目录
wireshark作用
- 分析网络底层协议
- 解决网络故障问题
- 找寻网络安全问题
wireshark抓包原理
网络原理
哪些网络环境下可以抓到包?抓包方式?
-
本机环境——直接抓本机网卡进出的流量包
-
集线器环境——在同一冲突域中通过流量防洪的方式抓取所有主机的流量
-
交换机环境
-
通过端口镜像抓取各主机之间的流量包
-
通过ARP欺骗更改mac地址表,使流量流向错误的地址
-
通过mac泛洪方式发出多个mac地址
-
底层原理
wireshark抓包内部逻辑是什么?
- wireshark组成成分
- GTK-1/2:图像处理工具,处理用户输入输出数据显示
- Core:核心引擎、通过函数调用将其他模块连接一起,起到联动调度作用
- Epan:Core的工具包,为core提供工具支持
- Wiretap:为抓取的二进制流量包提供不同的格式支持。
- Capture:抓包引擎,利用Win-/libcap从底层抓取网络数据包,且能够抓取不同类型数据包。如:以太网、令牌环网,ATM网。
- Win-/libcap:wireshark抓包时依赖的库文件,提供通用抓包接口
- Harddisk:
不同报文颜色的含义
wireshark基本操作
显示界面设置
- 界面大小调整
- 列设置(增加列等)
- 时间设置
- 名字解析
数据包操作
- 标记数据包
- 注释数据包
- 合并数据包
- 打印数据包
- 导出数据吧
抓包选项设置
- 网卡设置
- 抓包过滤器
- 多文件连续保存
- 停止抓包规则
- 名字解析
抓包过滤器
抓包过滤器
- BFD语法:(协议)(方向)类型 类型值 (&&/||/!)(协议)(方向)类型 类型值
- 类型Type:host、net、port
- 方向Dir:src、dst
- 协议Proto:ether、ip 、udp、tcp、http、ftp等
- 逻辑运算符:&&(与)、||(或)、!(非)
- 例子:
- 过滤mac地址:ether host 01:00:5e:7f:ff:fa
- 过滤ip地址:host 192.168.1.1
- 过滤端口:port 80
- 过滤协议:arp
- 综合过滤:host 192.168.1.100 && port 8080
- ip src host 192.168.31.187 && ip dst host 192.168.31.31
显示过滤器
- 比较操作符:==、!=、>、 <、 >= 、 <=
- 逻辑操作符:and or xor(仅有一个条件被满足) not(没有条件被满足)
- IP地址:ip.addr、ip.src、ip.dst
- 端口过滤:tcp.port tcp.srcport tcp.dstport tcp.flag.syn tcp.flag.syn
- 例子:
- 过滤ip地址:ip.addr==xxxx
- 过滤端口:tcp.flag.syn==1(删选握手协议syn为1时)
- 过滤协议:arp
wireshark高级操作
- 数据流追踪:完整呈现tcp、udp、ssl等数据流的信息。分析->追踪流
- 专家信息说明:统计故障类型和数量。分析->专家信息
- 统计摘要说明:全局统计抓取的流量包的信息。统计->捕获文件属性
- 协议分层统计:统计通信流量中不同协议占用的百分比。统计->协议分级
- 网络节点和会话统计
- 【节点】统计源和目的会话之间发送的数据包和字节数。统计->conversation
- 【会话】统计会话中每个节点发送和接收的数据包和字节数。统计->endpoint
- 数据包长度:统计数据包的长度。统计->分组长度
- 图表分析—IO图表:将网络中的吞吐流量进行实时统计。统计->I/O graph
- 图表分析—数据流图:将会话通信过程图形可视化。统计->流量图