令,当HTTP发送初始GET命令之后,TCP继续数据传输过程,接下来的链接过程中HTTP会从服务器请求数据并使⽤TCP将数据传回客户端。传送数据之前,服务器通过发送HTTP OK消息告知客户端请求有效。如果服务器没有将⽬标发送给客户端的许可,将会返回403 Forbidden。如果服务器不到客户端所请求的⽬标,会返回404。
如果没有更多数据,连接可被终⽌,类似于TCP三次握⼿信号的SYN和ACK报⽂,这⾥发送的是FIN和ACK报⽂。当服务器结束传送数据,就发送FIN/ACK给客户端,此报⽂表⽰结束连接。接下来客户端返回ACK报⽂并且对FIN/ACK中的序列号加1。这就从服务器端终⽌了通信。要结束这⼀过程客户端必须重新对服务器端发起这⼀过程。必须在客户端和服务器端都发起并确认FIN/ACK过程。
言字旁加甚应⽤Wireshark IO图形⼯具分析数据流
基本IO Graphs:
IO graphs是⼀个⾮常好⽤的⼯具。基本的Wireshark IO graph会显⽰抓包⽂件中的整体流量情况,通常是以每秒为单位(报⽂数或字节数)。默认X轴时间间隔是1秒,Y轴是每⼀时间间隔的报⽂数。如果想要查看每秒bit数或byte数,点击“Unit”,在“Y Axis”下拉列表中选择想要查看的内容。这是⼀种基本的应⽤,对于查看流量中的波峰/波⾕很有帮助。要进⼀步查看,点击图形中的任意点就会看到报⽂的细节。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论