引言
最近在恶补关于计算机网络的相关知识,什么各种各样的协议呀,什么路由器、交换机呀,各种各样的纠错呀,还有密码学,但是那种计算机网络的书内容真的看的我头都大了,看着教材后面每一章都有wireshark对应的实验,因此今天特意结合书本内容学习一下,顺便写个分享(暴露了)
安装
官网:https://www.wireshark.org/ ,科学上网打开网速可能更快,傻瓜式安装就好了
使用
可能很多人也用过fidder抓包工具,但是这款软件和fidder还是有很大区别的,首先看打开后:
图中显示的就是你电脑中所有网络连接方式,包括本地连接、虚拟机网络适配器以及wlan等,其中带有波浪线的就是目前电脑中正在使用的,也就是说可以抓取这些网络连接中的数据,下面就看看如何使用吧!
抓取数据
以wlan为例,点击捕获->捕获选项->选择要抓包网络->开始,点击wlan后,可以实时显示网络中所有的数据:
可以分成三个部分,最上方是数据信息部分,从左到右依次是时间,源地址,目的地址,协议、数据长度以及备注信息
默认时间显示格式可能是时间戳格式,点击视图->时间显示格式就可以更改为正常格式,其次,我已经对源地址和目的地址进行了对应的DNS解析了,刚打开一般显示的都是对应的ip地址,要想显示具体名称,点击捕获->选项->选项->Resolve Network Name等,如下图所示:
中间部分是对数据的具体描述,比如数据帧的长度,以太网描述,IP协议版本,数据报源地址和目的地址端口号,如图所示
最下面就是数据报的具体数据,一个符号4个bit,相邻两个即为一个Byte,最右边就是数据具体内容
常用功能
分组着色
右击数据信息可以标记取消分组,设置或者取消时间参考(方便查找在某段时间之后或者之前的数据),着色(对不同协议数据进行着色更加方便查找)
追踪流
追踪流(点击追踪之后只显示该会话中所有的数据,并且会显示该数据包内容,红色是源到目的地;蓝色反之)
同时从显示信息中也可以看出TCP数据包格式,ACK,SYN,FIN等,如下图所示,具体含义牵扯到计算机网络知识,可以关注对应博客
统计分析
文件分析
点击统计 -> 捕获文件属性 可以得到系统硬件信息、hash编码信息、数据分组信息
协议分层
统计 -> 协议分级 可以得到协议间的层级关系、对应的数据大小
会话统计
统计 -> 会话 可以得到host和server之间的会话信息,包括彼此之间发送的数据大小
长度统计
统计 -> 分组长度 可以得到不同packet的长度信息
IO吞吐
统计 -> IO图表 对网络吞吐流量进行实时监测
过滤
我们的网络无时无刻不在接受数据,那么多的数据我们如何快速定位到自己需要的数据呢?这时我们就需要过滤器的帮助啦!
抓包过滤器
点击捕获->捕获过滤器可以设置我们需要的捕获过滤器
- Type: host net port
- Direction: src(源) dst(目的)
- Proto: ether(以太网) ip tcp udp http ftp
- 符号: && || ! 与或非
- 规则:先Proto 再Direction 再 Type 最后地址
- 例子:
-1. src 192.168.1.1 && | || dst port 80 抓取源地址ip为192.168.1..1和 | 或目的地址端口80对应数据
-2. !broadcast 不要抓取广播地址
显示过滤器
IP
ip.addr | src | dst == 192.168.1.1
port
tcp.port | srcport | dstport == 80
Protocal
ARP(根据IP地址查询物理MAC地址)
TCP
UDP
HTTP
not ARP
导出
点击文件 -> 导出分组解析结果
可以选择不同的保存格式,包括csv|json|txt等格式,当然前两者是最常用的啦
好啦,以上就是对wireshark抓包工具的介绍,希望可以对大家有所帮助哦!
每日一语
假期真的太短啦!