软件介绍
1、Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
2、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
3、在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU GPL通用许可证的保障范围底下,用户可以以免费的代价取得软件与其代码,并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。
软件特色
支持的协议
Wireshark在支持协议的数量方面是出类拔萃的,目前已提供了超过上千种种协议的支持。
用户友好度
Wireshark的界面是数据包嗅探工具中最容易理解的工具之一。基于GUI,并提供了清晰的菜单栏和简明的布局。
免费
由于Wireshark是开源的,它在价格上面是无以匹敌的,Wireshark是遵循GPL协议发布的自由软件,任何人无论出于私人还是商业目的,都可以下载并且使用 Wireshark。
程序支持
Wireshark网页上给出了许多种程序支持的相关链接,包括在线文档、支持与开发wiki、FAQ,并可以注册Wireshark开发者都关注的邮件列表。
支持的操作系统
Wireshark对主流的操作系统都提供了支持,其中包括Windows、Mac OSX以及基于Linux的系统。
软件亮点
网络管理员使用 Wireshark 来检测网络问题,网络安全工程师使用 Wireshark 来检查资讯安全相关问题,开发者使用 Wireshark 来为新的通讯协定除错,普通使用者使用 Wireshark 来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……
Wireshark 不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark 不会产生警示或是任何提示。然而,仔细分析 Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。
软件优势
1、Wireshark拥有许多强大的特性:
包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;
2、它更支持上百种协议和媒体类型:
拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。
使用说明
1.确定 Wireshark 的位置
如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
2.选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
3.使用捕获过滤器
通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
4.使用显示过滤器
通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
5.使用着色规则
通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
6.构建图表
如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
7.重组数据
Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
怎么抓包
在这里为大家介绍一下Wireshark电脑版中如何开始抓包,得益于该软件强大的功能以及贴心的界面设计,整个操作步骤并不复杂。我们可以直接开始抓包,也可以进行一些设置,下面来看看具体的步骤吧。
选择需要抓取的网卡接口,点击抓取网络接口卡选择按钮。
如果需要进行特别的配置,则需要先进行抓包前的配置操作,点击图中的配置操作按钮,进入到抓包配置操作界面,进行相应配置;配置完成后点击开始抓包。
开始抓包后,可以看到各通过该网络接口的数据报文被抓取到,如果想要只看自己关心的数据包,则可以在"Filter"栏中输入过滤条件即可;过滤条件有多种,具体可以在下文查看。
如果没有抓取到想要的数据包,则点击重新抓取按钮即可;或者抓取到个人需要的数据包之后,可以点击红色的停止按钮即可。
怎么过滤ip
Wireshark电脑版中提供了很多过滤器,用户可以根据需要自行配置,而且只需在过滤栏中输入指令就能立即生效,能够节省很多人力筛选的时间。很多朋友不太清楚都有哪些过滤器,因此小编为大家带来了我们常用的一些过滤指令。
过滤源ip、目的ip
在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1
端口过滤
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包
协议过滤
比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议
http模式过滤
如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"
连接符and的使用
过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。
如何分析数据包
(1)捕获访问网站的数据包,并保存该文件名为http-wireshar.pcapng。
(2)接下来通过该捕获文件中的数据,分析访问Web的整个过程。在该捕获过程中,将包含DNS请求、响应、TCP三次握手等数据。
(3)在该界面31帧,是DNS将网站解析为一个IP地址的数据包(被称为一个“A”记录)。32帧表示返回一个与主机名相关的IP地址的DNS响应包。如果客户端支持IPv4和IPv6,在该界面将会看到查找一个IPv6地址(被称为“AAAA”记录)。此时,DNS服务器将响应一个IPv6地址或混杂的信息。
说明:31帧是客户端请求百度,通过DNS服务器解析IP地址的过程。标识为“A”记录。
32帧是DNS服务器回应客户端请求的过程。标识为response.
(4)如图所示,在该界面看客户端和服务器之间TCP三次握手(33、34、35帧)和客户端请求的GET主页面(36帧)。然后服务器收到请求(37帧)并发送响应包(38帧)。
说明:33帧是客户端向服务器发送TCP请求建立连接。标识为SYN。
34帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN,ACK。
35帧是客户端回应服务器发送确认包的过程,将于服务器建立连接。标识为ACK。
36帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。
37帧是服务器相应客户端请求的过程,收到请求。标识为ACK。
38帧是服务器向客户端回应内容的过程。
(5)当客户端从相同的服务器上再次请求访问另一个链接时,将会再次看到一个GET数据包(1909帧)。
此外,如果链接另一个Web站点时,客户端将再次对下一个站点进行DNS查询(156、157帧),TCP三次握手(158、159、160帧)。
适用场景
网络管理员用来解决网络问题
网络安全工程师用来检测安全隐患
开发人员用来测试协议执行情况
用来学习网络协议