• wireshark使用简介


    wireshark使用简介

    wireshark界面简介

    • Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。

    程序上方的8个菜单项用于对Wireshark进行配置:

    • "File"(文件)打开或保存捕获的信息。
    • "Edit" (编辑)查找或标记封包。进行全局设置。
    • "View"(查看)设置Wireshark的视图。
    • "Go" (转到)跳转到捕获的数据。
    • "Capture"(捕获)设置捕捉过滤器并开始捕捉。
    • "Analyze"(分析)设置分析选项。
    • "Statistics" (统计)查看Wireshark的统计信息。
    • "Help" (帮助)查看本地或者在线支持。

    SHORTCUTS(快捷方式)

    • wireshark shortcuts 在菜单下面,是一些常用的快捷按钮。可以将鼠标指针移动到某个图标上以获得其功能说明。

    DISPLAY FILTER(显示过滤器)

    wireshark display filter 显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。

    PACKET LIST PANE(封包列表)

    • 封包列表中显示所有已经捕获的封包。在这里可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。
    • 如果捕获的是一个OSI layer 2的封包,在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。
    • 如果捕获的是一个OSI layer 3或者更高层的封包,在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
    • 可以在这里添加/删除列或者改变各列的颜色:Edit menu -> Preferences

    PACKET DETAILS PANE(封包详细信息)

    • 这里显示的是在封包列表中被选中项目的详细信息。

    DISSECTOR PANE(16进制数据)

    • “解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。

    ** MISCELLANOUS(杂项)**

    • 在程序的最下端,可以获得如下信息:
      • 正在进行捕捉的网络设备。
      • 捕捉是否已经开始或已经停止。
      • 捕捉结果的保存位置。
      • 已捕捉的数据量。
      • 已捕捉封包的数量。(P)
      • 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
      • 被标记的封包数量。(M)

    过滤器

    • 使用Wireshark时最常见的问题,是当使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
    • 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture -> Capture Filters 中设置。
    • 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

    过滤表达式的规则

    协议过滤

    • 比如TCP,只显示TCP协议。

    IP 过滤

    • 比如
    ip.src ==192.168.1.102 显示源地址为192.168.1.102,
    ip.dst==192.168.1.102, 目标地址为192.168.1.102
    
    • 端口过滤
    tcp.port ==80,  端口为80的
    tcp.srcport == 80,  只显示TCP协议的愿端口为80的。
    

    Http模式过滤

    • http.request.method=="GET", 只显示HTTP GET方法的。

    逻辑运算符为 AND/ OR

    • 常用的过滤表达式

    封包详细信息

    • 各行信息分别为
    Frame:   物理层的数据帧概况
    Ethernet II: 数据链路层以太网帧头部信息
    Internet Protocol Version 4: 互联网层IP包头部信息
    Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP
    Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议
    

    TCP包的具体内容

    • 从下图可以看到wireshark捕获到的TCP包中的每个字段。

    三次握手过程

    • 打开wireshark, 然后随便打开一个网页,双击WLAN进行捕获。

    • 在wireshark中输入tcp过滤, 然后会发现HTTP 525GET的那条记录,如下图所示

    • 图中可以看到wireshark截获到了三次握手的三个数据包,第四个包是HTTP的,这说明HTTP的确是使用TCP建立连接的。

    • 第一次握手

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。

    -第二次握手

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1,即0+1=1

    • 第三次握手

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1。
    就这样通过了TCP三次握手,建立了连接。

    感想

    wireshark可以帮助我们获得网络连接中的各项数据,以前对于上网、访问网页只是一个抽象的概念,并不知道我们到底是如何浏览那些网络信息的,利用wireshark可以将这些概念实体化,各项数据直观的展现了网络连接、网页访问的全过程。第一次安装使用这个软件可能很多同学并不熟练,只知道哪里点一下可以出来什么东西,wireshark窗口显示的信息有的也不知道是什么,希望这篇博客可以让同学们更好地了解这款软件,对以后的学习也能有所帮助。

  • 相关阅读:
    FILTER(过滤器)
    HDFS优缺点
    python运算符
    python变量类型
    python变量存储
    python编码问题
    【一:定义】python 简介
    如何学一门新技术
    Django安装
    redis 安装及启动关闭
  • 原文地址:https://www.cnblogs.com/senlinmilelu/p/6876650.html
Copyright © 2020-2023  润新知