wireshark使用简介

wireshark使用简介

wireshark界面简介

  • Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。

程序上方的8个菜单项用于对Wireshark进行配置:

  • "File"(文件)打开或保存捕获的信息。
  • "Edit" (编辑)查找或标记封包。进行全局设置。
  • "View"(查看)设置Wireshark的视图。
  • "Go" (转到)跳转到捕获的数据。
  • "Capture"(捕获)设置捕捉过滤器并开始捕捉。
  • "Analyze"(分析)设置分析选项。
  • "Statistics" (统计)查看Wireshark的统计信息。
  • "Help" (帮助)查看本地或者在线支持。

SHORTCUTS(快捷方式)

  • wireshark shortcuts 在菜单下面,是一些常用的快捷按钮。可以将鼠标指针移动到某个图标上以获得其功能说明。

DISPLAY FILTER(显示过滤器)

wireshark display filter 显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。

PACKET LIST PANE(封包列表)

  • 封包列表中显示所有已经捕获的封包。在这里可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。
  • 如果捕获的是一个OSI layer 2的封包,在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。
  • 如果捕获的是一个OSI layer 3或者更高层的封包,在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
  • 可以在这里添加/删除列或者改变各列的颜色:Edit menu -> Preferences

PACKET DETAILS PANE(封包详细信息)

  • 这里显示的是在封包列表中被选中项目的详细信息。

DISSECTOR PANE(16进制数据)

  • “解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。

** MISCELLANOUS(杂项)**

  • 在程序的最下端,可以获得如下信息:
    • 正在进行捕捉的网络设备。
    • 捕捉是否已经开始或已经停止。
    • 捕捉结果的保存位置。
    • 已捕捉的数据量。
    • 已捕捉封包的数量。(P)
    • 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
    • 被标记的封包数量。(M)

过滤器

  • 使用Wireshark时最常见的问题,是当使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
  • 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture -> Capture Filters 中设置。
  • 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

过滤表达式的规则

协议过滤

  • 比如TCP,只显示TCP协议。

IP 过滤

  • 比如
ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
  • 端口过滤
tcp.port ==80,  端口为80的
tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

Http模式过滤

  • http.request.method=="GET", 只显示HTTP GET方法的。

逻辑运算符为 AND/ OR

  • 常用的过滤表达式

封包详细信息

  • 各行信息分别为
Frame:   物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

TCP包的具体内容

  • 从下图可以看到wireshark捕获到的TCP包中的每个字段。

三次握手过程

  • 打开wireshark, 然后随便打开一个网页,双击WLAN进行捕获。

  • 在wireshark中输入tcp过滤, 然后会发现HTTP 525GET的那条记录,如下图所示

  • 图中可以看到wireshark截获到了三次握手的三个数据包,第四个包是HTTP的,这说明HTTP的确是使用TCP建立连接的。

  • 第一次握手

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。

-第二次握手

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1,即0+1=1

  • 第三次握手

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1。
就这样通过了TCP三次握手,建立了连接。

感想

wireshark可以帮助我们获得网络连接中的各项数据,以前对于上网、访问网页只是一个抽象的概念,并不知道我们到底是如何浏览那些网络信息的,利用wireshark可以将这些概念实体化,各项数据直观的展现了网络连接、网页访问的全过程。第一次安装使用这个软件可能很多同学并不熟练,只知道哪里点一下可以出来什么东西,wireshark窗口显示的信息有的也不知道是什么,希望这篇博客可以让同学们更好地了解这款软件,对以后的学习也能有所帮助。

posted @ 2017-05-19 09:20  20145218  阅读(6887)  评论(0编辑  收藏  举报