wireshark是乙個免費開源的網路資料報分析軟體,功能十分強大。可以擷取各種網路資料報,顯示網路資料報的詳細資訊。
1.開始頁面
2.wireshark是捕獲機器上的一塊網絡卡的網路包,當你有多塊網絡卡時,選擇其中的乙個。
當你只有一塊網絡卡時,選擇網絡卡eth0。(預設選擇網絡卡後自動抓包)
wireshark視窗介紹
wireshark主要分為5個介面
1.display filter(顯示過濾器) ,用於過濾
2.packet list pane(資料報列表),顯示捕捉到的資料報,有效ip和目標ip,埠號
3.packet details pane(資料報詳細資訊) ,顯示資料報中的字段
4.dissector pane(16進製制資料)
5.miscekkanous(位址列)
掌握過濾技能是非常重要的,初學者使用wireshark進行抓包時,由於抓到的資料報的種類繁多,很難找到自己需要的部分。
過濾器會幫助我們迅速找到我們需要的資訊。
過濾器有兩種。
一種是顯示過濾器,,用來在我們捕獲的資料報中找到我們需要的資訊。(圖二)
另一種是捕獲過濾器,用來過濾捕獲的資料報。在開始頁面capture中 (圖一)
過濾表示式的規則
1.協議過濾
比如tcp,只顯示捕獲tcp協議
2.ip過濾
比如 ip.src ==10.1.1.1 只顯示源位址為10.1.1.1的資料報
ip.dst== 10.1.1.1 只顯示目的位址為10.1.1.1的資料報
3.埠過濾
tcp.port == 80 只顯示目的位址80埠的tcp資料報
tcp.srcport == 80 只顯示源位址80埠的tcp資料報
4.http模式過濾
http.request.method == "get" ,只顯示http get方法。
5.邏輯運算子為 and/or(不分大小寫)
ip.dst ==10.1.1.1 and port == 80 只顯示目標ip為10.1.1.1且埠為80的資料報
資料報列表的面板中顯示,編號,時間,源位址,目標位址,協議,長度,以及資料報資訊。從圖中你可以看到不同的協議不同顏色,並且協議連線不成功和成功顏色也不一樣。
在這個面板中,我們可以檢視協議中的任意乙個字段。
各行資訊分別為
frame: 物理層的資料幀概況
ethernet ii: 資料鏈路層以及乙太網頭部資訊
internet protocol version 4: 網際網路ip包頭部資訊
transmission control protocol :傳輸層t的資料段頭部資訊,此處是tcp
hypertext transfer protocol 應用層資訊,此處是http協議
資料報具體內容(本次用的例子tcp協議)
首先用wireshark進行抓包,下圖是我用wireshark抓到的tcp三次握手的資料報。
(雙擊抓到的包就可以看到詳細資訊或者在頁面第二個方框中也可以看到詳細資訊)
第一次握手資料報
客戶端傳送乙個tcp資料報,標誌位為syn,序列號為0,代表客戶端請求建立連線。如下圖
第二次握手資料報
伺服器發揮確認包,標誌位為syn,ack,將確認序號(acknowledgement number)設定為客戶的isn+1,如下圖
第三次握手的資料報
客戶端再次傳送確認包(ack),syn標誌位為0,ack標誌位1,並且把伺服器發來ack的序號欄位+1,放在確認欄位中傳送給對方,並且在資料段中的isn+1,如下圖
這樣就完成了tcp三次握手,建立了連線!
關注我,以後還會介紹kali的其他工具!
wireshark抓包教程
1 選擇要抓包的網路 2 設定捕獲過濾器 捕獲過濾器表示式作用在wireshark開始捕獲資料報之前,只捕獲符合條件的資料報,不記錄不符合條件的資料報。捕獲過濾器表示式沒有像顯示過濾器表示式那樣明顯的規律,但寫法不多所以也不難 而且除非全部捕獲要占用的磁碟空間實現太大,且你非常明確過濾掉的資料報是你...
Wireshark資料抓包教程之認識捕獲分析資料報
當我們對wireshark主視窗各部分作用了解了,學會捕獲資料了,接下來就該去認識這些捕獲的資料報了。wireshark將從網路中捕獲到的二進位制資料按照不同的協議包結構規範,顯示在packet details面板中。為了幫助使用者能夠清楚的分析資料,本節將介紹識別資料報的方法。在wireshark...
fiddler手機抓包教程
序言 記錄一下自己第一次使用fiddler抓取手機的資訊,做乙個備忘 實現步驟 一 首先設定一下fiddler,使其對https協議進行抓包 二 然後設定fidder使得fiddler支援遠端計算機連線 也及時安卓 ios 別人的電腦之類的 這樣fiddler就已經設定好了,對了如果要抓包成功就必須...