Wireshark是啥?别再傻傻分不清!
- 身世揭秘: Wireshark的前身,那可是1997年就诞生的Ethereal软件,绝对的老前辈!
- 核心技能: 简单来说,它就是个网络包“侦探”,能 抓取、分析、展示 网络中传输的数据包,让你对网络世界一览无余。
Wireshark的独门绝技,网络安全工程师必备!
- 网络分析,洞察秋毫:
- 监控网络通信: 实时掌握主机与各设备的数据交互情况。
- 无人值守抓包: 让你在摸鱼的时候也能默默收集数据,简直不要太爽!
- 协议分析: 深入了解各种网络协议的工作原理,成为真正的“协议专家”。
- 故障排除,手到擒来:
- 揪出网络延迟“真凶”: 快速定位网络瓶颈,告别卡顿烦恼。
- 排查应用通信故障: 找出应用程序“闹脾气”的原因,让它们乖乖听话。
- 诊断网络配置错误: 避免因配置问题导致的网络瘫痪,防患于未然。
- 安全取证,火眼金睛:
- 追踪攻击者踪迹: 在茫茫网络流量中锁定“坏人”,让他们无处遁形。
- 还原攻击手段与路径: 像福尔摩斯一样,推理出攻击者的作案手法。
- 评估安全事件影响: 快速确定安全事件造成的损失,及时止损。
Wireshark安装上手指南:新手也能变大神!
Wireshark界面,一目了然!
- 1、标题栏: 你的“战场指挥部”,显示当前分析的文件名或捕获的设备。
- 2、菜单栏: 功能大全,各种操作的入口,用过Office的都懂。
- 3、工具栏: 常用功能的“快捷键”,一键启动,效率翻倍。比如:开始/停止捕获、捕获选项、文件操作、查找数据包等。
- 4、显示过滤区域: 重点来了!在这里设置过滤器,让Wireshark只显示你关心的流量,后面会详细讲解。
- 5、Packet List面板: 数据包的“简历”,包含编号、时间、源/目的地址、协议等摘要信息。
- 6、Packet Details面板: 数据包的“体检报告”,展示数据包的详细结构和内容。
- 7、Packet Bytes面板: 数据包的“DNA”,以十六进制和ASCII码展示原始数据。
- 8、状态栏: 显示当前数据包总数和配置信息,随时掌握全局。
数据包格式:像剥洋葱一样层层解析!
-
List面板: 数据包“速览”,信息一目了然。
- NO.: 数据包的“身份证号”,独一无二。
- Time: 数据包的“出生时间”,精确到秒。
- Source: 数据包的“老家”,从哪儿来。
- Destination: 数据包的“目的地”,要到哪儿去。
- Protocol: 数据包的“语言”,用什么协议交流。
- Length: 数据包的“身材”,有多大。
- Info: 数据包的“自我介绍”,简要描述。
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mG7xJWF1FLZzlXKnJZ6UXFtibJ5czJYiae7guSWiclKa1gdwn6G0umKvJAw/640?wx_fmt=png&from=appmsg)
* Details面板: 数据包“解剖”,细节无处遁形。
* Frame: 数据帧头部信息,整个数据包的“头部”。
* Ethernet II: 数据链路层头部信息,以太网协议的“身份证”。
* Internet Protocol Version 4: 网络层头部信息,IPv4协议的“户口本”。
* Transmission Control Protocol: 传输层头部信息,TCP协议的“通信证”。
* Hypertext Transfer Protocol: 应用层信息,HTTP协议的“内容”。这个面板里的信息是Wireshark帮你格式化好的,方便你理解。就像医生给你看体检报告一样,清晰明了。
* Bytes面板: 数据包“原貌”,二进制的真相。
过滤器:让Wireshark只听你的!
捕获过滤器:掐断无关流量,专注核心数据!
网络世界流量巨大,Wireshark需要先过滤掉不重要的流量,才能更好地分析。就像矿工淘金一样,先筛掉沙子,才能找到金子。
捕获过滤器的主要语法:
- 按MAC地址筛选:
- 捕获指定MAC:
ether host 00:00:5e:00:53:00(只抓与该MAC地址相关的流量) - 捕获源/目的MAC:
ether src/dst 00:00:5e:00:53:00(只抓源或目的MAC地址为该值的流量) - 排除指定MAC:
not ether host 00:00:5e:00:53:00(排除与该MAC地址相关的流量)
- 捕获指定MAC:
- 按IP地址筛选:
- 捕获指定IPv4:
host 192.168.111.51或ip.addr eq 192.168.111.51(只抓与该IP地址相关的流量) - 捕获指定IPv6:
host 2001:DB8:0:23:8:800:200C:417A(IPv6地址的写法) - 排除指定IP:
not host 192.168.111.51(排除与该IP地址相关的流量) - 捕获源/目的地址:
src/dst host 192.168.111.51(只抓源或目的IP地址为该值的流量) - 捕获指定域名:
host www.sangfor.com.cn(抓取与该域名相关的流量) - 复杂条件:
host 192.168.111.51 or host www.sangfor.com(使用or连接多个条件)
- 捕获指定IPv4:
- 按应用筛选:
- 指定端口号:
port 80、tcp port 80(只抓取与80端口相关的流量,可以指定TCP或UDP协议) - 指定协议:
tcp、udp、http(只抓取指定协议的流量)
- 指定端口号:
显示过滤器:大海捞针,精准定位!
即使有了捕获过滤器,流量还是可能很大。显示过滤器可以让你在已经捕获的流量中,找到你真正需要的数据包。
- 显示过滤器位置:
显示过滤器的主要语法:
- 按协议过滤: 直接输入协议名称,比如:
arpiptcp
- 按应用过滤: 直接输入应用名称,比如:
httpftp
- 按特殊字段过滤: 协议或应用后面输入符号“.”,会有提示信息,根据提示输入:
- 红色: 语法错误,检查一下。
- 绿色: 语法正确,没毛病。
- 黄色: 语法正确,但可能没有结果,换个姿势试试。
比较运算符:
- 指定字段的具体内容,支持符号写法和英文写法,效果一样。
| 含义 | 符号写法 | 英文写法 |
|---|---|---|
| 等于 | = | eq |
| 不等于 | != | ne |
| 大于 | > | gt |
| 小于 | < | lt |
| 不小于 | >= | ge |
| 不大于 | <= | le |
显示过滤器语法:
-
示例:
- 指定IP地址:
ip.addr == 192.168.111.51 - 指定源IP地址:
ip.src == 192.168.111.51 - 指定目的IP地址:
ip.dst == 192.168.111.51 - tcp端口不为80:
tcp.srcport != 80 - tcp端口小于1024:
tcp.srcport < 1024
- 指定IP地址:
-
逻辑运算符:
- 可以用
and、or、not等逻辑运算符连接多个条件。
- 可以用
| 含义 | 符号写法 | 英文写法 |
|---|---|---|
| 与 | && | and |
| 或 | ||
| 异或 | ^^ | xor |
| 非 | ! | not |
实例:
-
过滤IP地址为192.168.111.51,并且HTTP数据包中包含"GET"字段的数据包:
ip.addr == 192.168.111.51 and http contains "GET"
-
添加显示列:
- 想快速浏览特定字段,不用打开每个数据包?把字段添加到List面板上!
- 选中HTTP数据包中的Host字段,右键选择“应用为列”,搞定!
-
保存过滤后的数据:
- 选择“文件->导出特定分组”,选择展示区域,导出即可。
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mGhmpCc3BIzICb7JJhYFqvc9ibGLrwzk35EiasQSBpXwz9SfJyCAzOQLkQ/640?wx_fmt=png&from=appmsg)
-
根据协议特征过滤:
arp.opcode == 1//过滤ARP请求帧arp.opcode == 2//过滤ARP应答帧tcp.flags.syn == 1//过滤SYN标记位置为1的数据包tcp.flags.fin == 1//过滤FIN标记位置为1的数据包
-
根据HTTP协议过滤:
http.host == 192.168.0.1//过滤指定主机名http.request.method == "GET"//过滤请求方法http.cookie//过滤包含cookie的数据包http contains "GET"//HTTP数据包中包含GET字段
-
根据DNS协议过滤:
dns.flags.response == 0//DNS查询dns.flags.response == 1//DNS响应
数据统计:让数据说话,揪出网络异常!
网络流量太大?我们需要对数据包进行统计分析,比如找出流量最大的主机,或者是否有大量非法请求。Wireshark的统计功能,就是你的秘密武器!
捕获文件属性:
- 点击菜单栏“统计-捕获文件属性”,查看捕获文件的总体信息。
- 包括抓包时间、使用的网卡、操作系统、每秒字节数等。
协议分级:
- 点击菜单栏“统计-协议分级”,查看协议相关信息。
- 主要看各协议的种类和占比情况,哪个协议用的最多,一目了然。
端点统计:
-
点击菜单栏“统计->Endpoints”,查看端点分类指标,比如MAC地址、IPv4、IPv6等。
- Address: 端点地址
- Packets: 数据包数量
- Bytes: 数据包大小
- Tx: 代表发送方
- Rx: 代表接收方
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mGTwmqtlw3KxVx1M7eENyBJ9qAE6A8PR7e83ibiaKhOOxBDZ3KuiaoVSuKQ/640?wx_fmt=png&from=appmsg)
-
找出数据包数量最大的IP地址: 点击列名排序,轻松搞定!
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mG2bVfNoUibRhRUmQQwLGPRRGGBKaTOPT2U27NtyGiao5iaK9gicc2SR6IZQ/640?wx_fmt=png&from=appmsg)
-
端点之间通信统计信息: 菜单栏选择“统计-对话”,一览无余。
网络会话统计:
-
通过排序,发现0.0.0.0与255.255.255.255的数据包量最大?这可能不正常!比如,可能发生了DHCP地址耗尽攻击。
-
通过各层是的应用信息,可以发现一些网络异常状况,然后进一步分析原因。
- 数据链路层: 广播包过多,可能发生了广播风暴!
- 网络层: 单个IP与其他IP均具有会话信息,该IP可能进行了工具扫描!
- 传输层: 出现了特殊端口的连接,可能已经被攻击了!
-
应用为显示过滤器:
- 发现异常?快速生成过滤条件!右键选种某行,选择“作为过滤器应用-选中-A-B(或其他)”,直接生成显示过滤器条件,并进行过滤。
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mGL1Hm9KWWpz5SkM2u4PISj7nLNg4DPbQbAJNB9LR6pQuwYia0PjOPQvA/640?wx_fmt=png&from=appmsg)
HTTP统计:
-
统计菜单栏里还有单独的HTTP统计工具,选择“统计-HTTP-请求”。
-
可以对HTTP请求中的URL进行统计,看看哪些URL被访问最多。
-
如果请求中发现了类似于xxx.com/shell.php,那就要小心了!网站可能已经被攻击者上传了木马。
IP统计:
-
在统计菜单栏中,还有IP地址的统计,选择"统计-IP Statistics-Destinations and Ports",这里可以看到针对于单个IP的统计信息,包括端口通信信息。
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mGV9hfUbibzHf9dw3sakTzwHMwVAqk5E8gYgicmBAHTUH3GxZyVaPz5yYw/640?wx_fmt=png&from=appmsg)
图形统计工具:
-
菜单栏中选择"统计-I/O图表",窗口如下:
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mGEAkImKJGAibzgcKY1hXkwFGIUL0mNHb9ZcOr2icXpPfOF2gHoSiatKEMg/640?wx_fmt=png&from=appmsg)
-
这里可能发现两个问题:一是短时间内出现了两次大流量的数据包,二是图中出现了很多TCP错误的数据包。
I/O图表配置:
-
X轴配置:
- X轴为时间轴,根据需求配置1毫秒-10分钟。勾选"一天时钟"将展示具体时间。
-
Y轴配置:
- 点击下方的"+"号来增加曲线,勾选对号才会显示。可增加过滤器、颜色、显示方式、单位等信息。
-
比如增加过滤条件,针对某一IP:
ip.dst == 10.XXX.XXX.127//下行流量ip.src == 10.XXX.XXX.127//上行流量
图形统计工具:
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mGUicKKljuIh88kIqWWH2HPSeLic3k9YNFbM6zGKt1eZnLaQyoWJWSOFMA/640?wx_fmt=png&from=appmsg)
- 可以看到,当观看视频时候,下行流量会明显增多。
- 切换单位为Bytes,可观察上行流量均是小包,而下行流量均为打包。
URL和URI:别再傻傻分不清!
URL(统一资源定位符):
- 语法规则:
scheme://host.domain:port/path/filename- scheme: 定义因特网服务的类型,最常见的是
http。 - host: 定义域主机(http的默认主机是
www)。 - domain: 定义因特网域名,比如
sangfor.com。 - port: 定义端口号,如果省略,则使用默认端口。
- path: 定义服务器上的路径(如果省略,则文档必须位于网站根目录中)。
- filename: 定义文档/资源的名称。
- scheme: 定义因特网服务的类型,最常见的是
URI(统一资源标识符):
URI,用字符串标识某一互联网资源,就像资源的“身份证”。
ftp://ftp.is.co.za/rfc/rfc1808.txthttp://www.sangfor.com.cn/rfc/rfc1808.txt
URL和URI的对比:
- URL: 告诉你资源在哪里(哪台主机、哪个路径、哪个文件夹)。
- URI: 给出具体某资源的定位路径(从资源自身出发,给出可达的路径)。
(图片URL:https://mmbiz.qpic.cn/mmbiz_png/1bsyvFohqp1g9B1vEZoe5flIRhMVN1mG4APGRVxZreLWkP5iaU6b4HyTqzI2HbLVcyQ0k04sWlKMKSjSgQbZ4Gw/640?wx_fmt=png&from=appmsg)
请求方法:告诉服务器你想干啥!
方法是为了告知服务端,该请求的意图是什么,向服务器所请求的资源下达命令。
- HTTP1.1的主要请求方法包括:
- GET: 获取资源,最常用的方法。
- POST: 传输实体主体,比如提交表单。
- PUT: 传输文件,上传文件。
- OPTIONS: 询问支持的方法,服务器支持哪些操作?
- HEAD: 获得报文首部,只获取头部信息,不获取内容。
- DELETE: 删除文件,慎用!
- TRACE: 追踪路径,用于调试。
- CONNECT: 要求用隧道协议链接代理,用于HTTPS等安全连接。
```
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
959
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
