wireshark介绍
今天讲一下另一款底层抓包软件,之前写过两篇抓包软件
分别是
- fiddler抓包【https://www.cnblogs.com/zichliang/p/16067941.html】
- mitmdump抓包【https://www.cnblogs.com/zichliang/p/16067941.html】
Wireshark (前身 Ethereal) 是一个网络包分析工具该工具主要是用来捕获网络数据包,并自动解析数据包为用户显示数据包的详细信息,供用户对数据包进行分析
当然wireshark更多的偏向于硬件底层多一点。偏向于底层接口抓包。
wireshark可以通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
那常见的协议过滤是哪几种呢?
常见协议包抓取
- ARP协议
- ICMP协议
- TCP协议
- UDP协议
- DNS协议
- HTTP协议
WireShark应用
- 网络管理员会使用wireshark来检查网络问题
- 网络安全工程师 使用Wireshark 来检查资讯安全相关问题
- 软件测试工程师使用wireshark抓包,来分析自己测试的软件
- 开发人员 使用Wireshark来为新的通讯协议除错
- 从事socket编程的工程师会用wireshark来调试
- 普通使用 使用Wireshark 来学习网络协议的相关知识
- 还可以抓一些敏感信息….
下载及安装
Kali Linux系统自带 Wireshark 工具,而windows 需要手动安装wireshark
下面贴上下载官网:
https://www.wireshark.org/download.html
下载完之后一直点下一步安装即可。
wireshark的界面介绍
首先安装完了之后,我们打开抓包软件
可以看到有很多的网络接口,那我们应该如何选择呢?
win+r =====> cmd ====> ipconfig
选择我们现在正在上网的网卡
这里用的wifi 就直接抓wlan这个网卡了。
直接鼠标双击点进去
可以看到有很多的数据包
整体来说,界面主要分为以下几部分:
菜单栏:Wireshark的标准菜单栏。
工具栏:常用功能的快捷图标按钮,提供快速访问菜单中经常用到的项目的功能。
过滤器:提供处理当前显示过滤得方法。
Packet List面板:显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包,其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。
Packet Details面板:分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。
Packet Bytes面板:以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子,也就是在链路上传播时的样子。
状态栏:包含有专家信息、注释、包的数量和Profile。
在此之前了解下抓包的两种模式。
混杂模式与普通模式
不勾选就是普通模式
那什么是混杂模式 和普通模式呢?
- 混杂模式: 混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址
- 普通模式: 普通模式下网卡只接收发给本机的包 (包括广播包)传递给上层程序,其它的包一律丢弃
一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用
菜单栏
文件:打开文件集、保存包、导出HTTP对象
编辑:清除所有标记的包、忽略包和时间属性
视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色
跳转:跳转到某个设置好的分组列表
捕获:用于设置模式和开始与停止
分析:创建显示过滤器宏、查看启用协议、保存关注解码
统计:创建图表并打开各种协议统计窗口
电话:执行所有语音功能(图表、图形、回放)
无线:用于设置无线蓝牙等抓包的功能
工具:根据包内容构建防火墙规则、访问Lua脚本工具
帮助:学习wireshark全球存储和个人配置文件
工具栏
从左至右
- 开始捕获
- 停止捕获
- 重新开始当前捕获
- 捕获选项
- 打开已保存的捕获文件
- 保存捕获文件
- 关闭捕获文件
- 重载捕获文件
- 查找一个分组
- 转到前一个文组
- 转到后一个分组
- 转到特定分组
- 转到首个分组
- 转到最新分组
- 在实时捕获时,自动滚动屏幕到最新的分组.
- 放大主窗口文本
- 收缩主窗口文本
- 使主窗口文本回归正常大小
- 调整分组列表以适应内容
过滤器
当用户面向大量需要处理的数据时,可以通过使用显示过滤器快速的过滤自己需要的数据。
下文会详细介绍,搜索即可过滤。
Packet List面板
No. :包的编号 ————————————默认wireshark是按照数据包编号从低到高排序,该编号不会发生改变,即使使用了过滤也同样如此
Time:包的时间戳。时间格式可以自己设置
Source 和Destination :包的源地址和目的地址
Protocol:包的协议类型
Length:包的长度
Info:包的附加信息
右击还有其他的一些配置
packet details
在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为
(1)Frame: 物理层的数据帧概况
(2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息
…. (这里点点点表示 不同的包所展示的是不同的内容)
分层的显示了一个数据包中的内容,并且可以通过展开或者收缩来显示这个数据包中所捕获的全部内容
还可以看到一些详细信息。
packet bytes
这个板块 分为两部分 左边这部分是16进制的数据,右边是ASCII格式
当在packet details面板中选择任意一个字段后,在packet bytes面板中包含该字段的字节也高亮显示
最底层状态栏
分为一些杂项和地址栏。个人感觉作用不大。
过滤器的使用。
刚刚点击了停止抓包 要是重新开启抓包点击左上角这个按钮
如果想保存就点击第一个,一般做测试都是不保存的。
然后就可以重新开始抓包了。
然后就正式开始过滤抓包了,我们想抓http相关的包====> 直接输入http或者tcp
可能这样显得不太直观。
举个三次握手四次挥手的例子。
当输入 tcp.flags.ack == 0
即代表底层握手(链接成功)
当输入 tcp.flags.syn == 1
即代表底层握手(数据发送成功)
不懂的可以自己去百度什么是三次握手四次挥手。
所抓到也都是底层链接成功和发送成功的包。
当然 命令和命令之间也可以通过and 或者or来完成与或非的关系。
即使讲到了链接和发送的命令 再讲一下发送成功结束的命令tcp.flags.fin==1
其中展示了本机向此服务器发送成功的数据包
之前所讲到的所有协议包 都可以在这里过滤,比如 udp,http,tcp 等等等
IP过滤
刚刚讲了可以通过协议过滤 那我们再抓取网站数据的时候能不能通过IP过滤呢。
搜下我们本地发送了那些包
ip.src_host==192.168.2.51
可以清楚的看到source来源就都是我们的主机了
搜下目标地址是百度的包 百度的IP地址是180.101.50.188
ip.dst_host == 180.101.50.188
还有一个命令 ip.addr 代表着 只有IP是xxx 就全部显现出来,不管是接收 还是发送
wireshark解析ARP协议
在了解使用wireshark分析arp协议之前,我们先来了解下,什么是是arp协议?
通俗点说,在局域网中通信时使用的是MAC地址,而不是常见的IP地址。
所以在局域网的两台主机间通信时,必须要知道对方的MAC地址,这就是ARP协议要做的事:将IP地址转换为MAC地址。
光看这个讲arp可能太笼统了,我们肯定之前听过一个名称——arp欺骗,那什么是arp欺骗呢?
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。
由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,
由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了
这里也介绍完了
我们先来抓下arp的包 ,直接在过滤器中搜索ARP,并且随意打开一个包
- Hardware type(网卡类型):以太网(Ethernet)是1。我们常见的网络都是以太网
- Protocol type:查询中提供的网络地址的类型,IPv4是0x0800。
- Harware size:网卡地址长度,以太网网卡是6字节。
- Protocol size:查询中提供的网络地址的的长度,IPv4是4字节。
- Opcode:查询包值为1,响应包值为2。
- Sender MAC address:发送者的Mac地址。
- Sender IP address:发送者的IP地址。
- Target MAC address:接收者的Mac地址,指向性查询包是MAC地址表中记录的mac,广播性查询包是00:00:00:00:00:00。(注意区分ARP头和Eth头,指向性查询包Eth头的dst mac是MAC地址表中记录的mac,而广播性查询包是ff:ff:ff:ff:ff:ff)。
- Target protocol address:要查询目标的mac地址的ip。
再来看一下回复包
故: 由一个request 和一个reply 组成的一组arp包,有请求有回复组成的arp响应。
WireShark解析ICMP协议
使用Ping命令用来测试网络的可达性。从而接受ICMP的报文包
首先我们ping下自己的网关
然后找下wireshark中刚刚抓到的包
重点看下ICMP里面的内容
type:报文类型,8代表请求,0代表应答;
code:为0,表示为回显应答成功;
checksum:表示认证这个ICMP报文是否被篡改过。校验完整性。
checksum Status: 表示校验的结果,Good代表没问题。
identifier:表示标识符ID
Sequence Number: 表示序列号
Data: 具体发送到数据包,当然肯定是通过加密的。
这是请求数据,还有一组回复数据
可以看到。标示符和序列号都是一样的
wireshark 解析TCP协议
即两台电脑或者是两台机器之间的相互链接>>>中间会经历一个三次握手 四次挥手的过程。
TCP 三次握手
如下图所示是示意图>>>
我们随意打开一个网页:百度 IP是180.101.50.188
如上图所示 有syn的tcp链接包
然后我们来看下TCP协议的具体的内容
封包信息:
- Frame: 物理层的数据帧概况
- Ethernet II: 数据链路层以太网帧头部信息
- Internet Protocol Version 4: 网络层IP包头部信息
- Transmission Control Protocol: 传输层TCP数据段头部信息
传输层TCP数据段信息
- 源端口:source Port: 44922
- 目的端口:Destination Port: 19999
- 序号:sequence Number: o
- 确认号:Acknowledgment number: o
- 报头长度:Header Length: 4o bytes
- 标志位:Flags: ox002 (SYN)
- 校验和:Checksum: oxac81
当然这么看肯定不太直观,还要结合这回复包去看每一条信息。所以我们可以打开流数据包来查看tcp协议报文
选择限制显示过滤器 选择百度的地址
这样看起来就非常的直观了。
TCP断开链接 四次挥手
既然有链接,肯定就有断开链接 天下无不散之筵席嘛,不可能一直互相连接的。
而断开链接则有另一个名词—— 四次挥手
和三次握手一样,我们直接关闭百度这个网站,
然后去wireshark中搜索180.101.50.242这个ip(由于百度的地址会改变,我们需要实时查看下百度的ip)
首先就会发起
第一步:客户端打算断开连接
第二步:服务器收到连接释放报文段(FIN报文)后,就向客户端发送ACK应答报文
第三步:服务器也打算断开连接,向客户端发送连接释放(FIN)报文段
第四步:客户端收到来自服务器的连接释放(FIN)报文段后,会向服务器发送一个ACK应答报文段,以连接释放(FIN)报文段的确认序号 ack 作为ACK应答报文段的序列号 seq,以连接释放(FIN)报文段的序列号 seq+1作为确认序号ack。
wireShark 解析HTTP协议
http的底层本质上还是TCP协议。
话不多说,直接请求百度地址。
这里百度地址不是www.baidu地址
然后打开抓包软件 搜索tcp
还可以查看具体信息
总结
总的来说,WireShark非常强大,不仅可以抓各种包,还能对局域网的某些数据进行监控抓包分析。非常强大。
不过要慎用。
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.fwqtg.net