如何使用WireShark抓取数据包 如何使用wireshark抓取网络数据包
\u5982\u4f55\u4f7f\u7528WireShark\u6293\u53d6\u6570\u636e\u5305\u4e00\u3001\u600e\u6837\u83b7\u53d6WireShark\uff1f
\u5f88\u7b80\u5355\uff0c\u767e\u5ea6\u641c\u7d22WireShark\uff0c\u5c31\u4f1a\u770b\u5230\u4e0b\u8f7d\u5730\u5740\u3002
\u4e8c\u3001\u4f7f\u7528WireShark
\u56e0\u4e3aWireShark\u662f\u82f1\u6587\u8f6f\u4ef6\uff0c\u6240\u4ee5\u4f60\u9700\u8981\u4e00\u4e9b\u5fc5\u8981\u7684\u82f1\u6587\u57fa\u7840\u3002
\u6253\u5f00\u8f6f\u4ef6\u754c\u9762
1\u3001\u5f00\u59cb\u6293\u5305
\u9009\u4e2d\u4f60\u9700\u8981\u7684\u7f51\u5361\uff0c\u70b9\u51fbstart\u5373\u53ef\u5f00\u59cb\u6293\u5305\uff0c\u5728\u8fd9\u4e2a\u65f6\u5019\u8bf7\u786e\u4fdd\u4f60\u60f3\u8981\u6293\u7684\u5305\u4f1a\u901a\u8fc7\u4f60\u9009\u62e9\u7684\u7f51\u5361\u3002\u4e00\u822c\u505a\u6cd5\u662f\u5728\u7535\u8111\u4e0a\u63d2\u4e00\u5757\u65e0\u7ebf\u7f51\u5361\uff0c\u7136\u540e\u8ba9\u4f60\u7684\u8bbe\u5907\u8fde\u63a5\u8be5\u65e0\u7ebf\u7f51\u5361
\u4f60\u4f1a\u53d1\u73b0\u6d41\u8fc7\u7f51\u5361\u7684\u6570\u636e\u5305\u975e\u5e38\u591a\u3002\u8fd9\u65f6\u5019\u4f60\u9700\u8981\u7528\u5230\u6700\u9876\u4e0a\u7684\u8fc7\u6ee4\u9009\u9879\u3002\u8fc7\u6ee4\u8bed\u6cd5\u4e0d\u7b97\u590d\u6742\uff0c\u4f46\u662f\u4e00\u65f6\u534a\u4f1a\u4e5f\u8bb0\u4e0d\u5b8c\uff0c\u8bb0\u4f4f\u5e38\u7528\u7684\u5373\u53ef\u3002
(1)\u8fc7\u6ee4\u6e90ip\u3001\u76ee\u7684ip\u3002\u5728wireshark\u7684\u8fc7\u6ee4\u89c4\u5219\u6846Filter\u4e2d\u8f93\u5165\u8fc7\u6ee4\u6761\u4ef6\u3002\u5982\u67e5\u627e\u76ee\u7684\u5730\u5740\u4e3a192.168.101.8\u7684\u5305\uff0cip.dst==192.168.101.8\uff1b\u67e5\u627e\u6e90\u5730\u5740\u4e3aip.src==1.1.1.1\uff1b
(2)\u7aef\u53e3\u8fc7\u6ee4\u3002\u5982\u8fc7\u6ee480\u7aef\u53e3\uff0c\u5728Filter\u4e2d\u8f93\u5165\uff0ctcp.port==80\uff0c\u8fd9\u6761\u89c4\u5219\u662f\u628a\u6e90\u7aef\u53e3\u548c\u76ee\u7684\u7aef\u53e3\u4e3a80\u7684\u90fd\u8fc7\u6ee4\u51fa\u6765\u3002\u4f7f\u7528tcp.dstport==80\u53ea\u8fc7\u6ee4\u76ee\u7684\u7aef\u53e3\u4e3a80\u7684\uff0ctcp.srcport==80\u53ea\u8fc7\u6ee4\u6e90\u7aef\u53e3\u4e3a80\u7684\u5305\uff1b
(3)\u534f\u8bae\u8fc7\u6ee4\u3002\u76f4\u63a5\u5728Filter\u6846\u4e2d\u76f4\u63a5\u8f93\u5165\u534f\u8bae\u540d\u5373\u53ef\uff0c\u5982\u8fc7\u6ee4HTTP\u7684\u534f\u8bae\uff1b
(4)http\u6a21\u5f0f\u8fc7\u6ee4\u3002\u5982\u8fc7\u6ee4get\u5305\uff0chttp.request.method==\u201dGET\u201d,\u8fc7\u6ee4post\u5305\uff0chttp.request.method==\u201dPOST\u201d\uff1b\u5176\u4ed6\u534f\u8bae\u7684\u6570\u636e\u5305\u5927\u90fd\u4e5f\u662f\u8fd9\u6837\u3002
(5)\u8fde\u63a5\u7b26and/or\u7684\u4f7f\u7528\u3002\u8fde\u63a5\u7b26and\u7684\u4f7f\u7528\u3002\u8fc7\u6ee4\u4e24\u79cd\u6761\u4ef6\u65f6\uff0c\u4f7f\u7528and\u8fde\u63a5\uff0c\u5982\u8fc7\u6ee4ip\u4e3a192.168.101.8\u5e76\u4e14\u4e3ahttp\u534f\u8bae\u7684\uff0cip.src==192.168.101.8 and http\u3002\u6211\u60f3\u4f5c\u4e3a\u4e00\u4e2a\u7a0b\u5e8f\u5458or\u5c31\u4e0d\u9700\u8981\u6211\u4e3e\u4f8b\u4e86\u5427\u3002
2\u3001\u63d0\u53d6\u6570\u636e
\u4f60\u5df2\u7ecf\u627e\u5230\u4f60\u60f3\u8981\u7684\u5305\u4e86
\u5982\u679c\u4f60\u60f3\u770b\u5230\u4f60POST\u7684\u7ed3\u679c\uff0c\u4e00\u822c\u6765\u8bf4\u90fd\u5728\u4f60\u8bf7\u6c42\u4e0b\u9762\u7684\u4e00\u4e2aHTTP/1.1 200 ok \u7684\u6570\u636e\u5305\u3002\u5305\u7ed3\u6784\u8ddfPOST\u53bb\u7684\u5dee\u4e0d\u591a\u3002\u5982\u679c\u670d\u52a1\u5668\u54cd\u5e94\u7f13\u6162\uff0c\u4f60\u53ea\u9700\u8981\u9009\u4e2dPOST\u6570\u636e\u5305\u53f3\u952e\u70b9\u51fbFollow TCP Stream\uff0c\u5373\u53ef\u5feb\u901f\u7b5b\u9009\u672c\u6b21\u540c\u4fe1\u7684\u6240\u6709\u6570\u636e\u5305\u3002\u5982\u679c\u662fJSON\u6216\u6587\u672c\u7684\u8bdd\u62f7\u8d1d\u53ef\u6253\u5370\u6587\u5b57\u5c31\u53ef\u4ee5\u54af\u3002\u5982\u679c\u662f\u4e8c\u8fdb\u5236\u901a\u8baf\uff0c\u62f7\u8d1dHEX\u5373\u53ef\u3002
3\u3001\u67e5\u770bJSON\u6570\u636e
\u53ef\u80fd\u5927\u5bb6\u4e60\u60ef\u4e8e\u7528\u7f51\u9875\u4e0a\u7684\u5728\u7ebf\u89e3\u6790\u3002
\u53ef\u4ee5\u8bd5\u8bd5\u57fa\u4e8e\u8fdb\u7a0b\u6293\u5305QPA\u5de5\u5177 \u4f7f\u7528\u66f4\u7b80\u5355
wireshark 开始抓包开始界面
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包
Wireshark 窗口介绍
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",
Filter栏上就多了个"Filter 102" 的按钮。
过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP,只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
常用的过滤表达式
过滤表达式 用途
http 只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102
封包列表(Packet List Pane)
封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
你也可以修改这些显示颜色的规则, View ->Coloring Rules.
封包详细信息 (Packet Details Pane)
这个面板是我们最重要的,用来查看协议中的每一个字段。
各行信息分别为
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
对于无线数据包, 如果数据帧的首部中包含tkip或ccmp字段, 那么该帧就是加密的.
绛旓細1銆佹姄鍙栨姤鏂:涓嬭浇鍜屽畨瑁呭ソWireshark涔嬪悗锛屽惎鍔╓ireshark骞朵笖鍦ㄦ帴鍙e垪琛ㄤ腑閫夋嫨鎺ュ彛鍚嶏紝鐒跺悗寮濮嬪湪姝ゆ帴鍙d笂鎶撳寘銆2銆佷緥濡傦紝濡傛灉鎯宠鍦ㄦ棤绾跨綉缁滀笂鎶撳彇娴侀噺锛岀偣鍑绘棤绾挎帴鍙c3銆佺偣鍑籆apture Options鍙互閰嶇疆楂樼骇灞炴э紝浣嗙幇鍦ㄦ棤姝ゅ繀瑕併4銆佺偣鍑绘帴鍙e悕绉颁箣鍚庯紝灏卞彲浠ョ湅鍒板疄鏃舵帴鏀剁殑鎶ユ枃銆5銆乄ireshark浼氭崟鎹夌郴缁熷彂閫佸拰...
绛旓細璁╂垜浠氳繃ping鍛戒护鏉ュ涔鎶撳寘鍜屾暟鎹垎鏋愩傞鍏堬紝閫夋嫨鍚堥傜殑缃戝崱锛岀劧鍚庤缃姄鍖呰繃婊ゆ潯浠讹紝渚嬪锛氭姄鍖呰繃婊ゅ櫒: 鍦–apture Filters鑿滃崟涓缃紝濡傛寚瀹鎶撳彇鏉ヨ嚜IP鍦板潃60.207.246.216鐨処CMP鏁版嵁鍖呫傛樉绀鸿繃婊ゅ櫒: 鎶撳彇鍚庯紝浣跨敤鏉′欢杩囨护鏉ュ墧闄ゆ棤鍏虫暟鎹紝濡俰p.addr == 211.162.2.183 and icmp銆傚湪绠鍗曠殑鍦烘櫙涓紝...
绛旓細1.鎶婄數鑴戠殑缃戠粶鍋氫负鐑偣 2.寮鍚痺ifi鐑偣鍚庯紝琚祴鎵嬫満杩炴帴鍒拌鐑偣锛3.鍚姩wireshark锛岄夋嫨鍋氫负鐑偣鐨勭綉鍗★紝鐐瑰嚮start寮濮嬫姄鍖咃紱4.鎿嶄綔鎵嬫満锛屽彲浠ユ姄鍙栧埌鎵嬫満鎵鏈変笌缃戠粶浜や簰鐨勬暟鎹寘锛屽闇鍋滄锛岀洿鎺ョ偣鍑粀ireshark鐨剆top鍗冲彲銆2銆佷娇鐢╢iddler鏉ユ姄鍙 姝ゆ柟娉曞彧閫傚簲浜庢姄鍙杊ttp銆傛鏂规硶鐨勬渶澶т紭鐐规槸锛屽彲浠ユ嫤鎴彂...
绛旓細1銆佸湪濡備笅閾炬帴涓嬭浇鈥Wireshark鈥濆苟鍦ㄧ數鑴戜笂瀹夎銆俉ireshark涓嬭浇鍦板潃 锛堣嫢閾炬帴澶辨晥锛岃鍦ㄦ椤甸潰涓嬭浇锛歨ttp://www.md-front.com.cn锛2銆佸鏋滀箣鍓嶆病鏈夊畨瑁呰繃鈥淲inpcap鈥濊鍦ㄤ笅闈㈠浘涓婃妸瀹夎鈥淲inpcap鈥濈殑鍕鹃変笂銆3銆佹墦寮瀹夎濂界殑Wireshark绋嬪簭锛屼細鐪嬪埌濡備笅鍥炬墍绀虹晫闈細4锛屼笂鍥2灏辨槸涓荤晫闈紝鎵撳紑鈥淐aptu...
绛旓細鎵撳紑涓涓姄鍙栨枃浠剁浉褰撶畝鍗曪紝鍦ㄤ富鐣岄潰涓婄偣鍑籓pen骞舵祻瑙堟枃浠跺嵆鍙銆備篃鍙互鍦╓ireshark閲屼繚瀛樿嚜宸辩殑鎶撳寘鏂囦欢骞剁◢鍚庢墦寮銆傚鏋滄鍦ㄥ皾璇曞垎鏋愰棶棰橈紝姣斿鎵撶數璇濈殑鏃跺欐煇涓绋嬪簭鍙戦佺殑鎶ユ枃锛屽彲浠ュ叧闂墍鏈夊叾浠栦娇鐢ㄧ綉缁滅殑搴旂敤鏉ュ噺灏戞祦閲忋備絾杩樻槸鍙兘鏈夊ぇ鎵规姤鏂囬渶瑕佺瓫閫夛紝杩欐椂瑕佺敤鍒癢ireshark杩囨护鍣ㄣ傛渶鍩烘湰鐨勬柟寮忓氨鏄湪绐楀彛...
绛旓細1銆佸湪鐢佃剳涓紝鎵撳紑wireshark杞欢銆2銆佺偣鍑鎶撳彇缃戠粶鎺ュ彛鍗¢夋嫨鎸夐挳锛岄夋嫨闇瑕佹姄鍙栫殑缃戝崱鎺ュ彛銆3銆佸鏋滀笉纭畾鏄偅涓綉缁滄帴鍙o紝鍒欏彲浠ョ湅packes椤规暟鎹彉鍖栨渶澶氭帴鍙o紝閫変腑瀹冪劧鍚庣偣鍑伙紓start"寮濮鎶撳寘銆4銆佸鏋滈渶瑕佽繘琛岀壒鍒殑閰嶇疆锛屽垯闇瑕佸厛杩涜鎶撳寘閽辩殑閰嶇疆鎿嶄綔锛岀偣鍑婚斾腑鐨勯厤缃搷浣滄寜閽紝杩涘叆鍒版姄鍖呴厤缃搷浣滅晫闈紝...
绛旓細1銆侀鍏堟墦寮璁$畻鏈猴紝涓嬭浇骞跺畨瑁wireshark锛屽湪鐧惧害鎼Wireshark锛屼笅杞芥垨鍏朵粬娓犻亾涓嬭浇閮藉彲浠ワ紝涓嬭浇鍚庨粯璁ゅ畨瑁呭嵆鍙2銆佸弻鍑昏繍琛寃ireshark锛岀偣鍑诲乏涓婅Capture閫夐」鍥炬爣锛屽鎶撳寘閫夐」杩涜璁剧疆銆3銆侀夋嫨缃戠粶鐜锛屽鏋滄彃鐫缃戠嚎灏遍夋嫨鈥滀互澶綉鈥濓紝濡傛灉浣跨敤鏃犵嚎杩炴帴锛屽氨閫夋嫨鈥淲LAN鈥濄4銆佹壘鍒扳淗ide Capture info dialog...
绛旓細浣跨敤wireshark鏉鎶撳彇鏁版嵁鍖呮墍闇姝ラ锛1銆侀変腑浣犻渶瑕佺殑缃戝崱锛岀偣鍑籹tart鍗冲彲寮濮鎶撳寘锛屽湪杩欎釜鏃跺欒纭繚浣犳兂瑕佹姄鐨勫寘浼氶氳繃浣犻夋嫨鐨勭綉鍗°備竴鑸仛娉曟槸鍦ㄧ數鑴戜笂鎻掍竴鍧楁棤绾跨綉鍗★紝鐒跺悗璁╀綘鐨勮澶囪繛鎺ヨ鏃犵嚎缃戝崱銆2銆佹祦杩囩綉鍗$殑鏁版嵁鍖呴潪甯稿銆傝繖鏃跺欎綘闇瑕佺敤鍒版渶椤朵笂鐨勮繃婊ら夐」銆傝繃婊よ娉曚笉绠楀鏉傘3銆佸凡缁忔壘鍒...
绛旓細3.鎬荤粨 鐩稿浜庣伀鐙愭垨璋锋瓕娴忚鍣ㄤ腑浣跨敤璋冭瘯宸ュ叿鎶撳彇HTTP鏁版嵁鍖咃紝浣跨敤wireshark瑕佹樉寰楀鏉備簺锛屼絾鏄篃鍙互杈惧埌鏈缁堟晥鏋溿傝繖浜涙搷浣滃垎涓轰袱姝ワ紝绗竴姝ヨ缃悎鐞嗙殑杩囨护鏉′欢锛岀浜屾鍦ㄤ换鎰忔暟鎹寘涓夋嫨Follow TCP Stream銆傛牴鎹叿浣撻棶棰樼被鍨嬶紝杩涜姝ラ鎷嗚В锛忓師鍥犲師鐞嗗垎鏋愶紡鍐呭鎷撳睍绛夈傚叿浣撴楠ゅ涓嬶細锛忓鑷磋繖绉嶆儏鍐电殑...
绛旓細1銆佹墦寮wireshark 2.6.5锛屼富鐣岄潰濡備笅锛2銆侀夋嫨鑿滃崟鏍忎笂Capture -> Option锛屽嬀閫塛LAN缃戝崱锛堣繖閲岄渶瑕佹牴鎹悇鑷數鑴戠綉鍗浣跨敤鎯呭喌閫夋嫨锛岀畝鍗曠殑鍔炴硶鍙互鐪嬩娇鐢ㄧ殑IP瀵瑰簲鐨勭綉鍗★級銆傜偣鍑籗tart銆傚惎鍔鎶撳寘銆3銆亀ireshark鍚姩鍚庯紝wireshark澶勪簬鎶撳寘鐘舵佷腑銆4銆佹墽琛岄渶瑕佹姄鍖呯殑鎿嶄綔锛屽鍦╟md绐楀彛涓嬫墽琛宲ing www.baidu....
