目录
简介
Wireshark是一款开源的网络协议分析工具,被誉为网络世界的“高速摄像机”,能够捕获并详细解析网络数据包,帮助用户深入分析网络流量、排查故障或学习网络协议。
安装
官网地址:www.wireshark.org
在download页面可以看到有许多不同类型的安装包可选
Win11选择下载Windows x64 Installer即可,其他版本基本情况如下
| 版本 | 适用情况 |
|---|---|
| Windows PortableApps® | 免安装版,适合 U 盘便携使用,但可能缺少部分依赖组件。 |
| Windows ARM64 | 仅适用于 ARM 架构的 Windows 设备(如 Surface Pro X)。 |
| 源码包 (Source Code) | 适用于开发者自行编译,普通用户无需下载。 |
下载完成后双击安装,根据提示进行下一步
1、安装指引,点击下一步
2、查看许可条款,noted
3、捐赠说明,如有意愿可前往捐赠,没有就可以点next了
4、选择组件安装,默认即可
5、在开始菜单和桌面添加快捷方式
6、选择安装位置,不建议放在C盘
7、安装npcap
8、USBcap安装,仅需在分析 USB 协议或设备时勾选,普通用户无需安装
9、npcap安装协议
10、安装选项,第一个是仅管理员使用,第二个是抓取WiFi数据包,第三个是兼容旧版工具,一般情况都不用选
11、需要重启才能使用,选择稍后手动重启
第一次抓包
选择一块合适的网卡双击打开,一般情况是以太网或者WLAN,我这里选择WLAN2
可以看到非常多的数据包
在终端中ping百度的域名,注意返回结果是ipv4还是ipv6,我这边是ipv6
在过滤器输入icmpv6过滤数据包,如果你的返回数据是ipv4那么过滤icmp就可以了哦,到这里我们的第一次抓包就成功了!!
数据包关键字段解析
以http数据包为例,可以看到左下角区域有很多字段
Frame(物理层信息):记录数据包的物理层元数据(如捕获时间、长度)
Ethernet II / Wi-Fi(数据链路层):标识局域网内设备的物理地址(MAC)和协议类型。
IPv6(网络层):定义源/目标 IP 地址和路由信息。
TCP(传输层):管理连接(三次握手、数据传输、四次挥手)。
HTTP(应用层):携带实际的请求或响应内容。
Data(应用层):HTTP 协议的实际内容,可能是文本、JSON、二进制文件等。
抓包分析三次握手与四次挥手
首先打开wireshark,选择vm8网卡
然后开启虚拟机来辅助模拟,注意要先关闭防火墙
# 安装nc工具
yum -y install nc
# 开启一个端口
nc -kl 4399
# 检查端口
ss -antulp 4399然后在本地powershell用telnet命令来进行tcp连接,Win11一般是没有装telnet工具的,需要先运行命令:dism /online /enable-feature /featurename:TelnetClient /all
然后重启电脑。
telnet 10.0.0.100 4399这个时候就可以在wireshark看到三次握手的过程了,注意过滤4399端口
查看第一个数据包详情,客户端发送SYN请求建立连接
第二个数据包,服务端确认请求,并发送建立连接请求
第三个数据包,客户端确认请求
四次挥手同上述类似,只要断开连接即可查看
扫一扫
180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
