wireshark簡介:
wireshark是一款最流行和強大的開源資料報抓包與分析工具,沒有之一。在sectools安全社群裡頗受歡迎,曾一度超越metasploit、nessus、aircrack-ng等強悍工具。該軟體在網路安全與取證分析中起到了很大作用,作為一款網路資料嗅探與協議分析器,已經成為網路執行管理、網路故障診斷、網路應用開發與除錯的必用工具。
上面是wireshark的主視窗,分三大主塊:packlist list(資料報列表)、packet details(資料報細節)、packet bytes(資料報位元組)。
首選項設定
在wireshark的首選項裡有很多設定,以方便定製,可在選單欄的edit裡的preferences裡設定,其介面如下:
包括這幾個部分:user intereface(使用者介面)、capture(捕獲)、name resolutions(名字解析)、statistics(統計)、protocols(協議)
查詢資料報:
按ctrl+n開啟查詢對話方塊
可以看到有三種查詢條件:
標記資料報:
在packet list中選中乙個資料報,右鍵選擇mark packet就可以將該資料報標記,標記後該資料報會高亮顯示。快捷鍵是選中乙個資料報,按ctrl+m,取消標記同樣是ctrl+m,
在多個被標記的資料之間切換可用shift+ctrl+n、shift+ctrl+b。
捕獲設定:
啟動wireshark後,在左邊的網路介面裡的capture optiion可以用來設定各種資料報抓取規則。
檢視端點與會話:
在wireshark的endpoints視窗裡(statistics -> endpoints)已經統計出了每乙個端點的位址、傳輸傳送資料報的數量u以及位元組數。這裡乙個很有用的地方是:單擊乙個資料報右鍵,在相關選項裡有該資料報的過濾語法規則,很值得學習,對於過濾規則學習很有用!!
網路會話是指位址a與位址b之間的會話,同樣地,可以右鍵單擊乙個會話,用以建立一些有用的過濾規則。可以在statistics -> conversations裡檢視。
協議資料的分層統計:
有時需要分析捕獲資料報中各協議所佔的比例,以分析網路流量是否正常。此時可以選擇statistics->protocol hierarchy。
跟蹤tcp資料流:
burpsuite的功能相似,wireshark也有tcp流量重組功能。右鍵單擊乙個資料報選擇follw tcp/udp stream即可重組出資料流互動過程。其中紅色表示從源位址發往目標位址,藍色反之。
wireshark的入門就簡單到這裡了。我只是簡單的介紹了一下,其功能十分強大,是資料報分析的一大利器!!要想深入學習,還需要使用者去探索嘗試,特別是在實戰中的應用,有很多的樂趣哦。後期將繼續講解wireshark高階過濾的實戰應用,也歡迎各位感興趣的同學一起交流技術:)
Wireshark抓取網路資料報分析與監聽
可以通過網路嗅探軟體 wireshark sniffer ethereal等 對網路資料進行監聽和分析,可以去捕獲乙個http資料報,分析資料報中的內容資訊。本文用wireshark進行抓包處理,wireshark是非常流行的網路抓包分析軟體,功能十分強大。可以擷取各種網路分組,顯示網路封包的詳細資...
Linux網路資料報分析
在linux下分析網路情況一般使用tcpdump命令。tcpdump命令後面一些常用引數 i eth0 這是網絡卡 w 檔名 將資料報儲存到檔案 c 100 只抓100個包 host 主機ip 只抓指定主機與本機的資料報 舉例 tcpdump c 2000 w home dg01.cap tcpdu...
Wireshark UDP資料報分析 廣播
udp協議 使用者資料報協議 udp協議是乙個簡單的面向資料報的傳輸層協議 程序的每個輸出操作都正好產生乙個 u d p資料報,並組裝成乙份待傳送的 i p資料報。udp協議的特點 udp是乙個無連線的協議 udp使用最大努力交付,不提供可靠性 udp頭部只有8個位元組 下面是udp資料報在ip資料...