wireshark抓包新手使用教程,wireshark抓包怎么用

作者:农码一生来源: cnblogs.com/zhaopei/p/12152139.html前言关于抓包我们平时使用的最多的可能就是Chrome浏览器自带的Ne

作者:农马·埃辛

来源:cnblogs.com/zhaopei/p/12152139.html

前言

说到抓包,我们平时用得最多的可能就是Chrome浏览器自带的网络面板(浏览器中按f12就会弹出)。此外,很多人使用Fiddler。这也是一个非常好的抓包工具。

然而,这两者只能捕获和分析HTTP和HTTPS数据包。如果你想分析底层协议(比如TCP的三向握手),你应该使用今天要讲的工具Wireshark。这是一个非常强大的软件,它也是开源的,并且有免费的中文语言包。

安装和基本使用

Wireshark开源地址:https://github.com/wireshark/wireshark

Wireshark下载地址:https://www.wireshark.org/download,之前的版本有:

今天我们将安装最新版本3.2.0。选择“下一步”默认安装。安装后默认是中文版。

开始抓包

eb07286287e648f389fcad1142577a1c~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=VjYsF902C1xmNtah9wYKHomr3ac%3D

显示过滤器

660cd79375d34cec826a7721494ea24e~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=leSmz1dwnCCQNsuyONUs4eqn1ZI%3D

第一部分的内容很快就会过去,你会发现你找不到任何你想要分析的东西。在这里您可以使用显示过滤器来仅查看您想查看的内容。

在显示过滤器中输入http.request.method==’GET’,使用Chrome浏览器访问http://fanyi-pro.baidu.com/index(专门找到的http网站)。

90f0a3e7fc3a41ec8721a14ba971c7b8~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=oR6QISiuKWj7xi0vTVNTVBO5Qis%3D

除了过滤Get请求外,常用的显示过滤器还包括:

tcp、udp 前者表示仅显示TCP,后者表示仅显示UDP。您还可以使用!tcp,它表示tcp 以外的其他内容。也可以是tcp或udp,表示显示tcp和udp。 ip.src==192.168.1.120 和ip.dst==208.101.60.87,ip.src 代表客户端IP(源地址IP),ip.dst 代表服务器IP(目的地址IP)。 | udp.srcport==80,tcp.port表示tcp端口为80,udp.srcport表示udp源端口为80。 || or 相当于or,and 相当于and。 (还有tcp.srcport、tcp.dstport等)

捕获过滤器

显示过滤器是指捕获所有经过网卡的数据包并过滤,显示时显示出来。显然,如果流量太大,就会捕获太多内容,过滤速度也会很慢。

因此,您可以在捕获阶段过滤掉无用的流量。

UDP、TCP 前者表示仅显示TCP,后者表示仅显示UDP。您还可以使用!tcp,它表示tcp 以外的其他内容。也可以是tcp或udp,表示显示tcp和udp。 host 192.168.1.110,表示只捕获IP地址为192.168.1.110的数据包(这里的语法与显示过滤器不同;注意)dst端口443而不是端口80或端口53,代表端口过滤(这里的语法)相同作为显示过滤器)请注意,显示过滤器是不同的)a4676da755d542b8b3d853f2f4682095~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=oWnvqkhiz8Q7vDHR6gwB785D6Gk%3D

着色规则

显示第一部分内容。数据包列表有不同的背景颜色。不同的颜色代表不同的含义。浅蓝色代码UDP协议,红色文字,黑色背景代表有问题的数据包。有关更具体的规则,请参阅图表着色规则。

087e1dd128e64b5e8c402aa2622ed2a6~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=KehdluSfQ%2B8rxIrmhjqEs5dCBDw%3D

抓取localhost(环回地址)

localhost实际上使用了npcap环回适配器网卡(loopback网卡),并实际捕获了该网卡上的数据包。

因此,只要捕获时选择了网卡,Wireshark就可以可靠地捕获来自环回地址(例如localhost)的数据包。

c1d4d46136be40d889f27e505af62d99~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=m84UmqKK8V5ylz1UqJVArjiU%2BWU%3D

抓取移动设备流量

如果您要捕获移动设备,请先打开笔记本电脑的Wi-Fi 热点。抓包对应的虚拟网卡,最后用手机连接Wi-Fi抓包。

Win10自带WiFi热点,无需寻找第三方WiFi热点软件。如果您的手机无法连接,请尝试关闭笔记本电脑的防火墙。

5a8417c35bec4d95a0ede6b1b3629a7a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=ER7%2FKkzPUltWRq62SdanRcyaSYg%3D

TCP/IP四层协议

6806e4cc6ea74636852e43fccaffb9fc~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=VMlyDpe29t3giw9ouAORfHl%2FqZg%3D

下面的动画展示了每一层对应的数据。

7be88230e6054460b9368c26748b7df1~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=voG4po7fsc1O%2FJpTQ0EdLTzMSfM%3D

从上面的动画我们可以看到,从应用层到传输层,再从网络层到以太网层,相应的数据包也依次进行。

您可以想象应用程序层数据被传递,在它经过的每一层都包装一个新的信封。它等待数据发送到目标主机,每次前进到下一层时打开信封,最后到达初始数据,即应用层。

f99f99b8f6e44d30967491be5c5fa4db~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=Ju1mKCxCixsuZBvuWHltJsUrKAA%3D

TCP三次握手

很多人都听说过三向握手,但没有见过,今天我们就来了解一下。

三次握手过程如下: 1. 客户端发送同步SYN标志和序列号Seq(a)。 2. 服务器响应SYNACK、Seq(b)、Ack(a+1)。 3. 客户端SYN、Seq(a+1))、Ack(b+1)

e557836c104d426f923799b89ce05843~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=f%2FxQ7HL6oIsnIzJdDxEQDRCbQF4%3D

现在我将向您展示如何使用Wireshark进行观察。以地址http://fanyi-pro.baidu.com/为例。

首先,打开Chrome,输入地址,按F12打开浏览器的网络面板,刷新页面,在面板中找到服务器IP。打开Wireshark并开始捕获数据包,使用显示过滤器仅显示IP地址对应的数据。

abef69c0be504ed39b53130b9addd8c2~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=JzHHLs8Raq2UDqh%2FnfJlHqOP7Bw%3D

eef59254450b4b1dab8bdaa90d994d44~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=HSGfk19axrCK%2BeEBerWpiceOJDo%3D

839749fca5224a389069b8e0c8d80340~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=9s7ziPdwT7r7RFVllg6YP7v285s%3D

TCP四次挥手

除了三次握手之外,还有相应的四次挥手。我不知道我的网络是否不好,但是当我“摇动”它时(就像上面提到的红色文本和黑色背景的数据包),我总是会遇到重传错误和干扰。下面是我在本地环境编写代码时抓包的效果。

与握手不同,挥手意味着发送FIN 标志来断开连接,其他一切都几乎相同。

860394aa23bd4cd49cd65c8abc682235~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=zTYh3U12vkRjRJWjy%2Bz9wij7fmI%3D

Wireshark抓包如下

1f38398590054c1baf1d299a32e70ec7~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=zmWsH3KQmRlFUFrwwdVBEhtink0%3D

HTTPS的抓包

由于HTTPS 在HTTP 的基础上添加了SSL 加密层,因此Wireshark 会捕获密文。你看不到请求参数或响应结果,甚至URL链接都是密文。

要使用Wireshark 捕获明文数据,您可以执行以下步骤:

1、Windows电脑配置环境变量SSLKEYLOGFILE D:\testssl.txt

ee54e58fcaa042d78f459fe1fcfc87e6~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=R%2BUDaVWupgkG1Pw9aKXNyu2qBnM%3D

2. Wireshark编辑器-设置-协议-TLS 选择D:\testssl.txt作为最后一个文件。

a37e092089514f54905e421bd35d61b7~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=4HH1D8gXWu2nE%2FTQ3kFoyul6kpA%3D

对于HTTP2,您可以执行http2.headers.method==’GET’ 或http2.headers.method==’POST’。对于HTTP,可以执行http.request.method==’GET’过滤。

UDP协议

除了捕获TCP数据包外,Wireshark还可以捕获UDP数据包。

283e22e9db88479baa8d44e47768db05~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=qK4qf3gxT3Fa%2F768503NpopM6sw%3D

其实这个抓包就是一个BACnet消息,而这个BACnetIP是一个基于UDP的协议。

ModBusTcp协议

c0a7ad15c8d94332aeb841fd552bdff5~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1717845472&x-signature=cfJ%2Fpc3C4OW2C90Gt1h2PapugX0%3D

结束

授人以鱼不如授人以渔。

Wireshark可以捕获和分析常见HTTP、HTTPS、TCP和其他协议的数据包,以及工业BACnet、ModBus和S7Communication等PLC协议。

参考

cnblogs.com/TankXiao/archive/2012/10/10/2711777.htmljianshu.com/p/d3725391af59blog.csdn.net/qq_38950316/article/details/81087809

原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/86170.html

(0)
小条's avatar小条
上一篇 2024年6月1日 下午7:17
下一篇 2024年6月1日 下午7:18

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注