如何通过wireshark进行抓包的分析 如何通过wireshark进行抓包的分析?
\u5982\u4f55\u4f7f\u7528wireshark\u6293\u5305\u5206\u6790\u6293\u53d6\u62a5\u6587: \u4e0b\u8f7d\u548c\u5b89\u88c5\u597dWireshark\u4e4b\u540e\uff0c\u542f\u52a8Wireshark\u5e76\u4e14\u5728\u63a5\u53e3\u5217\u8868\u4e2d\u9009\u62e9\u63a5\u53e3\u540d\uff0c\u7136\u540e\u5f00\u59cb\u5728\u6b64\u63a5\u53e3\u4e0a\u6293\u5305\u3002\u4f8b\u5982\uff0c\u5982\u679c\u60f3\u8981\u5728\u65e0\u7ebf\u7f51\u7edc\u4e0a\u6293\u53d6\u6d41\u91cf\uff0c\u70b9\u51fb\u65e0\u7ebf\u63a5\u53e3\u3002\u70b9\u51fbCapture Options\u53ef\u4ee5\u914d\u7f6e\u9ad8\u7ea7\u5c5e\u6027\uff0c\u4f46\u73b0\u5728\u65e0\u6b64\u5fc5\u8981\u3002
Wireshark\u662f\u4e00\u4e2a\u7f51\u7edc\u534f\u8bae\u68c0\u6d4b\u5de5\u5177\uff0c\u652f\u6301Windows\u5e73\u53f0\u548cUnix\u5e73\u53f0\uff0c\u6211\u4e00\u822c\u53ea\u5728Windows\u5e73\u53f0\u4e0b\u4f7f\u7528Wireshark\uff0c\u5982\u679c\u662fLinux\u7684\u8bdd\uff0c\u6211\u76f4\u63a5\u7528tcpdump\u4e86\uff0c\u56e0\u4e3a\u6211\u5de5\u4f5c\u73af\u5883\u4e2d\u7684Linux\u4e00\u822c\u53ea\u6709\u5b57\u7b26\u754c\u9762\uff0c\u4e14\u4e00\u822c\u800c\u8a00Linux\u90fd\u81ea\u5e26\u7684tcpdump\uff0c\u6216\u8005\u7528tcpdump\u6293\u5305\u4ee5\u540e\u7528Wireshark\u6253\u5f00\u5206\u6790\u3002
tcpdump\u662f\u57fa\u4e8eUnix\u7cfb\u7edf\u7684\u547d\u4ee4\u884c\u5f0f\u7684\u6570\u636e\u5305\u55c5\u63a2\u5de5\u5177\u3002\u5982\u679c\u8981\u4f7f\u7528tcpdump\u6293\u53d6\u5176\u4ed6\u4e3b\u673aMAC\u5730\u5740\u7684\u6570\u636e\u5305\uff0c\u5fc5\u987b\u5f00\u542f\u7f51\u5361\u6df7\u6742\u6a21\u5f0f\uff0c\u6240\u8c13\u6df7\u6742\u6a21\u5f0f\uff0c\u7528\u6700\u7b80\u5355\u7684\u8bed\u8a00\u5c31\u662f\u8ba9\u7f51\u5361\u6293\u53d6\u4efb\u4f55\u7ecf\u8fc7\u5b83\u7684\u6570\u636e\u5305\uff0c\u4e0d\u7ba1\u8fd9\u4e2a\u6570\u636e\u5305\u662f\u4e0d\u662f\u53d1\u7ed9\u5b83\u6216\u8005\u662f\u5b83\u53d1\u51fa\u7684\u3002
主界面上也有一个interface list(如下图红色标记1),列出了系统中安装的网卡,选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题:弹出一个对话框说 NPF driver 没有启动,无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行,然后输入 net start npf,启动NPf服务。
重新启动wireshark就可以抓包了。
抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框,具体设置如下:
Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。
Limit each packet:限制每个包的大小,缺省情况不限制。
Capture packets in promiscuous mode:是否打开混杂模式。如果打开,抓 取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:过滤器。只抓取满足过滤规则的包。
File:可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer: 是否使用循环缓冲。缺省情况下不使用,即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中,如下图所示:
为了使抓取的包更有针对性,在抓包之前,开启了QQ的视频聊天,因为QQ视频所使用的是UDP协议,所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
使用wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。
上图的数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口:58459,目的端口:54062)。
中间的是协议树,如下图:
通过此协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。
最下面是以十六进制显示的数据包的具体内容,如图:
这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流,对于一个多字节数值(比如十进制1014 = 0x03 f6),在进行网络传输的时候,先传递哪个字节,即先传递高位“03”还是先传递低位“f6”。 也就是说,当接收端收到第一个字节的时候,它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明:
最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length:1014, 它的十六进制表示是0x03f6, 从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),所以可知,网络字节序采用的是大端模式。
Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。
tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的。
绛旓細Wireshark鏄竴涓紑鏀炬簮浠g爜鐨勭綉缁滄暟鎹寘鍒嗘瀽宸ュ叿锛屽彲浠ョ敤鏉ユ崟鑾峰拰鍒嗘瀽缃戠粶閫氫俊涓殑鏁版嵁鍖呫傚湪Wireshark涓紝鍙互閫氳繃杩囨护鍔熻兘鏉ユ煡鐪嬪箍鎾抚銆傝鏌ョ湅骞挎挱甯э紝鍙互鎸夌収浠ヤ笅姝ラ鎿嶄綔锛1. 鎵撳紑Wireshark杞欢銆2. 鍦"鎹曡幏"閫夐」鍗′腑锛岄夋嫨瑕杩涜缃戠粶鏁版嵁鍖呮崟鑾风殑缃戠粶鎺ュ彛銆3. 鐐瑰嚮"寮濮"鎸夐挳寮濮嬫崟鑾锋暟鎹寘銆4. ...
绛旓細鐜板湪瓒婃潵瓒婂鐨勭數瀛愯澶囬噰鐢║SB鎺ュ彛杩涜閫氳锛岄氳鏍囧噯涔熷湪閫愭鎻愰珮銆傞偅涔堬紝鎴戜滑灏变細濂藉杩欎簺璁惧鏄濡備綍宸ヤ綔鐨勶紵鑰屾棤璁轰綘鏄竴涓‖浠堕粦瀹紝涓氫綑鐖卞ソ鑰呮垨鑰呭彧鏄瀹冩湁涓鐐瑰叴瓒g殑锛孶SB瀵规垜浠兘鏄叿鏈夋寫鎴樻х殑銆備簨瀹炰笂閫氳繃wireshark锛屾垜浠彲浠ユ崟鑾峰埌usb璁惧鍙戦佺粰鎴戜滑涓绘満鐨勬暟鎹紝杩欐牱灏卞彲浠ヨ繘涓姝ョ爺绌朵簡銆傛湰鏂囦腑锛...
绛旓細0x03锛氬疄楠岀洰鏍囷細1)榛戝A閫氳繃ARP娆洪獥锛屼娇鐢╳ireshark寰楀埌鏁翠釜灞鍩熺綉鍐呯殑缃戠粶娴侀噺淇℃伅銆傛棤鎰忎腑锛屼粬鍙戠幇鏈変汉鍦ㄧ綉绔欎笂涓婁紶浜嗕竴浠芥枃浠躲備絾鏄粬涓嶇煡閬鎬庢牱閫氳繃wireshark鍖鸿繕鍘熻繖浠芥枃浠讹紝娌″姙娉曪紝浠栧皢闂村惉鍒扮殑鏁版嵁鍖呬繚瀛樹负涓浠絯ireshark鐨勭洃鍚褰曪紝灏嗛氳繃浠ヤ笅涓変釜浠诲姟瀹屾垚閭d唤鏂囦欢鐨勮繕鍘熴1.瀵规姄鍒扮殑鍖杩涜...
绛旓細浠ユ鍥炵瓟闂濡備笅锛1銆濡備綍鍒嗘瀽鏁版嵁鍖呰繖涓棶棰樿鐪嬩綘鍒嗘瀽鐨勬槸浠涔堝崗璁殑鍖咃紝涓嶅悓鐨勭洰鐨勫搴斾笉鍚岀殑鍒嗘瀽鏂规硶锛屼絾鏄湁涓浜涙槸鍩虹鐨勶紝浠栦滑鏄氱敤鐨勩2銆佸湪鐢╳ireshark鎵撳紑鏁版嵁鍖呭悗锛岄粯璁ょ晫闈竴鑸垎涓轰笂涓笅涓夐儴鍒嗭紝涓婇潰鏄暟鎹寘鐨勫垪琛ㄩ泦鍚堬紝姣忎竴琛屼唬琛ㄤ竴涓氦浜掓秷鎭傚鏋滈変腑鍏朵腑涓鏉★紝鍒欎細鍦ㄤ腑闂撮偅涓閮ㄥ垎杩...
绛旓細瑕佹崟鑾穒Phone浼犺緭鐨勬暟鎹垜浠笉鑳界洿鎺ュ湪iPhone涓杩涜銆傛墍浠ユ垜鐨勬兂娉曟槸鍦╓indows涓婂畨瑁呬竴涓Wireshark鎶撳寘杞欢锛屽悓鏃惰繖鍙扮數鑴戞湁涓寮犳棤绾跨綉鍗°傜劧鍚庢垜灏嗚繖鍙癢indows鐢佃剳鐨勬棤绾跨綉鍗¤缃垚涓轰竴涓棤绾胯矾鐢卞櫒锛岀劧鍚鐢iPhone杩炴帴涓婅繖涓櫄鎷熺殑鏃犵嚎璺敱鍣ㄣ傝繖鏍锋墍鏈塱Phone浼犺緭鐨勬暟鎹兘浼氬埌鎴戜滑Windows鐢佃剳鐨勮繖寮犳棤绾跨綉鍗★紝涔嬪悗...
绛旓細鎴戜滑閫氳繃tcpdump浠庢湇鍔″櫒鎶撲笅鏉ョ殑鍖咃紝閫氳繃WireShark鎵撳紑鍚庯紝鏄竴鍫嗗師濮嬫暟鎹濡備綍鍦ㄦ垚鍗冧笂涓囨潯鍘熷鏁版嵁涓壘鍒版垜浠兂瑕佺殑鏁版嵁鍛紵鏈枃绔犳彁渚涗袱涓渶甯哥敤鐨勬柟娉曚緵澶у鍙傝冦俉ireShark鎻愪緵涓や釜鎼滅储鏍忎緵澶у浣跨敤锛屼竴涓悳绱㈡爮鍦ㄤ富椤甸潰姝d笂鏂癸紝涓棿鏈夆滃簲鐢ㄦ樉绀鸿繃婊ゅ櫒鐨勫瓧鏍封濓紝鎴戜滑鍙互鍦ㄨ繖涓悳绱㈡爮涓緭鍏ヤ緥濡傛潵婧...
绛旓細鐩墠鐢盬ireshark team杩涜杩涗竴姝ュ紑鍙戝拰缁存姢銆俉ireshark team鏄竴涓敱淇ˉbug鎻愰珮Wireshark鍔熻兘鐨勭嫭绔嬫垚鍛樼粍鎴愮殑鏉炬暎缁勭粐銆傛湁澶ч噺鐨勬垚鍛樹负Wireshark鎻愪緵鍗忚鍒嗘瀽銆傚悓鏃舵垜浠篃甯屾湜杩欎簺娲诲姩鑳芥寔缁満鑺傞氳繃鏌ョ湅Wireshark甯姪鑿滃崟涓嬬殑About,浣犲彲浠ユ壘鍒颁负Wireshark鎻愪緵浠g爜鐨勪汉鍛樺悕鍗,鎴栬呬綘涔熷彲浠閫氳繃Wireshark 缃戠珯鐨刟uthors椤甸潰...
绛旓細HTTPS瀹夊叏閫氫俊绠鍖栨潵璇: 鍦ㄥ崗鍟嗛樁娈鐢闈炲绉板姞瀵嗗崗鍟嗗ソ閫氫俊鐨勫绉扮閽 ,鐒跺悗 鐢ㄥ绉扮閽ュ姞瀵杩涜鏁版嵁閫氫俊 ,绠鏄撶殑WireShark TLS/SSL鍗忓晢杩囩▼绀烘剰濡備笅: 缁嗗寲鍒嗙鍚庣ず鎰忓涓: 鎻℃墜鍒嗗涓樁娈,涓嶈繃涓娆℃彙鎵嬪彲浠ュ畬鎴愬涓姩浣,鑰屼笖涔熷苟涓嶆槸鎵鏈夌被鍨嬬殑鎻℃墜閮芥槸涓婅堪妯″瀷,鍥犱负鍗忓晢瀵圭О绉橀挜鐨勭畻娉曚笉姝竴绉,鎵浠ユ彙鎵嬬殑鍏蜂綋鎿嶄綔涔...
绛旓細閫氳繃Wireshark锛岀敤鎴峰彲浠ユ竻鏅板湴鐪嬪埌杩欎笁涓暟鎹寘鐨勪氦鎹㈣繃绋嬶紝浠ュ強姣忎釜鏁版嵁鍖呬腑鐨勮缁嗕俊鎭紝濡傛簮鍦板潃銆佺洰鏍囧湴鍧銆佸簭鍒楀彿銆佺‘璁ゅ彿绛夈備妇渚嬫潵璇达紝褰撶敤鎴峰皾璇曡闂竴涓綉绔欐椂锛屽叾璁$畻鏈轰笂鐨勬祻瑙堝櫒浼氫綔涓哄鎴风锛屼笌缃戠珯鏈嶅姟鍣杩涜TCP涓夋鎻℃墜浠ュ缓绔嬭繛鎺ャ傚湪姝よ繃绋嬩腑锛學ireshark鍙互鎹曡幏杩欎簺鏁版嵁鍖咃紝骞跺睍绀虹粰鐢ㄦ埛銆
绛旓細浣犲彲浠ュ湪 wireshark 杞欢涓缃悇绉嶈繃婊よ鍒欙紝锛坒ilter锛夋潵鎹曡幏鍚勭鏈鐢鐨勬暟鎹寘銆傜劧鍚庝繚瀛樺埌涓涓枃浠朵腑锛屾渶鍚庡閭d釜鏂囦欢涓殑鍐呭杩涜鏁版嵁鍖呭垎鏋愩
