简介

wire网线,shark鲨鱼,网络中的鲨鱼。是一种网络协议分析软件,以微观的网络观察网页。
主要功能,对网络进行抓包,对数据包进行分析。
首先学习TCPdump能好学一点

简介

编辑-首选项-外观-语言,可以调整中文模式

基础使用

选择网卡进行抓包,然后停止抓包,就能获得一些数据。

详情

下方的工具栏也是有用的,可以显示字节数和不同的模式,实时变化

整体界面介绍

capture filter

如果之间点击网卡选择进行抓包的话,会抓到很多的包,如果网络比较繁忙的话,可能一次就会抓到很多,所以可以编写一个capture filter(捕获过滤器)表达式,来抓取我们所需要的包。
capture filter 和TCP dump 是一样的。

capture filter

下面使用ICMP协议抓包演示一下,在框内输入ICMP然后进行PING操作,就可以看见相关的数据包,点上其中的一行,左侧是ICMP包的往返路径,就是内个小箭头。

ICMP抓包

下面是对TCP80端口进行过滤,表达式为tcp port 80,然后我们使用cmd的curl去下载路由器的首页,就可以有相关的数据记录

TCP 80

下图左侧上面有一个GET请求,然后隔了两个包,有回显。

抓包

display filter

又叫做显示过滤器,就是下图所示这个位置的框框。

显示过滤器

可以输入的内容比如说http/arp/ip.addr == 123.56.124.23,等一系列,点击绿色小图标有示例。
管理显示过滤器可以添加默认的表达式。

display filter expression

在分析的display filter expression中,可以调出一个很复杂的控制器,用来编写比较长的语句
操作参考下面。

具体操作

capture和display区别

capturefilter是直接控制抓一部分,display是全抓,但是只显示一部分。

package列表面板

点这个自动调整列宽

右键标题栏,可以控制都显示什么列。
也可以调整列的顺序,直接拖动即可。
下面的详细内容中,有一个应用为列,很好用的。

应用为列

视图里可以调整时间显示格式。

package详情面板

详解

上图显示的数据包其实应该是五层,最后一个是JavaScript,不算。

  • frame 287

示例

这个就相当于物理层,就是说网线上实际是怎么传输的,最根本的,比如说多少字节,什么的都在这里显示。

  • Ethernet II

示例

这个就相当于数据链路层,点对点,网卡对网卡,里面有网卡的MAC地址

  • Internet Protocol Version 4

示例

这个就是IPv4协议了,就相当于网络层了,IP到IP,就是IP相关的内容在这里显示。

  • Transmission Control Protocol

示例

这个就相当于传输层,里面主要就是一些包和键值的确认,主

  • Hypertext Transfer Protocol

示例

这个就相当于应用层,比如说浏览器的状态代码,很多内容都在这里显示了。

  • TCP/IP

这里放个图

TCP/IP分层

package面板续

这里所说的这个package面板是什么呢,其实就是整体我们所看到的这个界面,也叫做视图中的分组列表,分组详情,分组字节流。

  • package list就是我们所看见的一个一个包。
  • package details就是我们所看见的详细内容。
  • package bytes就是分组字节流,也就是十六进制内容。

package面板

分组面板

上面这些显示的,不需要的话可以隐藏。
看下图所示,选中一个字段的话,下面会有相对应的字段提取方法,就是说方便了我们的使用。

字段提取

选中内容-右键-作为过滤器应用
选中内容-右键-prepare filter,延后过滤应用

管理多个profile配置

右下角这个就是配置

图片

新建profile

可以单独对应的设置方法,和字体,颜色等。

着色规则

这个东西分为前景色和背景色,这个可以自己进行更改,详细的在下面说明。

着色规则

  1. Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。
  2. HSRP State Change:hsrp.state != 8 && hsrp.state != 16HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。
  3. Spanning Tree Topology Change:stp.type ==0x80生成树协议的状态标记为0x80,生成树拓扑发生变化。
  4. OSPF State Change:ospf.msg != 1OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。
  5. ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 ||
  6. icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4ICMP协议错误,协议的type字段值错误。
  7. ARP:arp即ARP协议
  8. ICMP:icmp || icmpv6即icmp协议
  9. TCP RST:tcp.flags.reset eq 1TCP流被RESET。
  10. SCTP ABORT:sctp.chunk_type eq ABORT串流控制协议的chunk_type为ABORT(6)。
  11. TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))TTL异常。
  12. Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。
  13. SMB:smb || nbss || nbns || nbipx || ipxsap || netbiosServer Message Block类协议。
  14. HTTP:http || tcp.port == 80 || http2HTTP协议,这是很简陋的识别方法。
  15. IPX:ipx || spx互联网络数据包交换(Internet work Packet Exchange)类协议。
  16. DCERPC:dcerpc即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。
  17. Routing:hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp路由类协议。
  18. TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1TCP连接的起始和关闭。
  19. TCP:tcpTCP协议。
  20. UDP:udpUDP协议。
  21. Broadcast:eth[0] & 1广播数据。

分析数据流对话

简化的三次握手

  1. SYN
  2. SYN,ACK
  3. SYN

这个其实就是一个简化的三次握手。
如果数据包比较大的话,会拆分成好多个,此时不会作为HTTP来显示。
可以使用右键-追踪TCP流,来看一个包里都有什么。

追踪TCP流

选择对话过滤器中的IPV4会自动生成一个过滤表达式,可以用来过滤对应的对话

对话过滤

对MAC厂商解析

右侧的三个分别是对MAC地址进行解析,对网络名称进行解析,对端口进行解析。

解析

这个需要重新抓包生效。

然后根据搜索,发现C:\Program Files\Wireshark/manuf,这个文件里有默认的网卡配置,可以自己去瞅瞅。

专家信息诊断

想要知道我们抓的包有没有问题,可以点击左下角有个小圆圈。就是下图中左下角,内个很小的小黄圈。

专家信息诊断

这里分为几种安全等级,初始应该是四种error,warning,note,chat。
可能说有发重复的,各种各样问题的。

通过SSH远程抓包

叫做tshark,这个新版的远程比较麻烦,因为他把这个功能给挪到里面去了,所以需要用内个设置的图标

远程ssh抓包

会默认排除22端口,登陆上去之后看看有没有,然后安装。
远程抓包的程序叫做dumpcap

TCPdump远程抓包

  • 首先是安装tcpdump
  • tcpdump -D 列出可以抓包的网卡
  • tcpdump -i wlan0 -c 20 -w file.pcap '我是过滤表达式' 这就是完整的抓包命令

网卡

统计

统计里也有很多的功能,比如说可视化

统计

统计-conversions,可以判断有几个IP地址,来判断有几个网站


参考文章
https://blog.csdn.net/yeyiqun/article/details/99310715
https://blog.csdn.net/ai2000ai/article/details/73645461

https://blog.csdn.net/lvanfu/article/details/108496992

Last modification:January 21st, 2021 at 06:03 pm
如果你觉得我的文章帮到你的话,不要白嫖,一毛两毛也是爱。