IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> wireshark网络抓包详解 -> 正文阅读

[网络协议]wireshark网络抓包详解

一、简介

Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。

为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容

二、安装

2.1、安装地址

Wireshark开源地址:https://github.com/wireshark/wireshark
Wireshark下载地址:https://www.wireshark.org/download

安装的话,就是傻瓜式的一步步点鼠标安装,没什么可说的了,安装步骤这里就省略了。

三、抓包示例

3.1、Wireshark抓包简单流程
1)主界面
在这里插入图片描述
2)3.2、 选择菜单栏上【捕获】 -> 【选项】,当然也可以点击【捕获选项】的图标一步到位,勾选【WLAN】网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡),点击【开始】,启动抓包。
在这里插入图片描述
3)wireshark启动后,wireshark处于抓包状态中。
在这里插入图片描述
4)在window CMD命令行ping baidu.com
在这里插入图片描述
5)通过在过滤栏设置过滤条件进行数据包列表过滤,以免抓取无用包影响查看,这里就以ping baidu.com为例,只过滤百度的ip,设置如下:

ip.addr == 39.156.69.79 and icmp

表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意:协议名称icmp要小写
在这里插入图片描述
关于Wireshark抓包流程就是如上步骤。

3.2、Wireshark抓包界面介绍
在这里插入图片描述
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】-> 【着色规则】。如下所示:
在这里插入图片描述
WireShark 主要分为这几个界面:
1)Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:【分析】-> 【Display Filters】。
在这里插入图片描述
2)Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号时间戳源地址目标地址协议长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。
在这里插入图片描述
3)Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为:

(1)Frame:   【物理层】的数据帧概况

(2)Ethernet II: 【数据链路层】以太网帧头部信息

(3)Internet Protocol Version 4: 互联网层IP包头部信息,属于【网络层】

(4)Transmission Control Protocol:  【传输层】T的数据段头部信息,此处是TCP

(5)Hypertext Transfer Protocol:  【应用层】的信息,此处是HTTP协议

TCP包的具体内容
在这里插入图片描述
4)Dissector Pane(数据包字节区)。

3.3、Wireshark过滤器设置

wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1)抓包过滤器
捕获过滤器的菜单栏路径为【捕获】 -> 【捕获过滤器】。用于在抓取数据包前设置。
在这里插入图片描述
如何使用?可以在抓取数据包前设置如下:
在这里插入图片描述
ip host www.baidu.com表示只捕获主机host为www.baidu.com的ICMP数据包。获取结果如下:
在这里插入图片描述
2)显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。
在这里插入图片描述
然后可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 183.232.231.174 and icmp。并进行过滤。
在这里插入图片描述

3.4、以上两者间的语法以及它们的区别

1、wireshark过滤器表达式的规则
1)抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

2)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

3)IP过滤

host 192.168.182.104

src host 192.168.182.104

dst host 192.168.182.104

4)端口过滤

port 80

src port 80

dst port 80

5)逻辑运算符&& 与、|| 或、!非

src host 192.168.182.104 && dst port 80 抓取主机地址为192.168.182.80、目的端口为80的数据包

host 192.168.182.104 || host 192.168.182.102 抓取主机为192.168.182.104或者192.168.182.102的数据包

!broadcast 不抓取广播数据包

2、显示过滤器语法和实例
1)比较操作符

比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

2)协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

3)ip过滤

ip.src ==192.168.182.104 显示源地址为192.168.182.104的数据包列表

ip.dst==192.168.182.104, 显示目标地址为192.168.182.104的数据包列表

ip.addr == 192.168.182.104 显示源IP地址或目标IP地址为192.168.182.104的数据包列表

4)端口过滤

tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

4)Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5)逻辑运算符为 and/or/not

过滤多个条件组合时,使用and/or。比如获取IP地址为183.232.231.174的ICMP数据包表达式为ip.addr == 183.232.231.174 and icmp

四、Wireshark抓包分析TCP三次握手

在这里插入图片描述
1)TCP三次握手连接建立过程:

  • Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;
  • Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
  • Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。

2)wireshark抓包获取访问指定服务端数据包

  • Step1:启动wireshark抓包,打开浏览器输入www.huawei.com。
  • Step2:使用ping www.huawei.com获取IP。
    在这里插入图片描述
  • Step3:输入过滤条件获取待分析数据包列表ip.addr == 120.240.100.48 and tcp,这里只抓取tcp的包,要不然其它信息有点多不好看。
    在这里插入图片描述
    图中可以看到wireshark截获到了三次握手的三个数据包。但是从上图看不止一个三次握手;其实还有一个重要的信息,如果眼尖的同学,会发现后面还有两次TLS的握手,没错,因为是通过https去发请求的,三次握手后就是TLS的握手了。虽然上面是通过http访问,但是会跳到https,流程图大致如下:
    在这里插入图片描述
    以下就是TLS握手过程
    在这里插入图片描述

五、Wireshark分析tcpdump抓包结果

【文件】->【打开】选择要解析的文件。最后点击右边的箭头开始解析。
在这里插入图片描述

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-07-31 16:59:17  更:2021-07-31 17:00:47 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 18:33:04-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码