WireShark-计算机网络必备小工具哦

WireShark-计算机网络必备小工具哦

Scroll Down

引言

最近在恶补关于计算机网络的相关知识,什么各种各样的协议呀,什么路由器、交换机呀,各种各样的纠错呀,还有密码学,但是那种计算机网络的书内容真的看的我头都大了,看着教材后面每一章都有wireshark对应的实验,因此今天特意结合书本内容学习一下,顺便写个分享(暴露了)
1

安装

官网:https://www.wireshark.org/ ,科学上网打开网速可能更快,傻瓜式安装就好了

使用

可能很多人也用过fidder抓包工具,但是这款软件和fidder还是有很大区别的,首先看打开后:
image.png
图中显示的就是你电脑中所有网络连接方式,包括本地连接、虚拟机网络适配器以及wlan等,其中带有波浪线的就是目前电脑中正在使用的,也就是说可以抓取这些网络连接中的数据,下面就看看如何使用吧!

抓取数据

以wlan为例,点击捕获->捕获选项->选择要抓包网络->开始,点击wlan后,可以实时显示网络中所有的数据:
image.png
可以分成三个部分,最上方是数据信息部分,从左到右依次是时间,源地址,目的地址,协议、数据长度以及备注信息
默认时间显示格式可能是时间戳格式,点击视图->时间显示格式就可以更改为正常格式,其次,我已经对源地址和目的地址进行了对应的DNS解析了,刚打开一般显示的都是对应的ip地址,要想显示具体名称,点击捕获->选项->选项->Resolve Network Name等,如下图所示:
image.png
中间部分是对数据的具体描述,比如数据帧的长度,以太网描述,IP协议版本,数据报源地址和目的地址端口号,如图所示
image.png
最下面就是数据报的具体数据,一个符号4个bit,相邻两个即为一个Byte,最右边就是数据具体内容

常用功能

分组着色

右击数据信息可以标记取消分组,设置或者取消时间参考(方便查找在某段时间之后或者之前的数据),着色(对不同协议数据进行着色更加方便查找)

追踪流

追踪流(点击追踪之后只显示该会话中所有的数据,并且会显示该数据包内容,红色是源到目的地;蓝色反之)
image.png
同时从显示信息中也可以看出TCP数据包格式,ACK,SYN,FIN等,如下图所示,具体含义牵扯到计算机网络知识,可以关注对应博客
image.png

统计分析

文件分析

点击统计 -> 捕获文件属性 可以得到系统硬件信息、hash编码信息、数据分组信息
image.png

协议分层

统计 -> 协议分级 可以得到协议间的层级关系、对应的数据大小
image.png

会话统计

统计 -> 会话 可以得到host和server之间的会话信息,包括彼此之间发送的数据大小
image.png

长度统计

统计 -> 分组长度 可以得到不同packet的长度信息
image.png

IO吞吐

统计 -> IO图表 对网络吞吐流量进行实时监测
image.png

过滤

我们的网络无时无刻不在接受数据,那么多的数据我们如何快速定位到自己需要的数据呢?这时我们就需要过滤器的帮助啦!

抓包过滤器

点击捕获->捕获过滤器可以设置我们需要的捕获过滤器

  • Type: host net port
  • Direction: src(源) dst(目的)
  • Proto: ether(以太网) ip tcp udp http ftp
  • 符号: && || ! 与或非
  • 规则:先Proto 再Direction 再 Type 最后地址
  • 例子:
    -1. src 192.168.1.1 && | || dst port 80 抓取源地址ip为192.168.1..1和 | 或目的地址端口80对应数据
    -2. !broadcast 不要抓取广播地址

显示过滤器

IP

ip.addr | src | dst == 192.168.1.1

port

tcp.port | srcport | dstport == 80

Protocal

ARP(根据IP地址查询物理MAC地址)
TCP
UDP
HTTP
not ARP

导出

点击文件 -> 导出分组解析结果
可以选择不同的保存格式,包括csv|json|txt等格式,当然前两者是最常用的啦

好啦,以上就是对wireshark抓包工具的介绍,希望可以对大家有所帮助哦!

每日一语

假期真的太短啦!