WireShark抓包及常用协议分析

已于 2023-10-21 23:35:17 修改
阅读量2.9k 收藏 41
点赞数 5
文章标签: wireshark 测试工具 网络
于 2023-10-21 23:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_68254517/article/details/133958394
版权

目录

一、WireShark简介和抓包原理及过程

1.1 WireShark简介

1.2 WireShark的应用

1.3 WireShark快速分析数据包技巧

二、WireShark抓包及快速定位数据包技巧

2.1 常见协议包

2.2 实操

2.3 混杂模式

 混杂模式概述 

关闭和开启混杂模式的方法

三、 使用WireShark对常用协议抓包并分析原理 

3.1  常用协议分析——ARP协议

一、WireShark简介和抓包原理及过程

1.1 WireShark简介

        Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。WireShark使用WinPCAP(kali自带)作为接口,直接与网卡进行数据报文交换。

1.2 WireShark的应用

  • 网络管理者使用WireShark来检测网络问题
  • 网络安全工程师使用WireShark来检查资讯安全相关问题
  • 开发者使用WireShark来学习网络协议的相关知识
  • 开发者使用WireShark来为新的通讯协议排错
  • 普通用户使用WireShark来学习网络协议的相关知识
  • “居心叵测”的人用WireShark来寻找一些敏感信息

1.3 WireShark快速分析数据包技巧

  1. 确定WireShark物理位置,如果没有正确的位置,启动WireShark后悔花费很长的时间铺货一些与自己无关的数据。
  2. 选择捕获接口,一般是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获道德其他数据对自己没有任何帮助。
  3. 使用捕获过滤器。通过设置捕获过滤器可以避免产生过大的捕获数据,这样用户在分析数据时也不会受其他数据干扰,节约用户时间。
  4. 使用显示过滤器。通常使用捕获过滤器过滤后的数据往往还是很复杂,为了使过滤的数据包再细致些,此时使用显示过滤器进行过滤。
  5. 使用着色规则。通常使用显示过滤器后的数据都是有用的数据包,如果像更加突出显示某个绘画,可以使用着色规则高亮显示。
  6. 构建图表。如果用户想要更明显的看到一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据的分布情况。
  7. 重组数据。当传输较大的图片或文件时,需要将信息分布在多个数据包中。这时需要使用重组数据的方法来抓取完整的数据。WireShark的重组功能可以重组一个会话中不同数据包的信息。

二、WireShark抓包及快速定位数据包技巧

2.1 常见协议包

  • ARP协议
  • ICMP协议
  • TCP协议
  • UDP协议
  • DNS协议
  • HTTP协议

2.2 实操

  • 启动WireShark

  • 选择有流量的(波浪线)并双击进入抓取所有发送给本地kali与流经本地的数据包

2.3 混杂模式

 混杂模式概述 

        混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下的网卡只接收发给本机的包(包括广播包)传递给上层程序,其他的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。

关闭和开启混杂模式的方法
  • 关闭混杂模式前,需要停止当前抓包

  • 在程序工作栏中点击捕获->选项

  • 在选项设置界面输出设置栏的左下方勾选在所有接口上使用混杂模式再点击开始了。默认就是开启混杂模式。

  • 我们打开浏览器访问一下百度

  • 访问完成后点击停止抓包

  •  这里就是WireShark的过滤器,我们可以根据自己的条件来筛选自己想要的数据包

(1)使用过滤器筛选TCP的数据包

注意:筛选条件我们都使用小写就可以,大写有可能无法识别

 

(2)使用过滤器筛选ARP的数据包

 

(3)使用过滤器筛选UDP的数据包

我们筛选UDP报文时出现了多种协议,这是因为OUIC以及DNS都是基于 UDP的传输层之上的协议。

  • 扩展:

        客户端向DNS服务器查询域名,一般返回的内容不超过512字节,用UDP传输即可。不用经过三次握手,这样DNS服务器负载更低,响应更快。理论上来说,客户端也可以指定向DNS服务器查询时用TCP,但是事实上,很多DNS服务器进行配置时仅支持UDP查询包。

 (4)使用过滤器筛选http的数据包

(5)使用过滤器筛选DNS数据包

  • 其实我们不仅可以对协议类型进行筛选,还可以跟很多筛选条件,比如源地址、目的地址等。

(1)首先在终端ping baidu.com,并使用WireShark抓包

然后修改筛选条件为:

ip.src_host==192.168.130.200 or ip.dst_host==39.156.66.10

ip.src_host==192.168.130.200  表示源IP地址

ip.dst_host==39.156.66.10  表示目的地址

中间用or进行拼接表示”或“,也可以使用and表示“与”。

三、 案例:使用WireShark对常用协议抓包并分析原理 

3.1  常用协议分析——ARP协议

        地址解析协议(Address Resolution Protocol,缩写:ARP)是一个通过解析网络层地址 来找寻数据链路层地址的网络传输协议,它在 IPv4 中极其重要。ARP 是通过网络地址来定位 MAC 地址。

  • 协议分析的时候我们关闭混淆模式,避免一些干扰的数据包存在。

  • 开始抓包,过滤ARP

 

  •  分析第一个请求包

 

双击分析请求包 

  •  查看 Address Resolution Protocol (request) ARP 请求包内容:

 Address Resolution Protocol (request)ARP 地址解析协议
request表示请求包
Hardware type: Ethernet (1)硬件类型
Protocol type: IPv4 ( 0x0800 )协议类型
Hardware size: 6硬件地址
Protocol size: 4协议长度
Opcode:_ request ( 1 )操作码,该值为 1 表示 ARP 请求包
Sender MAC address:82:fb:de:58:4b:93 (82:fb:de:58:4b:93)源 MAC 地址
Sender IP address: 192.168.130.98源 IP 地址
Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00)目标 MAC 地址
Target IP address: 192.168.130.200 目标 IP 地址
  • 分析第二个数据包ARP的应答数据包, 查看: Address Resolution Protocol (reply) ARP 地址解析协议

 

Address Resolution Protocol (reply)ARP 地址解析协议
reply表示回复包
Hardware type: Ethernet (1)硬件类型
Protocol type: IPv4 ( 0x0800 )协议类型
Hardware size: 6硬件地址
Protocol size: 4协议长度
Opcode:_ reply ( 2 )操作码,该值为 2 表示 ARP 回复包
Sender MAC address:VMware_dd:25:8b (00:0c:29:dd:25:8b)源 MAC 地址
Sender IP address: 192.168.130.200 源 IP 地址
Target MAC address: 82:fb:de:58:4b:93 (82:fb:de:58:4b:93)目标 MAC 地址
Target IP address: 192.168.130.98目标 IP 地址

 我们可以看到到应答包补全了自己的 MAC 地址,目的地址和源地址做了替换

kinsomnie
关注
使用 Wireshark 进行计算机网络协议分析
weixin_51087836的博客
12-25 7931
文章目录实验前准备一、Wireshark抓包示例二、Wireshark实作1、数据链路层实作一 熟悉Ethernet帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程2、网络层实作一 熟悉 IP 包结构实作二 IP 包的分段与重组实作三 考察 TTL 事件3、传输层实作一 熟悉 TCP 和 UDP 段结构实作二 分析 TCP 建立和释放连接4、应用层实作一 了解 DNS 解析实作二 了解 HTTP 的请求和应答 实验前准备 本部分实验用到的是抓包协议分析软件——Wiresha
网络安全kali渗透学习 web渗透入门 WireShark抓包常用协议分析
xueshenlaila的博客
02-16 4322
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网进行数据报文交换。 这篇文章教大家WireShark抓包常用协议分析 以下有视频版还有文字版 不知道怎么操作的请看文字版的,里面详细的步骤。 关注公众号侠盗男爵回复【kali系统】 视频版↓: 网络安全/kali/黑客/web安全/渗透测试/-3-5个月网络安全全套课程-小白入门到精通!_哔哩哔哩_bilibili 文字版↓: 年底了
WireShark抓包分析
热门推荐
hebbely的博客
01-14 19万+
简述:本文介绍了抓包数据含义,有TCP报文、Http报文、DNS报文。如有错误,欢迎指正。 1、TCP报文 TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。 T
Wireshark抓包分析,从零基础到精通,收藏这篇就够了!_wireshark使用教程
最新发布
bdfcfff77fa的博客
04-10 1188
看完这篇文章,你是不是感觉Wireshark也没那么难了?只要掌握了基本概念和操作,你就可以像一位经验丰富的。
Wireshark抓包协议分析
小恒的博客
03-15 3083
Wireshark抓包协议分析简单笔记
wireshark抓包
yiwenrong的博客
12-30 1439
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出...
wireshark分析常见的网络协议
qq_61963012的博客
08-14 3013
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。
网络安全:WireShark 抓包常用协议分析
weixin_46035615的博客
04-11 1万+
网络安全:WireShark 抓包常用协议分析
WireShark 抓包常用协议分析
qq_46258964的博客
09-25 1759
wireshark抓包过滤器使用 例如: 协议过滤 比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。 tcp,只显示TCP协议的数据包列表 http,只查看HTTP协议的数据包列表 icmp,只显示ICMP协议的数据包列表 arp 显示arp协议数据包 ssh 显示ssh数据协议 ospf 显示ospf数据协议 ip过滤 ip.src ==192.168.1.104 显示源地址 ip.dst=
这年头谁还不会抓包WireShark 抓包常用协议分析送给你
CCIE21820的博客
07-27 1273
这年头谁还不会抓包WireShark 抓包常用协议分析送给你
《黑客之道》- kali LInux之WireShark抓包常用协议分析
xueshenlaila的博客
11-03 908
wireshark抓包分析
weixin_33785108的博客
06-15 372
wireshark抓包分析 wireshark是非常流行的网络封包分析软件,功能十分强大。可以抓取各种网络包,并显示网络包的详细信息。 开始界面 wireshark是捕获机器上的某一块网网络包,当你的机器上有多块网的时候,你需要选择一个网。 点击Caputre->Interfaces..出现下面对话框,选择正确的网。然后点击"St...
Wireshark-----抓包分析
HakuMaster的博客
07-13 2万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网,例如WLAN,点击确定即可;
WireShark 常用协议分析
辉小鱼的博客
11-05 2748
Wireshark(前称Ethereal)是一个网络封包分析软件。 网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark使用WinPCAP作为接口,直接与网进行数据报文交换。
Wireshark——抓包分析
qq_45951891的博客
11-04 4万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
使用Wireshark工具分析网络协议
李熠专用博客_白帽子一枚,人称低危终结者
09-22 5108
上一章,我们了解了整个网络协议的七层和四层模型。从本章开始,我们将正式进入到网络协议的学习当中,如果只是单纯地讲解理论知识,这将非常抽象,因此,学习网络协议最好的方式就是借助工具,而在网络协议抓包领域最好的工具就是Wireshark。在正式接触网络协议之前,我们应先学习Wireshark的使用以及如何通过Wireshark抓取协议包,在后面的具体的网络协议学习,Wireshark将始终陪伴着我们。 0x00 Wireshark简介 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是抓取网络
Wireshark抓包分析,看这篇就够了!
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
11-10 1万+
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网进行数据报文交...
玩转网络抓包利器:Wireshark常用协议分析讲解
ztK63LrD的博客
02-22 2962
Wireshark是一个开源的网络协议分析工具,它能够捕获和分析网络数据包,并以用户友好的方式呈现这些数据包的内容。Wireshark 被广泛应用于网络故障排查、安全审计、教育及软件开发等领域。
Wireshark 抓包常用协议分析
2302_80814292的博客
12-17 1788
实时抓包:实时捕获网络接口上的数据包。多种协议支持:支持超过 1000 种网络协议分析。强大的过滤功能:使用 BPF(Berkeley Packet Filter)语法进行数据包过滤。图形化界面:以图形化方式展示数据包的时间线、协议层次结构等。统计功能:提供各种统计信息,如协议分布、流量统计等。解密功能:支持多种加密协议(如 SSL/TLS、WPA/WPA2)的解密。数据包列表窗格:显示捕获的所有数据包列表。数据包详情窗格:显示选中数据包的详细信息,包括协议层次结构、数据包内容等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值