Wireshark抓包教程
wireshark是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者监控网络,是一个比较好的工具,因为最近在研究这个,所以就写一下教程,方便大家学习。这里先说Wireshark的启动界面和抓包界面 启动界面:
抓包界面的启动是 按file下的按钮
然后再点击 如下图所示
这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start开始抓包
这个就是抓包的界面了(也是主界面) Wireshark主窗口由如下部分组成: 1.菜单——用于开始操作。 2.主工具栏——提供快速访问菜单中经常用到的项目的功能。 3.Fitertoolbar/过滤工具栏——提供处理当前显示过滤得方法。 4.PacketList面板——显示打开文件的每个包的摘要。点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。 5.Packetdetail面板——显示您在Packetlist面板中选择的包的更多详情。 6.Packetbytes面板——显示您在Packetlist面板选择的包的数据,以及在Packetdetails面板高亮显示的字段。 状态栏——显示当前程序状态以及捕捉数据的更多详情
1.菜单栏 主菜单包括以下几个项目: File——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项. Edit——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。) View——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点 GO——包含到指定包的功能。 Analyze——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。 Statistics——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。 Help——包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”
过滤工具栏
这个和在工具栏上输入协议来查找包的结果是一样的,只是它方便点 在工具栏上输
点击在此区域输入或修改显示的过滤字符,在输入过程中会进行语法检查。如果您输入的格式不正确,或者未输入完成,则背景显示为红色。直到您输入合法的表达式,背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留,即使您重新启动程序。 ·注意: 1.做完修改之后,记得点击右边的Apply(应用)按钮,或者回车,以使过滤生效。 2.输入框的内容同时也是当前过滤器的内容(当前过滤器的内容会反映在输入框)
封包列表
1.封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。如果捕获的是一个OSIlayer2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。如果捕获的是一个OSIlayer3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。您可以在这里添加/删除列或者改变各列的颜色:Editmenu-Preferences
封包详细信息 1.这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSIlayer进行了分组,您可以展开每个项目查看。 2.ps:wireshark会用不难,难的是会看懂这些包(如果对这些包头信息不了解的可以自己去查查资料)
16进制数据 1.“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。 2.在这里我们还要学会在大量的信息中过滤和分析我们需要的信息 3.过滤: 4.过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 -- 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 5.两种过滤器的目的是不同的。 6.1.捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。 7.2.显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
1.捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。设置捕捉过滤器的步骤是:-选择capture-options。-填写"capturefilter"栏或者点击"capturefilter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。-点击开始(Start)进行捕捉。
显示过滤器 1.通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。 语法:
您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后,您可以看到它们。比如:IP,TCP,DNS,SSH
绛旓細鏈瘒灏嗚缁嗕粙缁嶅浣曚娇鐢wireshark杞欢鎶撳寘锛屽苟瀵规暟鎹寘杩涜绠鍗曠殑鍒嗘瀽銆備互鍙婂鏁版嵁鍖呯殑鏉ユ簮Ip浠ュ強鐩殑Ip杩囨护琛ㄨ揪寮忕殑鍐欐硶銆傞鍏堟垜浠墦寮wireshark杞欢鐨勪富鐣岄潰锛屽湪涓荤晫闈笂閫夋嫨缃戝崱锛岀劧鍚庣偣鍑籹tart銆倃ireshark鍗宠繘鍏ユ姄鍖呭垎鏋愯繃绋嬨傚湪鏈瘒鎴戜滑閫夋嫨浠ュお缃戯紝杩涜鎶撳寘銆傛帴涓嬫潵鍐嶇晫闈㈡垜浠彲浠ョ湅鍒皐ireshark鎶撳埌鐨勫疄鏃...
绛旓細1銆佺數鑴戝仛wifi鐑偣锛屾墜鏈鸿繛涓婂悗鐢佃剳涓婁娇鐢wireshark鎶撳寘 璇ユ柟娉曟墜鏈烘棤椤籸oot锛屽苟涓旈傜敤浜庡悇绉嶆湁wifi鍔熻兘鐨勬墜鏈猴紙IOS銆乤ndroid绛夛級銆佸钩鏉跨瓑銆傚彧瑕佺數鑴戠殑鏃犵嚎缃戝崱鍏锋湁鏃犵嚎鎵胯浇鍔熻兘锛屽氨鍙互銆傛柟娉曞涓嬶細1.鎶婄數鑴戠殑缃戠粶鍋氫负鐑偣 2.寮鍚痺ifi鐑偣鍚庯紝琚祴鎵嬫満杩炴帴鍒拌鐑偣锛3.鍚姩wireshark锛岄夋嫨鍋氫负鐑偣鐨勭綉鍗...
绛旓細瑕佹崟鑾穒Phone浼犺緭鐨勬暟鎹垜浠笉鑳界洿鎺ュ湪iPhone涓婅繘琛屻傛墍浠ユ垜鐨勬兂娉曟槸鍦╓indows涓婂畨瑁呬竴涓Wireshark鎶撳寘杞欢锛屽悓鏃惰繖鍙扮數鑴戞湁涓寮犳棤绾跨綉鍗°傜劧鍚庢垜灏嗚繖鍙癢indows鐢佃剳鐨勬棤绾跨綉鍗¤缃垚涓轰竴涓棤绾胯矾鐢卞櫒锛岀劧鍚庣敤iPhone杩炴帴涓婅繖涓櫄鎷熺殑鏃犵嚎璺敱鍣ㄣ傝繖鏍锋墍鏈塱Phone浼犺緭鐨勬暟鎹兘浼氬埌鎴戜滑Windows鐢佃剳鐨勮繖寮犳棤绾跨綉鍗★紝涔嬪悗...
绛旓細鍏充簬wireshark濡備綍鎶撳寘鍒嗘瀽锛寃ireshark濡備綍鎶撳寘杩欎釜寰堝浜鸿繕涓嶇煡閬擄紝浠婂ぉ鏉ヤ负澶у瑙g瓟浠ヤ笂鐨勯棶棰橈紝鐜板湪璁╂垜浠竴璧锋潵鐪嬬湅鍚э紒1銆佹姄鍙栨姤鏂:涓嬭浇鍜屽畨瑁呭ソWireshark涔嬪悗锛屽惎鍔╓ireshark骞朵笖鍦ㄦ帴鍙e垪琛ㄤ腑閫夋嫨鎺ュ彛鍚嶏紝鐒跺悗寮濮嬪湪姝ゆ帴鍙d笂鎶撳寘銆2銆佷緥濡傦紝濡傛灉鎯宠鍦ㄦ棤绾跨綉缁滀笂鎶撳彇娴侀噺锛岀偣鍑绘棤绾挎帴鍙c3銆佺偣鍑籆apture ...
绛旓細wireshark 寮濮鎶撳寘 寮濮嬬晫闈 wireshark鏄崟鑾锋満鍣ㄤ笂鐨勬煇涓鍧楃綉鍗$殑缃戠粶鍖咃紝褰撲綘鐨勬満鍣ㄤ笂鏈夊鍧楃綉鍗$殑鏃跺欙紝浣犻渶瑕侀夋嫨涓涓綉鍗°傜偣鍑籆aputre->Interfaces.. 鍑虹幇涓嬮潰瀵硅瘽妗嗭紝閫夋嫨姝g‘鐨勭綉鍗°傜劧鍚庣偣鍑"Start"鎸夐挳, 寮濮嬫姄鍖 Wireshark 绐楀彛浠嬬粛 WireShark 涓昏鍒嗕负杩欏嚑涓晫闈 1. Display Filter(鏄剧ず杩囨护...
绛旓細涓銆佹庢牱鑾峰彇WireShark锛熷緢绠鍗曪紝鐧惧害鎼滅储WireShark锛屽氨浼氱湅鍒颁笅杞藉湴鍧銆備簩銆佷娇鐢╓ireShark 鍥犱负WireShark鏄嫳鏂囪蒋浠讹紝鎵浠ヤ綘闇瑕佷竴浜涘繀瑕佺殑鑻辨枃鍩虹銆傛墦寮杞欢鐣岄潰 1銆佸紑濮鎶撳寘 閫変腑浣犻渶瑕佺殑缃戝崱锛岀偣鍑籹tart鍗冲彲寮濮嬫姄鍖咃紝鍦ㄨ繖涓椂鍊欒纭繚浣犳兂瑕佹姄鐨勫寘浼氶氳繃浣犻夋嫨鐨勭綉鍗°備竴鑸仛娉曟槸鍦ㄧ數鑴戜笂鎻掍竴鍧楁棤绾跨綉鍗★紝...
绛旓細姣斿璇翠綘鍦ㄥ瀹夎浜Wireshark锛屼絾瀹剁敤LAN鐜涓嬫病鏈夋劅鍏磋叮鐨勬姤鏂囧彲渚涜瀵燂紝閭d箞鍙互鍘籛ireshark wiki涓嬭浇鎶ユ枃鏍锋湰鏂囦欢銆傛墦寮涓涓姄鍙栨枃浠剁浉褰撶畝鍗曪紝鍦ㄤ富鐣岄潰涓婄偣鍑籓pen骞舵祻瑙堟枃浠跺嵆鍙備篃鍙互鍦╓ireshark閲屼繚瀛樿嚜宸辩殑鎶撳寘鏂囦欢骞剁◢鍚庢墦寮銆傝繃婊ゆ姤鏂:濡傛灉姝e湪灏濊瘯鍒嗘瀽闂锛屾瘮濡傛墦鐢佃瘽鐨勬椂鍊欐煇涓绋嬪簭鍙戦佺殑鎶ユ枃锛...
绛旓細1銆佸畨瑁呭畬wireshark鍙屽嚮鎵撳紑锛屼細鍑虹幇wireshark 鎶撳寘寮濮嬬晫闈2銆佹墦寮wireshark鐣岄潰锛屼細鐪嬪埌濡傚浘鏍囩ず鐨勭綉缁滐紝閫夋嫨濂芥姄鍖呯殑缃戠粶鐜锛屾瘮濡傞夋嫨鏈湴杩炴帴锛屽湪鐐瑰嚮START銆3銆佹帴涓嬫潵锛屾兂鎶撳彇鍝釜杞欢鐨勬湇鍔″櫒淇℃伅锛屽氨鎵撳紑閭d釜杞欢锛屽叾浠栦笉鐢ㄥ緱涓嶆墦寮锛屼负浜嗘姄鍒板湴鍧鏇村姞蹇熷拰鍑嗙‘銆4銆佺劧鍚庨氳繃寮濮嬭繍琛孋MD鐨刬p...
绛旓細閫夋嫨Capture鈥擨nterfaces鈥 鎵撳紑缃戠粶鎺ュ彛瀵硅瘽妗 閫夋嫨瑕佸鍏惰繘琛鎶撳寘鐨勭綉缁滆澶囷紝鐐瑰嚮璇ユ潯鐩悗闈㈢殑Options鎸夐挳 鍦ㄨ瀵硅瘽妗嗕腑灏卞彲浠ヨ缃娇鐢ㄥ涓枃浠跺瓨鍌ㄦ姄鍒扮殑鏁版嵁锛wireshark浼氭牴鎹垜浠寚瀹氱殑鏂囦欢鍚嶈嚜鍔ㄦ寚瀹氭瘡涓娈电殑鏂囦欢鍚嶏紝鍏跺悕瀛椾负 鈥滄寚瀹氱殑鏂囦欢鍚峗搴忓彿_鏃ユ湡鏃堕棿.鎵╁睍鍚嶁濓紝骞朵笖璇ュ璇濇涓彲浠ヨ缃悇绉嶆枃浠...
绛旓細涓轰簡浣挎姄鍙栫殑鍖呮洿鏈夐拡瀵规э紝鍦鎶撳寘涔嬪墠锛屽紑鍚簡QQ鐨勮棰戣亰澶╋紝鍥犱负QQ瑙嗛鎵浣跨敤鐨勬槸UDP鍗忚锛屾墍浠ユ姄鍙栫殑鍖呭ぇ閮ㄥ垎鏄噰鐢║DP鍗忚鐨勫寘銆3銆佸鎶撳寘缁撴灉鐨勮鏄 wireshark鐨勬姄鍖呯粨鏋滄暣涓獥鍙h鍒嗘垚涓夐儴鍒嗭細鏈涓婇潰涓烘暟鎹寘鍒楄〃锛岀敤鏉ユ樉绀烘埅鑾风殑姣忎釜鏁版嵁鍖呯殑鎬荤粨鎬т俊鎭紱涓棿涓哄崗璁爲锛岀敤鏉ユ樉绀洪夊畾鐨勬暟鎹寘鎵灞炵殑...
