wireshark介紹.doc

精品文檔Wireshark 窗口介紹WireShark 主要分為這幾個界面1. Display Filter(顯示過濾器)， 用于過濾2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標(biāo)地址，端口號。 顏色不同，代表3. Packet Details Pane(封包詳細(xì)信息), 顯示封包中的字段4. Dissector Pane(16進(jìn)制數(shù)據(jù))5. Miscellanous(地址欄，雜項)Wireshark 顯示過濾使用過濾是非常重要的， 初學(xué)者使用wireshark時，將會得到大量的冗余信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。過濾器有兩種，一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture - Capture Filters 中設(shè)置保存過濾在Filter欄上，填好Filter的表達(dá)式后，點擊Save按鈕， 取個名字。比如Filter 102,Filter欄上就多了個Filter 102 的按鈕。過濾表達(dá)式的規(guī)則表達(dá)式規(guī)則1. 協(xié)議過濾比如TCP，只顯示TCP協(xié)議。2. IP 過濾比如 ip.src =02 顯示源地址為02，ip.dst=02, 目標(biāo)地址為023. 端口過濾tcp.port =80, 端口為80的tcp.srcport = 80, 只顯示TCP協(xié)議的愿端口為80的。4. Http模式過濾http.request.method=GET, 只顯示HTTP GET方法的。5. 邏輯運(yùn)算符為 AND/ OR常用的過濾表達(dá)式過濾表達(dá)式用途http只查看HTTP協(xié)議的記錄ip.src =02 or ip.dst=02源地址或者目標(biāo)地址是02封包列表(Packet List Pane)封包列表的面板中顯示，編號，時間戳，源地址，目標(biāo)地址，協(xié)議，長度，以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示。你也可以修改這些顯示顏色的規(guī)則， View -Coloring Rules.封包詳細(xì)信息 (Packet Details Pane)這個面板是我們最重要的，用來查看協(xié)議中的每一個字段。各行信息分別為Frame:物理層的數(shù)據(jù)幀概況EthernetII:數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息Internet Protocol Version 4:互聯(lián)網(wǎng)層IP包頭部信息Transmission Control Protocol:傳輸層T的數(shù)據(jù)段頭部信息，此處是TCPHypertext Transfer Protocol:應(yīng)用層的信息，此處是HTTP協(xié)議wireshark與對應(yīng)的OSI七層模型TCP包的具體內(nèi)容從下圖可以看到wireshark捕獲到的TCP包中的每個字段。實例分析TCP三次握手過程看到這， 基本上對wireshak有了初步了解， 現(xiàn)在我們看一個TCP三次握手的實例三次握手過程為這圖我都看過很多遍了， 這次我們用wireshark實際分析下三次握手的過程。打開wireshark, 打開瀏覽器輸入/tankxiao在wireshark中輸入http過濾， 然后選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然后點擊Follow TCP Stream,這樣做的目的是為了得到與瀏覽器打開網(wǎng)站相關(guān)的數(shù)據(jù)包，將得到如下圖圖中可以看到wireshark截獲到了三次握手的三個數(shù)據(jù)包。第四個包才是HTTP的， 這說明HTTP的確是使用TCP建立連接的。第一次握手?jǐn)?shù)據(jù)包客戶端發(fā)送一個TCP，標(biāo)志位為SYN，序列號為0， 代表客戶端請求建立連接。 如下圖第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK. 將確認(rèn)序號(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1, 如下圖第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN的+1, 如下圖:就這樣通過了TCP三次握手，建立了連接/TankXiao/archive/2012/10/10/2711777.html1.設(shè)置過濾條件【1】http and ip.addr =06and tcp.port =8080【a】http：指定網(wǎng)絡(luò)協(xié)議【b】ip.addr =06：指定服務(wù)器ip地址，請根據(jù)實際情況替換?！綾】tcp.port =8080，指定端口號，請根據(jù)實際情況替換。圖1 過濾條件【2】點擊apply 點擊apply之后可過濾得到兩個數(shù)據(jù)包，分別是HTTP請求和HTTP響應(yīng)。圖2 HTTP請求和響應(yīng)2.查看TCP數(shù)據(jù)流Follow TCP Stream【1】在任意數(shù)據(jù)包上右擊，選擇Follow TCP Stream 該步驟可以過濾出和該HTTP數(shù)據(jù)包有關(guān)的TCP數(shù)據(jù)包，包括TCP 3次握手，TCP分片和組裝等。圖3 選擇Follow TCP Stream【2】最終得到HTTP請求和響應(yīng)【a】紅色背景字體為HTTP請求，藍(lán)色背景字體為HTTP響應(yīng)【b】從User-Agent中可以看出，360瀏覽器兼容模式使用了IE8內(nèi)核（該臺計算機(jī)操作系統(tǒng)為XP，IE瀏覽器版本為8），這說明360瀏覽器使用了系統(tǒng)中的IE核。圖4 HTTP請求和響應(yīng)具體內(nèi)容網(wǎng)絡(luò)中明碼傳輸?shù)奈ｋU性通過明碼傳輸?shù)膒rotocol和工具相當(dāng)多，典型的就是telnet,ftp,http。我們拿telnet做這次實驗。假設(shè)我以telnet方式登錄到我的linux服務(wù)器，然后通過wireshark抓包，以抓取賬號和密碼信息。1、首先啟動wireshark，并處于Capture狀態(tài)。然后通過telnet遠(yuǎn)程登錄我們的linux服務(wù)器。進(jìn)入登錄界面后，輸入賬號和密碼登入系統(tǒng)。2、接下來停止wireshark的截取封包的操作，執(zhí)行快捷方式的Stop即可。不過，捕獲的信息非常多，這個時候可以利用Display Filter功能，過濾顯示的內(nèi)容，如下圖所示，點擊Expression,然后選擇過濾表達(dá)式。這里，我們選擇TELNET即可。表達(dá)式確定之后，選擇Apply,就可以過濾出只包含TELNET的封包來，我們查看一下整個telnet會話的所有記錄， wireshark可以記錄會話記錄（就像我們聊QQ時，QQ聊天記錄一樣），任意找到一個telnet封包，右鍵找到Follow TCP Stream，wireshark就會返回整個會話記錄。OK， 我們看到以下這些數(shù)據(jù)信息，紅色的部分是我們發(fā)送出去的DATA，藍(lán)色的部分是我們接收到的DATA。， 告訴我， 你看到了什么為了更準(zhǔn)確的看清楚，我們再次僅篩選出我們發(fā)送出去的DATA?；蛘邇H接收到的DATA。從這里，我們可以確切的抓到賬號和密碼信息。login:wireshark Password:123456，除了這些，我們還可以更進(jìn)一步知道別人在看什么網(wǎng)站，或是私人文件，隱私將毫無保障。注：為了避免這些情況，防止有心人監(jiān)測到重要信息，可以使用SSH,SSL,TSL,HTTPS等加密協(xié)議對重要數(shù)據(jù)進(jìn)行加密，然后再到網(wǎng)絡(luò)上傳輸，如果被人截取下來，看到的內(nèi)容也是被加密的。常用到的過濾器規(guī)則：捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器（DisplayFilters）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。捕捉過濾器Protocol（協(xié)議）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。Direction（方向）:可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。例如，”host 與”src or dst host 是一樣的。Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認(rèn)使用”host”關(guān)鍵字。例如，”src 與”src host 相同。Logical Operations（邏輯運(yùn)算）:可能的值：not, and, or.否(“not”)具有最高的優(yōu)先級?；?“or”)和與(“and”)具有相同的優(yōu)先級，運(yùn)算時從左至右進(jìn)行。例如，“not tcp port 3128 and tcp port 23與”(not tcp port 3128) and tcp port 23相同?！皀ot tcp port 3128 and tcp port 23與”not (tcp port 3128 and tcp port 23)”不同。例子：tcp dst port 3128 /捕捉目的TCP端口為3128的封包。ip src host /捕捉來源IP地址為的封包。host /捕捉目的或來源IP地址為的封包。ether host e0-05-c5-44-b1-3c /捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。如果你想抓本機(jī)與所有外網(wǎng)通訊的數(shù)據(jù)包時，可以將這里的mac地址換成路由的mac地址即可。src portrange 2000-2500 /捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包。not imcp /顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 2 and not dst net /16 /顯示來源IP地址為2，但目的地不是/16的封包。(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 /捕捉來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò) /8內(nèi)的所有封包。src net /24src net mask /捕捉源地址為網(wǎng)絡(luò)內(nèi)的所有封包。顯示過濾器例子：snmp | dns | icmp /顯示SNMP或DNS或ICMP封包。ip.addr = /顯示來源或目的IP地址為的封包。ip.src != or ip.dst != /顯示來源不為或者目的不為的封包。換句話說，顯示的封包將會為：來源IP：除了以外任意；目的IP：任意以及來源IP：任意；目的IP：除了以外任意ip.src != and ip.dst != /顯示來源不為并且目的IP不為的封包。換句話說，顯示的封包將會為：來源IP：除了10.1.