Wireshark原理介绍

今天继续给大家介绍渗透测试相关知识，本文主要内容是Wireshark原理。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！

一、Wireshark简介

Wireshark是网络数据包分析软件，可以探测指定网卡收到的数据包，并尽可能的分析这些数据包的协议、数据等资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
Wireshark页面如下所示：

Wireshark可以使得网卡处于混杂模式，所谓混杂模式，即网卡处理所有接收到的数据包。当网卡处于普通模式下时，在收到数据包后，会检查该数据包中数据链路层所封装的MAC地址，如果该MAC地址是自己的MAC地址、广（组）播MAC地址，才会将该数据包送往上层进行处理。而处于混杂状态的网卡，则会不加选择的将所有的数据包进行处理，即时该数据包并不是发送给自己的。因此，处于混杂模式下的网卡，可以收集到所有的数据包。

二、Wireshark应用

Wireshark运用非常广泛。对于网络工作人员而言，Wireshark可以用于检测网络问题；对于开发工作人员而言，Wireshark可以用于网络协议开发排错；对于安全工作人员而言，Wireshark则可以监听网络上的数据包，借此发现当前网络上存在的网络攻击。

三、Wireshark快速分析数据包技巧

Wireshark的抓包使用，有以下技巧：
1、确定运行Wireshark的位置。
确定Wireshark的位置是使用Wireshark抓包的第一步，也是非常关键的一步。在当前主流的交换式以太网中，如果我们在一个连接到交换机普通接口上的设备上运行Wireshark，那么大概率抓不到整个以太网的数据包（除非使用网络欺骗根据或者是洪泛攻击，但是这两种攻击技术也很容易被因交换机相关安全设置而失效）。我们通常将该交换机端口配置成镜像端口，这样就可以很方便的抓取整个网络中的数据包了。
2、选择Wireshark的捕获接口。
我们在开启Wireshark时，要选择Wireshark的数据包捕获接口，通常是选择设备的网卡作为捕获接口，而如果当前设备有多快网卡的情况，则需要根据实际情况来选择wireshark的捕获接口。
3、使用捕获过滤器。
为了防止Wireshark捕获到过多的数据包，进而影响设备的运行，我们通常会设置捕获过滤器，该过滤器会在Wireshark刚开始运行时就发挥作用，过滤掉我们不需要的数据包。
4、使用显示过滤器。
窗户了捕获过滤器以外，我们还可以使用Wireshark的显示过滤器，显示过滤器可以在Wireshark的捕获过滤器的基础上运行，从Wireshark捕获的数据包中进一步筛选我们需要的数据包，并且我们可以随时修改显示过滤器的规则，以不断筛选处我们所需要的数据包。
5、使用着色规则。
合理的使用Wireshark的着色规则，可以帮助我们更好的查看Wireshark的数据包，并分析这些数据包之前的关系。
6、构建图表。
Wireshark自带有统计功能，可以将所捕获的数据包中的一些信息统计出来，并以图表的形式展示，使得数据更加直观形象。
7、重组数据。
Wireshark也带有数据包重组功能，面对一些IP分片的数据包，Wireshark可以将这些分片过的数据包进行重组，以便恢复原有的数据。
原创不易，转载请说明出处：https://blog.youkuaiyun.com/weixin_40228200