一、Wireshark抓包工具簡介
Wireshark(前稱Ethereal)是一個網(wǎng)絡(luò)封包分析軟件��。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包����,并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料���。Wireshark使用WinPCAP作為接口��,直接與網(wǎng)卡進行數(shù)據(jù)報文交換���。
在過去�����,網(wǎng)絡(luò)封包分析軟件是非常昂貴的�,或是專門屬于盈利用的軟件�����。Ethereal的出現(xiàn)改變了這一切�����。在GNUGPL通用許可證的保障范圍底下���,使用者可以通過免費的途徑取得軟件與其源代碼��,并擁有針對其源代碼修改及客制化的權(quán)利�。Ethereal是全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一�。
二�����、Wireshark抓包示例
1��、下載并且安裝好Wireshark后打開軟件(本文以Wireshark Version 3.4.9 介紹)打開后我們可以看到�,Wireshark可以自動識別出電腦上面的網(wǎng)卡(包括虛擬網(wǎng)卡)�����,這里我們雙擊我們需要抓包的網(wǎng)卡����。
2、雙擊進入此界面后��,Wireshark已經(jīng)自動開始了抓包過程��,如果網(wǎng)卡在與其他網(wǎng)絡(luò)設(shè)備通訊���,我們就能看到如下圖所示的各種網(wǎng)絡(luò)協(xié)議報文����。
3、ping www.xn4i0.cn
4���、由于Wireshark抓取的是網(wǎng)卡物理層的數(shù)據(jù),所以所有通過該網(wǎng)卡收發(fā)的數(shù)據(jù)都會被Wireshark抓取��,這就讓我們從海量數(shù)據(jù)中找到我們需要關(guān)注的網(wǎng)絡(luò)包就如同大海撈針���,但是Wireshark提供了強大的數(shù)據(jù)包過濾功能��,我們就能比較輕松地找到對應(yīng)的包���。比如上面我已經(jīng)ping了我司官網(wǎng),現(xiàn)在Wireshark已經(jīng)抓取了兩萬多條報文���,只要通過在過濾器輸入”ip.addr == 101.37.40.78 && icmp“就能找到對應(yīng)的報文��。
三����、TCP報文抓包分析示例
1��、開啟Wireshark軟件的抓包功能后�����,通過電腦連接到本地搭建的回顯服務(wù)器,電腦上面的客戶端發(fā)送了一段數(shù)據(jù)到服務(wù)器���,服務(wù)器回傳到電腦上的客戶端�。
2�����、此時我們在Wireshark的過濾欄中輸入“ip.addr == 192.168.3.6”就能過濾出網(wǎng)絡(luò)報文中基于IP協(xié)議簇���,且IP地址(源地址或目標地址)為192.168.3.6的網(wǎng)絡(luò)報文���。如下圖所示:
Wireshark在封包展示界面中根據(jù)網(wǎng)絡(luò)協(xié)議模型,展示出了各層協(xié)議的重要信息如下圖所示:
Frame:表示物理層
Ethernet II :數(shù)據(jù)鏈路層信息����,包括源主機MAC,目標主機MAC與協(xié)議類型如IPV4(0x0800)
Internet Protocol Version 4:IP協(xié)議幀信息����,包括源主機IP地址,目標主機IP地址等
Transmission Control Protocol:TCP協(xié)議相關(guān)信息����,包括源端口與目標端口號��,接收窗口大小等
3�、TCP握手過程
四���、Wireshark常用過濾器設(shè)置
1、Wireshark中的邏輯運算符
1.1比較運算符如:== (等于)��、���!=(不等于) ��、>(大于) �����、<(小于) ���、>=(大于等于) 、<=(小于等于)
ip.src == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文
1.2邏輯運算符如:&&(與)�����、||(或)、?���。ǚ牵?/span>
ip.src == 192.168.3.6 && && tcp.srcport == 8001,則只顯示報文源主機地址為192.168.3.6且源端口為為8001的報文
2、網(wǎng)絡(luò)協(xié)議過濾
根據(jù)網(wǎng)絡(luò)協(xié)議過濾報文��,即在抓包過濾框中輸入?yún)f(xié)議相關(guān)字段即可����,包括”TCP”,”UDP””HTTP””ICMP”等。
3�����、MAC地址過濾
eth.addr == 38:3b:26:88:02:dd 過濾源主機MAC地址或者目標主機MAC地址為38:3b:26:88:02:dd的報文
eth.src== 38:3b:26:88:02:dd 過濾源主機MAC地址為38:3b:26:88:02:dd的報文
eth.dst== 38:3b:26:88:02:dd 過濾目標主機MAC地址為38:3b:26:88:02:dd的報文
4���、ip地址過濾
Ip.addr == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文
Ip.src== 192.168.3.6 過濾源主機IP地址為192.168.3.6的報文
ip.dst == 192.168.3.240 過濾目標主機IP地址為192.168.3.240的報文
5��、端口過濾
tcp.port==80 過濾基于TCP協(xié)議且目標端口號或源端口號為80的報文
udp.srcport == 8001 過濾基于UDP協(xié)議且端口號為8001的報文
tcp.dstport == 8001 過濾基于TCP協(xié)議且目標端口號為8001的報文
6�����、Http模式過濾
http.request.method=="GET", 過濾基于http協(xié)議且http請求方式為”GET”的報文
今天的分享就到這里啦�����,億佰特人每一天都致力于更好的助力物聯(lián)化�、智能化、自動化的發(fā)展���,提升資源利用率�����,更多產(chǎn)品更多資料�,感興趣的小伙伴可以登錄我們的官網(wǎng)進行了解���,還有客服小姐姐在線答疑哦!
