设为首页收藏本站
查看: 664|回复: 5

Wireshark详细抓包教程

[复制链接]
  • TA的每日心情
    开心
    2020-5-8 12:53
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    发表于 2020-5-4 14:58:08 | 显示全部楼层 |阅读模式
    Wieshark是什么?
    wireshark是一个免费开源的网络数据包分析软件,功能十分强大。可以截取各种网络数据包,显示网络数据包的详细信息。
    下载地址:https://www.wireshark.org/download.htmlwireshark
    页面介绍
    1.开始页面
    20200503193854949.png
    2.wireshark是捕获机器上的一块网卡的网络包,当你有多块网卡时,选择其中的一个。
       当你只有一块网卡时,选择网卡eth0。(默认选择网卡后自动抓包)

    wireshark窗口介绍
    20200503194109233.png
    wireshark主要分为5个界面
    20200503195551510.png
    1.Display Filter(显示过滤器) ,用于过滤
    2.Packet list Pane(数据包列表),显示捕捉到的数据包,有效IP和目标IP,端口号
    3.Packet Details Pane(数据包详细信息) ,显示数据包中的字段
    4.Dissector Pane(16进制数据)
    5.Miscekkanous(地址栏)
    wireshark过滤器掌握过滤技能是非常重要的,初学者使用wireshark进行抓包时,由于抓到的数据包的种类繁多,很难找到自己需要的部分。过滤器会帮助我们迅速找到我们需要的信息。
    过滤器有两种。
    20200504105912784.png
    20200504105951499.png
    一种是显示过滤器,,用来在我们捕获的数据包中找到我们需要的信息。(图二)
    另一种是捕获过滤器,用来过滤捕获的数据包。在开始页面Capture中     (图一)
    过滤表达式的规则
    1.协议过滤比如tcp,只显示捕获TCP协议
    2.IP过滤比如 ip.src ==10.1.1.1  只显示源地址为10.1.1.1的数据包   
                        ip.dst== 10.1.1.1  只显示目的地址为10.1.1.1的数据包
    3.端口过滤tcp.port == 80       只显示目的地址80端口的TCP数据包
                       tcp.srcport == 80  只显示源地址80端口的TCP数据包
    4.http模式过滤http.request.method == "GET"   ,只显示HTTP GET方法。
    5.逻辑运算符为 AND/OR(不分大小写)ip.dst ==10.1.1.1 and port == 80  只显示目标IP为10.1.1.1且端口为80的数据包
    数据包列表
    数据包列表的面板中显示,编号,时间,源地址,目标地址,协议,长度,以及数据包信息。从图中你可以看到不同的协议不同颜色,并且协议连接不成功和成功颜色也不一样。
    20200504112316615.png
    数据包详细信息
    在这个面板中,我们可以查看协议中的任意一个字段。各行信息分别为
    Frame: 物理层的数据帧概况
    Ethernet II: 数据链路层以及以太网头部信息
    Internet Protocol Version 4: 互联网Ip包头部信息
    Transmission Control Protocol :传输层T的数据段头部信息,此处是TCP
    Hypertext Transfer Protocol 应用层信息,此处是HTTP协议
    数据包具体内容(本次用的例子TCP协议)
    202005041252342.png
    4.分析三次TCP握手过程首先用wireshark进行抓包,下图是我用wireshark抓到的TCP三次握手的数据包。
    (双击抓到的包就可以看到详细信息或者在页面第二个方框中也可以看到详细信息)
    20200504131645597.png
    第一次握手数据包
    客户端发送一个TCP数据包,标志位为SYN,序列号为0,代表客户端请求建立连接。如下图
    20200504132348721.png
    第二次握手数据包服务器发挥确认包,标志位为SYN,ACK,将确认序号(Acknowledgement Number)设置为客户的ISN+1,如下图
    20200504132408777.png
    第三次握手的数据包客户端再次发送确认包(ACK),SYN标志位为0,ACK标志位1,并且把服务器发来ACK的序号字段+1,放在确认字段中发送给对方,并且在数据段中的ISN+1,如下图
    20200504132429485.png
    这样就完成了TCP三次握手,建立了连接!   
         关注我,以后还会介绍Kali的其他工具!
  • TA的每日心情
    开心
    昨天 17:02
  • 签到天数: 90 天

    [LV.6]常住居民II

    发表于 2020-5-4 15:02:10 | 显示全部楼层
    呵呵呵,楼主继续努力!!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-6-20 21:50
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2020-5-4 15:20:48 | 显示全部楼层
    已收藏,谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-5-8 12:53
  • 签到天数: 9 天

    [LV.3]偶尔看看II

     楼主| 发表于 2020-5-4 15:55:10 | 显示全部楼层
    支持 发表于 2020-5-4 15:20
    已收藏,谢楼主分享

    排版不太好,有点着急,从我的CSDN上搬过来的。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-6-8 14:37
  • 签到天数: 25 天

    [LV.4]偶尔看看III

    发表于 2020-5-4 19:01:24 | 显示全部楼层
    谢谢大佬讲解,爱你呦
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-3 09:28
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2020-6-12 13:14:01 来自手机 | 显示全部楼层
    谢谢楼主分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /3 下一条

    红盟社区--中国红客联盟 

    Processed in 0.068352 second(s), 20 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表