Wireshark使用教程举例
#Linux485#wireshark3Wireshark 是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括:
-
1、Wireshark 软件下载和安装以及 Wireshark 主界面介绍。
-
2、WireShark 简单[抓包]示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。
-
3、Wireshark 过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
Wireshark 软件安装
软件下载路径:wireshark 官网。按照系统版本选择下载,下载完成后,按照软件提示一路 Next 安装。
如果你是 Win10 系统,安装完成后,选择抓包但是不显示网卡,下载 win10pcap 兼容性安装包。下载路径:win10pcap 兼容性安装包
Wireshark 开始抓包示例
先介绍一个使用 wireshark 工具抓取 ping 命令操作的示例,让读者可以先上手操作感受一下抓包的具体过程。
- 1、打开 wireshark 2.6.5,主界面如下:
- 2、选择菜单栏上Capture -> Option,勾选 WLAN 网卡 (这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的 IP 对应的网卡)。点击 Start。启动抓包。
- 3、wireshark 启动后,wireshark 处于抓包状态中。
-
4、执行需要抓包的操作,如ping www.baidu.com。
-
5、操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 119.75.217.26 and icmp 表示只显示 ICPM 协议且源主机 IP 或者目的主机 IP 为 119.75.217.26 的数据包。
- 5、wireshark 抓包完成,就这么简单。关于 wireshark 过滤条件和如何查看数据包中的详细内容在后面介绍。
Wireshakr 抓包界面
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏 View --> Coloring Rules。如下所示
WireShark 主要分为这几个界面
- Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。
- Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
- Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为
(1) Frame: 物理层的数据帧概况
(2) Ethernet II: 数据链路层以太网帧头部信息
(3) Internet Protocol Version 4: 互联网层 IP 包头部信息
(4) Transmission Control Protocol: 传输层 T 的数据段头部信息,此处是 TCP
(5) Hypertext Transfer Protocol: 应用层的信息,此处是 HTTP 协议
TCP 包的具体内容
从下图可以看到 wireshark 捕获到的 TCP 包中的每个字段。
4.Dissector Pane(数据包字节区)。
Wireshark 过滤器设置
初学者使用 wireshark 时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar 工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
(1) 抓包过滤器
捕获过滤器的菜单栏路径为 Capture --> Capture Filters。用于在抓取数据包前设置。
如何使用?可以在抓取数据包前设置如下。
ip host 60.207.246.216 and icmp 表示只捕获主机 IP 为 60.207.246.216 的 ICMP 数据包。获取结果如下:
(2) 显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛,抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景,在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包,如下
执行 ping www.huawei.com 获取的数据包列表如下
观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。
上述介绍了抓包过滤器和显示过滤器的基本使用方法。**在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。**下面介绍一下两者间的语法以及它们的区别。
wireshark 过滤器表达式的规则
1、抓包过滤器语法和实例
抓包过滤器类型 Type(host、net、port)、方向 Dir(src、dst)、协议 Proto(ether、ip、tcp、udp、http、icmp、ftp 等)、逻辑运算符 (&& 与、|| 或、!非)
(1) 协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
- TCP,只显示 TCP 协议的数据包列表
- HTTP,只查看 HTTP 协议的数据包列表
- ICMP,只显示 ICMP 协议的数据包列表
(2)IP 过滤
- host 192.168.1.104
- src host 192.168.1.104
- dst host 192.168.1.104
(3) 端口过滤
- port 80
- src port 80
- dst port 80
(4) 逻辑运算符 && 与、|| 或、!非
src host 192.168.1.104 && dst port 80 抓取主机地址为 192.168.1.80、目的端口为 80 的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为 192.168.1.104 或者 192.168.1.102 的数据包
!broadcast 不抓取广播数据包
2、显示过滤器语法和实例
(1) 比较操作符
比较操作符有 == 等于、!= 不等于、> 大于、<小于、>= 大于等于、<= 小于等于。
(2) 协议过滤
比较简单,直接在 Filter 框中直接输入协议名即可。注意:协议名称需要输入小写。
- tcp,只显示 TCP 协议的数据包列表
- http,只查看 HTTP 协议的数据包列表
- icmp,只显示 ICMP 协议的数据包列表
(3) ip 过滤
- ip.src ==192.168.1.104 显示源地址为 192.168.1.104 的数据包列表
- ip.dst==192.168.1.104, 显示目标地址为 192.168.1.104 的数据包列表
- ip.addr == 192.168.1.104 显示源 IP 地址或目标 IP 地址为 192.168.1.104 的数据包列表
(4) 端口过滤
- tcp.port ==80, 显示源主机或者目的主机端口为 80 的数据包列表。
- tcp.srcport == 80, 只显示 TCP 协议的源主机端口为 80 的数据包列表。
- tcp.dstport == 80,只显示 TCP 协议的目的主机端口为 80 的数据包列表。
(5) Http 模式过滤
- http.request.method=="GET", 只显示 HTTP GET 方法的。
(6) 逻辑运算符为 and/or/not
过滤多个条件组合时,使用 and/or。比如获取 IP 地址为 192.168.1.104 的 ICMP 数据包表达式为 ip.addr == 192.168.1.104 and icmp
(7) 按照数据包内容过滤。假设我要以 IMCP 层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。如下
右键单击选中后出现如下界面
选中 Select 后在过滤器中显示如下
后面条件表达式就需要自己填写。如下我想过滤出 data 数据包中包含 "abcd" 内容的数据流。包含的关键词是 contains 后面跟上内容。
看到这, 基本上对 wireshak 有了初步了解。
Wireshark 抓包分析 TCP 三次握手
(1)TCP 三次握手连接建立过程
- Step1: 客户端发送一个 SYN=1,ACK=0 标志的数据包给服务端,请求进行连接,这是第一次握手;
- Step2: 服务端收到请求并且允许连接的话,就会发送一个 SYN=1,ACK=1 标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
- Step3: 服务端发送一个 SYN=0,ACK=1 的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP 连接建立,开始通讯。
(2)wireshark 抓包获取访问指定服务端数据包
- Step1: 启动 wireshark 抓包,打开浏览器输入 www.huawei.com。
- Step2: 使用 ping www.huawei.com 获取 IP。
Step3: 输入过滤条件获取待分析数据包列表 ip.addr == 211.162.2.183
图中可以看到 wireshark 截获到了三次握手的三个数据包。第四个包才是 HTTP 的, 这说明 HTTP 的确是使用 TCP 建立连接的。
第一次握手数据包
客户端发送一个 TCP,标志位为 SYN,序列号为 0, 代表客户端请求建立连接。如下图。
数据包的关键属性如下:
- SYN :标志位,表示请求建立连接
- Seq = 0 :初始建立连接值为 0,数据包的相对序列号从 0 开始,表示当前还没有发送数据
- Ack =0:初始建立连接值为 0,已经收到包的数量,表示当前没有接收到数据
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号 (Acknowledgement Number) 设置为客户的 I S N 加 1 以. 即 0+1=1, 如下图
数据包的关键属性如下:
- [SYN + ACK]: 标志位,同意建立连接,并回送 SYN+ACK
- Seq = 0 :初始建立值为 0,表示当前还没有发送数据
Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加 1,因为包含 SYN 或 FIN 标志位。(并不会对有效数据的计数产生影响,因为含有 SYN 或 FIN 标志位的包并不携带有效数据)
第三次握手的数据包
客户端再次发送确认包 (ACK) SYN 标志位为 0,ACK 标志位为 1. 并且把服务器发来 ACK 的序号字段 + 1, 放在确定字段中发送给对方. 并且在数据段放写 ISN 的 + 1, 如下图:
数据包的关键属性如下:
-
ACK : 标志位,表示已经收到记录
-
Seq = 1 : 表示当前已经发送 1 个数据
Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加 1,因为包含 SYN 或 FIN 标志位 (并不会对有效数据的计数产生影响,因为含有 SYN 或 FIN 标志位的包并不携带有效数据)。
就这样通过了 TCP 三次握手,建立了连接。开始进行数据交互
下面针对数据交互过程的数据包进行一些说明:
数据包的关键属性说明
Seq: 1
Ack: 1: 说明现在共收到 1 字节数据
Seq: 1 Ack: 951: 说明现在服务端共收到 951 字节数据
在 TCP 层,有个 FLAGS 字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG。 如下
其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN 表示建立连接,FIN 表示关闭连接,ACK 表示响应,PSH 表示有 DATA 数据传输,RST 表示连接重置。
Wireshark 分析常用操作
调整数据包列表中时间戳显示格式。调整方法为View -->Time Display Format --> Date and Time of Day。调整后格式如下:
wireshark 的基本使用方法有数据包筛选、数据包搜索、数据包还原、 数据提取四个部分。
数据包筛选
1.1 筛选 ip
源筛选 ip
ip.src == ip 地址
或者手动操作
点击任意一个符合筛选条件的数据包,找到 IPv4 下的 Source 字段。
右键点击 Source 字段,作为过滤器应用 – 选中。
目的 ip 筛选
ip.dst == ip 地址
或者手动操作:
点击任意一个符合筛选条件的数据包,找到 IPv4 下的 Destination 字段,右键点击 Destination 字段,作为过滤器应用 – 选中。
1.2 mac地址筛选:
- eth.dst ==A0:00:00:04:C5:84 筛选目标 mac 地址
- eth.addr==A0:00:00:04:C5:84 筛选 MAC 地址
1.3 端口筛选:
- tcp.dstport == 80 筛选 tcp 协议的目标端口为 80 的流量包
- tcp.srcport == 80 筛选 tcp 协议的源端口为 80 的流量包
- udp.srcport == 80 筛选 udp 协议的源端口为 80 的流量包
1.4 协议筛选:
- tcp 筛选协议为 tcp 的流量包
- udp 筛选协议为 udp 的流量包
- arp/icmp/http/ftp/dns/ip 筛选协议为 arp/icmp/http/ftp/dns/ip 的流量包
1.5 包长度筛选:
- udp.length ==20 筛选长度为 20 的 udp 流量包
- tcp.len >=20 筛选长度大于 20 的 tcp 流量包
- ip.len ==20 筛选长度为 20 的 IP 流量包
- frame.len ==20 筛选长度为 20 的整个流量包
1.6 http请求筛选
- 请求方法为 GET:http.request.method==“GET” 筛选 HTTP 请求方法为 GET 的 流量包
- 请求方法为 POST:http.request.method==“POST” 筛选 HTTP 请求方法为 POST 的流量包
- 指定 URI:http.request.uri==“/img/logo-edu.gif” 筛选 HTTP 请求的 URL 为 / img/logo-edu.gif 的流量包
- 请求或相应中包含特定内容:http contains “FLAG” 筛选 HTTP 内容为 / FLAG 的流量包
2. 数据包搜索
在 wireshark 界面按 “Ctrl+F”,可以进行关键字搜索:
Wireshark 的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。
搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应 wireshark 界面的三个部分,搜索时选择不同的选项以指定搜索区域:
搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应 wireshark 界面的三个部分,搜索时选择不同的选项以指定搜索区域
- 这是分组列表
- 这是分组详情:
- 分组字节流:
3.数据包还原
在 wireshark 中,存在一个交追踪流的功能,可以将 HTTP 或 TCP 流量集合在一起并还原成原始数据,具体操作方式如下:
选中想要还原的流量包,右键选中,选择追踪流 – TCP 流 / UPD 流 / SSL 流 / HTTP 流。
可在弹出的窗口中看到被还原的流量信息:
4. 数据提取
Wireshark 支持提取通过 http 传输 (上传 / 下载) 的文件内容,方法如下:
选中 http 文件传输流量包,在分组详情中找到 data 或者 Line-based text data:text/html 层,鼠标右键点击 – 选中 导出分组字节流。
如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的 X@Y 字符,否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节…
在弹出的窗口中设置开始和结束的字节 (原字节数开头加 3,结尾减 3)
最后点击 save as 按钮导出。
8个常用的wireshark使用技巧,你还不知道?
1 数据包过滤
a.过滤需要的IP地址 ip.addr==
b.在数据包过滤的基础上过滤协议ip.addr==xxx.xxx.xxx.xxx and tcp
c.过滤端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80
d.指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx
e.SEQ字段(序列号)过滤(定位丢包问题)
TCP数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给TCP报文排序,发现哪个数据包丢失。
SEQ分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。
2修改数据包时间显示方式
有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过View---time display format来进行修改。
修改前:
修改后:
3 确认数据报文顺序
有一些特殊情况,客户的业务源目的IP 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略PC是不能直接访问SER的。
那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是WEB。我们从而知道TCP报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。
一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。
Edit-----preference------protocols----tcp---relative sequence numbers
修改参数如下:
我拿TCP协议举例
把TCP的这个选项去除掉
最后的效果:
4 过滤出来的数据包保存
我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。
5 数据包计数统计
网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。
Statistics------conversations
6 数据包解码
IPS发送攻击日至和防病毒日志信息端口号都是30514,SecCenter上只显示攻击日志,不显示防病毒日志。查看IPS本地有病毒日志,我们可以通过在SecCenter抓包分析确定数据包是否发送过来。
发过来的数据量比较大,而且无法直接看出是IPS日志还是AV日志,我们先把数据包解码。
(由于没有IPS的日志抓包信息,暂用其他代替)
解码前:
解码操作:
解码后:
7 TCP数据报文跟踪
查看TCP的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。
8 通过Wireshark来查看设备的厂家
查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过Wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。
例如:mac地址是A4-4E-31-30-0B-E0
我们通过Wireshark安装目录下的manuf文件来查找
(文章来自华三官网,侵删)
雷哥在这个暑假决定搞一件大事:带你学Linux 云计算 运维。
课程特色:
长按下方卡片购买
- 量身定制学习计划;
- 雷哥一对一答疑(集中做计划学习一个月,答疑有效期一年);
- 雷哥督促学习进度。
- 点我查看详情