Wireshark是一款强大的网络封包分析软件,本文介绍了其下载、登录界面、主页面、菜单栏的功能,并详细讲解了捕捉过滤器和显示过滤器的语法,以及IP协议和TCP协议的分析,帮助理解网络数据传输过程。
概述
软件介绍
下载链接
界面介绍及功能介绍
最初的登录界面
上部分可以打开文件;中间可以选择捕捉过滤器,双击网卡开始捕捉;下部分是官网提供的相关地址。
主页面介绍
1.菜单栏;2.工具栏;3.显示过滤器;4.封包列表;5.封包详细信息;6.十六进制数据;7.状态栏;
菜单栏
1.文件:包括打开文件,合并文件,另存为,导出对象,打印,退出等功能。快捷键:alt+f
2.编辑:包括查找分组上下移,标记分组,设置时间线,个性首选项设置,注释,显示配置文件配置。快捷键:alt+e
3.视图:包括主页面各个部分的显示,全屏,大小缩放,时间格式,着色规则,页面布局,宽度调整,对话hash表,名称解析。快捷键:alt+v
4.跳转:显示是否实时跳转,封包和信息选中上下移动(alt+./,),快捷键:alt+g。
5.捕获:捕获选项设置,开始/停止/重新开始抓包,捕获过滤器,刷新接口信息。
6.分析:显示过滤器,显示过滤器宏,追踪流,专家信息。
7.统计:捕获文件属性,解析地址,协议分级,conversations,endpoint,分组长度,IO图表,流量图等。
8.电话:没有接触。
9.无线:没有接触。
10.工具:没有接触。
11.帮助:网站帮助信息,可以去Wiki上下载示例。
名称解析:
1)物理地址:mac地址解析,解析失败则只显示厂家;
2)网络地址:ip地址解析成域名,会有一个存储列表;
3)传输层解析:根据端口解析成相对应的协议;
捕捉选项设置:
混杂模式:开启则捕捉经过网卡的所有流量
文件:输出文件保存位置。
自动创建文件:指满足一定条件后,自动创建一个新的文件。满足的条件分别是:包分组数,字节数,时间。
显示选项:实时更新封包列表中的包;实时滚动封包列表;弹出一个抓包的框。
停止捕捉:满足条件后停止捕捉包,分别是按照包组;按照文件数量;按照抓包大小;按照时间。
追踪流:可以将捕捉到的TCP,UDP,SSL流重组起来,按照一定的编码方式,如果传输方式没有加密的话,可以得出传输的内容(嗅探)。
此处捕捉到了账号以及密码的密文。
专家信息
统计出做抓的包中错误,警告,注意,正常四类包。分别有相应的包的数量,类型以及对应包编号。一般网络中多多少少有注意包,主要要看是看警告包和错误包。这个表能反应出网络的稳定性。
捕获文件属性
当前正在抓的这个包文件的信息:包括报名,存储路径,抓包的时间,抓包设备硬件信息,抓包情况等。
协议分级
协议分析,哪些包比较多,考虑是否有类型的病毒。
注:1.分组下的百分比等于分组下个类型协议的百分比之和。2.结束分组是该类协议的所有包的数量,即显示过滤器下显示的包的数量。
conversations
源和目的之间数据包和字节数的统计,和节点一起使用。
endpoint
单个IP节点的包和字节数统计,和会话一起使用,精细地揪出节点。
看TCP和UDP协议这两块会相对比看IP那两块来的详细,有端口信息,更有针对性。
分组长度
统计包的大小分布,可以输入协议类型,统计协议类型包的大小分布。正常的就是40-2559的大小。小型帧,巨型帧攻击范围大概在这个之外,如果说这个范围之外占比5以上,可能就有问题。
arp大概42字节:以太网14字节,请求28字节。
icmp大概150左右字节:以太网14字节,ip20 字节,icmp本身80以上。
dns大概字节150:以太网14字节,ip20字节,udp8字节。
因此40-319是小型帧。
320-2559的一般是TCP协议,如果这部分占比比较大,可能是在看视频,浏览网页等。
捕捉过滤器/显示过滤器相关语法
捕捉过滤器
<协议><方向><主机><值><逻辑操作符><其他表达式>
协议:http,tcp,udp,ip,arp等。默认所有协议。
方向:dst,src,dst and src,dst or src。默认dst or src。
主机: net,port,host等。默认host。
逻辑操作符:not,and,or
显示过滤器
这里有所有显示过滤器的语法规则。
按协议进行过滤:
TCP,UDP,IP,icmp等
按协议属性进行过滤:
ip.addr == 192.168.0.100
tcp.port == 80
tcp.flag.syn
逻辑操作符
&& || ! and or not
IP协议/TCP协议分析
IP协议
以下是IP包头格式
以下是wireshark中某个包的ip部分截图
其中每一个数字都是代表1个十六进制,也就是4个二进制,即4位。一个字节是8位,即每两个数字代表一个字节。
以数据包中的版本为例。记录的是4位,在开头处,对应包中蓝色部分的4,二进制是0100,便是wireshark抓包第一部分的:0100… = version: 4。表示是IPV4协议。
之后根据位数往后推。
首部长度,记录的是5,代表格式的最小单位,即ip包中的行。一行是4个字节,也就是20个字节。
区分服务8位(00)。一些比较紧急的包会填写,如QOS服务。
总长度16位(0028),值40字节,包头20字节,数据部分20字节。
标识16位(a576),值42358,用来表示数据包的先后顺序。
标志3位(4),二进制值为0100。从前往后0是保留位,无实际意义。1是DF位,表示没分组,值1是没有,值0是有。0是MF位,表示有更多帧,0表示最后一个,1表示后面还有。0是和后面12位一起表示片偏移的值。片偏移量等于数据部分大小除以8。
生存时间8位(80):值128,这个值由系统设置,window128,Linux64,UNIX256.每结果一个路由器减一。
协议8位(06),6表示tcp协议,1表示ICMP,2表示IGMP,17表示UDP。
首部校验和16位(08a7):检验首部在传输过程中是不是发生了变化。
源地址32位(c0a80215):IP源地址。
目的地址32位(3b384ebd):ip目的地址。
###TCP协议
以下是TCP报文格式
以下是wireshark中某个包的TCP部分
分析同上
源端口(16位)
目的端口(16位)
序列号(32位)
确认序列号(32位)
首部长度(4位)
保留部分(6位)
URG(1位):紧急位,和紧急指针一起使用,拥有插队特权。
ACK(1位):建立连接的时候使用,不带数据。
PUSH(1位):表示里面有数据
RST(1位):表示重置链接,当有错误的时候会重置断开连接。
SYN(1位):确认序列号
FIN(1位):结束符号
窗口(16位)
校验和(16位)
紧急指针(16位)
其他符号意义
Seq=0,序号,这是一个相对值而非绝对值,相对第一个包的序列号。因为是整个 TCP 流的第一包,所以 Wireshark 认定该包的序列号为 0。
win=65535,窗口大小,也就是发送端的当前窗口最多容纳 65535 个字节。
Len=0,数据部分大小,不带数据。
MSS=1460,最大报文大小,数据部分最多有 1460 个字节。
SACK_PERM=1,选择确认选项。
TSval=0,发送时间戳,发出这个数据包的时候的时间戳。
TSecr=0,应答时间戳,当前要发送的包应答的那个包的发送时间戳,因为是第一个包,应答的时间戳为 0。
WS=256,窗口扩大。
扫一扫
8807
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
