2. 程式人生 > >wireshark使用

wireshark使用

阿新 發佈:2017-05-26
查看大圖 列表 地址 fiddler 三次 capture 面板 開始 mission

wireshark是非常流行的網絡封包分析軟件,功能十分強大。可以截取各種網絡封包,顯示網絡封包的詳細信息。使用wireshark的人必須了解網絡協議,否則就看不懂wireshark了。
為了安全考慮,wireshark只能查看封包,而不能修改封包的內容,或者發送封包。

wireshark能獲取HTTP,也能獲取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的內容,總結,如果是處理HTTP,HTTPS 還是用Fiddler, 其他協議比如TCP,UDP 就用wireshark.

技術分享 Wireshark(網絡嗅探抓包工具) v1.4.9 中文版(包含中文手冊+主界面的操作菜單) 評分: 2.7 類別: 遠程監控 大小:22M 語言: 中文
查看詳細信息 >>


wireshark 開始抓包

開始界面

技術分享

wireshark是捕獲機器上的某一塊網卡的網絡包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。

點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。然後點擊"Start"按鈕, 開始抓包

技術分享

Wireshark 窗口介紹

技術分享

WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器), 用於過濾

2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,端口號。 顏色不同,代表

3. Packet Details Pane(封包詳細信息), 顯示封包中的字段

4. Dissector Pane(16進制數據)

5. Miscellanous(地址欄,雜項)

第 2 頁 Wireshark 顯示過濾

技術分享

使用過濾是非常重要的, 初學者使用wireshark時,將會得到大量的冗余信息,在幾千甚至幾萬條記錄中,以至於很難找到自己需要的部分。搞得暈頭轉向。

過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

過濾器有兩種,

一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄

一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置

保存過濾

在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。比如"Filter 102",

技術分享

Filter欄上就多了個"Filter 102" 的按鈕。

技術分享

過濾表達式的規則

表達式規則

1. 協議過濾

比如TCP,只顯示TCP協議。

2. IP 過濾

比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102,

ip.dst==192.168.1.102, 目標地址為192.168.1.102

3. 端口過濾

tcp.port ==80, 端口為80的

tcp.srcport == 80, 只顯示TCP協議的願端口為80的。

4. Http模式過濾

http.request.method=="GET", 只顯示HTTP GET方法的。

5. 邏輯運算符為 AND/ OR

常用的過濾表達式

過濾表達式 用途
http 只查看HTTP協議的記錄
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目標地址是192.168.1.102

封包列表(Packet List Pane)

封包列表的面板中顯示,編號,時間戳,源地址,目標地址,協議,長度,以及封包信息。 你可以看到不同的協議用了不同的顏色顯示。

你也可以修改這些顯示顏色的規則, View ->Coloring Rules.

技術分享

封包詳細信息 (Packet Details Pane)

這個面板是我們最重要的,用來查看協議中的每一個字段。

各行信息分別為

Frame: 物理層的數據幀概況

Ethernet II: 數據鏈路層以太網幀頭部信息

Internet Protocol Version 4: 互聯網層IP包頭部信息

Transmission Control Protocol: 傳輸層T的數據段頭部信息,此處是TCP

Hypertext Transfer Protocol: 應用層的信息,此處是HTTP協議

第 3 頁 wireshark與對應的OSI七層模型

技術分享

TCP包的具體內容

從下圖可以看到wireshark捕獲到的TCP包中的每個字段。

技術分享

第 4 頁 實例分析TCP三次握手過程

看到這, 基本上對wireshak有了初步了解, 現在我們看一個TCP三次握手的實例

三次握手過程為

技術分享

這圖我都看過很多遍了, 這次我們用wireshark實際分析下三次握手的過程。

打開wireshark, 打開瀏覽器輸入 http://www.cr173.com

在wireshark中輸入http過濾, 然後選中GET /tankxiao HTTP/1.1的那條記錄,右鍵然後點擊"Follow TCP Stream",

這樣做的目的是為了得到與瀏覽器打開網站相關的數據包,將得到如下圖

技術分享

圖中可以看到wireshark截獲到了三次握手的三個數據包。第四個包才是HTTP的, 這說明HTTP的確是使用TCP建立連接的。

第一次握手數據包

客戶端發送一個TCP,標誌位為SYN,序列號為0, 代表客戶端請求建立連接。 如下圖

技術分享

第二次握手的數據包

服務器發回確認包, 標誌位為 SYN,ACK. 將確認序號(Acknowledgement Number)設置為客戶的I S N加1以.即0+1=1, 如下圖

技術分享

第三次握手的數據包

客戶端再次發送確認包(ACK) SYN標誌位為0,ACK標誌位為1.並且把服務器發來ACK的序號字段+1,放在確定字段中發送給對方.並且在數據段放寫ISN的+1, 如下圖:

技術分享

就這樣通過了TCP三次握手,建立了連接

wireshark使用

相關推薦

wireshark

知識 cccccc 普通 esp 網絡管理員 相關 left 網絡管理 http請求 一、簡介 Wireshark(前稱Ethereal)是一個網絡封包分析軟件。網絡管理員使用Wireshark來檢測網絡問題,網絡安全工程師使用Wireshark來檢查資訊安全相關問題,開

wireshark 三次握手

nbsp 過濾 服務器 null tcp content image -- not found wireshark 三次握手簡介 192.168.18.120 IP地址為我的本機虛擬機IP地址 過濾設置:ip.addr == 192.168.18.120 (ip.addr

Linux網絡編程--wireshark分析TCP包頭的格式

一點 linux網絡編程 協議 相關 enter 流控 問題 如果 sum 摘要: 本文簡介了TCP面向連接理論知識,具體講述了TCP報文各個字段含義。並從Wireshark俘獲分組中選取TCP連接建立相關報文段進行分析。 一、概述 TCP是面向連接

5.EVE-NG關聯SecureCRT,VNC,Wireshark

網絡模擬器 仿真平臺 gns3 模擬器 eve-ng 文章列表(關註微信公眾號EmulatedLab,及時獲取文章以及下載鏈接)1、EVE-NG介紹(EVE-NG最好用的模擬器,仿真環境時代來臨!)2、EVE-NG安裝過程介紹3、EVE-NG導入Dynamips和IOL4、EVE-NG導入

wireshark對響應頭發送順序的誤導

技術 tcp 響應頭 抓包 通過tcpdump抓包,然後拿到wireshark分析已成為常用的技術手段,wireshark人性化的界面和功能設計,為包分析提供了諸多便利條件。不過調整後的顯示也會為看包人員帶來一些誤解,拿一個HTTP請求看,通過wireshark看的包情況如下:...

wireshark使用

查看大圖 列表 地址 fiddler 三次 capture 面板 開始 mission wireshark是非常流行的網絡封包分析軟件,功能十分強大。可以截取各種網絡封包,顯示網絡封包的詳細信息。使用wireshark的人必須了解網絡協議,否則就看不懂wireshark了。

wireshark抓文件上傳的包的結果記錄

col test alt ipa submit 是什麽 技術 key txt 如果我們再一個表單中放了一個text的input 還放了一個file的input進行文件上傳,此時用wireshark抓到的包應該是什麽樣子的呢 html代碼 <form actio

一站式學習Wireshark第六章

客戶端和服務器 所在 方式 判斷 時序 har 思路 發現 使用 在某些情況下,丟包可能並不是造成延時的原因。你可能會發現盡管兩臺主機之間通訊速度很慢,但這種慢速並沒有伴隨著TCP重傳或是重復ACK的征兆。在這種情況下,需要使用另一種方式來定位高延時點。 查找高延時點最有效

一站式學習Wireshark第二章

forbidden 快速 pro 幫助 shark sha 客戶 echo 從服務器 TCP: TCP/IP通過三次握手建立一個連接。這一過程中的三種報文是:SYN,SYN/ACK,ACK。 第一步是找到PC發送到網絡服務器的第一個SYN報文,這標識了TCP三次握手的開始。

WireShark分析TCP HTTP

port 過濾 邏輯 wireshark 邏輯運算符 實例 1.10 模式 get 過濾很關鍵: 1. 協議過濾 比如TCP,只顯示TCP協議。HTTP,只顯示HTTP協議 2. IP 過濾 比如 ip.src ==192.168.1.102 顯示源地址為192.168.1

windows下使用Wireshark調試chrome瀏覽器的HTTP/2流量

ogl tps bug files 環境變量設置 erp res -m brush 1.在Wireshark官網(https://www.wireshark.org/#download)下載對應的Wireshark安裝包,進行安裝 2.增加系統環境變量設置(計算機 -- 右

一站式學習Wireshark(一):Wireshark基本用法

11g 實現 alt href ascii 根據 無線網絡 完成 analyze 按照國際慣例,從最基本的說起。 抓取報文: 下載和安裝好Wireshark之後,啟動Wireshark並且在接口列表中選擇接口名,然後開始在此接口上抓包。例如,如果想要在無線網絡上抓取流量

Wireshark 、HTTPWatch、Fiddler

抓包 協議 httpwatch wireshark fiddler Wireshark - 網絡封包分析軟件 網絡封包分析軟件的功能是擷取網絡封包,並盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。網絡管理員使用Wiresh

wireshark 學習 1

ifconf wlan fig bsp con del 正在 type res wireshark 調試WiFi 安裝之後的啟動腳步。 #!/bin/bash iw dev mon0 del iw dev wlp3s0 interface add mon0 type

wireshark錯誤QT: XKEYBOARD extension not present on the X server 和/usr/bin/dumpcap permission denied

rmi -a com configure cnblogs bsp 錯誤 mpc pca 錯誤信息如上。改為安裝wireshark-gtk即可 執行 sudo dpkg-reconfigure wireshark-common sudo gpasswd -a $U

deepin linux解決wireshark權限問題

usr wireshark pcap deep 可執行 png linu 什麽 passwd 深度商店安裝完wireshark後抓包會報錯,屬於權限問題,開啟什麽也不管用。 因為wireshark分析器的核心文件是/usr/bin/dumpcap的可執行文件,所以主要是對

基於 Wireshark 學習 TCP 三次握手

tcp Wireshark(前稱Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,並盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。 同類型的軟件有:cain、sniffer WinPcap是用於網絡封包抓取的一

Wireshark解密部分瀏覽器https通信

ges 方法 支持 program pre www pro 密鑰 tps 現在介紹一種Chrome,Firefox支持的方法 設置SSLKEYLOGFILE環境變量,在訪問https網頁時,瀏覽器會記錄對稱會話密鑰,通過此文件結合Wireshark可進一步解密https通

Wireshark抓包分晰域名

-c logs http 下使用 png 播放 data 包含 adb Tcpdump+Wireshark配合使用,可以很方便的抓包分晰安卓系統輸出域名,下面簡單記錄下使用方法。 tcpdump抓包方法: android系統有很多版本,相對應的tcpdump也有相對應的版本

Wireshark 捕捉本地數據 --WinPcap切換NPcap

但是 tle bsp org loopback wire back oop itl Wireshark默認匹配安裝的是WinPcap,但是WinPcap有個缺點,不能抓取本地回環數據 NPcap是在WinPcap的基礎上進行優化開發的,可以抓取本地數據 如果已安裝Win