Wireshark简单使用介绍

Wireshark简单使用介绍

(1)Frame:   物理层的数据帧概况

(2)Ethernet II: 数据链路层以太网帧头部信息

(3)Internet Protocol Version 4: 互联网层IP包头部信息

(4)Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

(5)Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

 

【】Wireshark过滤器
抓取特定流量过滤器是在抓包的时候只抓取过滤条件的包,显示过滤器是在有多种流量的情况下,显示具备过滤条件的包

【】抓取特定数据流
首先在这里建议大家尽量避免使用抓取特定流量过滤。即便多看几个报文,也比漏看一个报文要好。当你抓取了大量报文的时候,用显示过滤(过滤选项也更多)来重点查看某一数据流。

应用抓取特定流量过滤,在 Capture下打开Capture Options设置窗口

1、抓取基于MAC的数据流

当你需要抓取发到/来自某一主机的IPv4或IPv6数据流,可创建基于主机MAC地址的抓包过滤条件。应用MAC地址时,需确保与目标主机处于同一网段。

ether host 6C-C6-7C-B8-68-01:抓取发送到/来自6C-C6-7C-B8-68-01的数据流

ether src 6C-C6-7C-B8-68-01:抓取来自6C-C6-7C-B8-68-01的数据流

ether dst 6C-C6-7C-B8-68-01:抓取发到6C-C6-7C-B8-68-01的数据流

not ether host 6C-C6-7C-B8-68-01:抓取除了发到/来自6C-C6-7C-B8-68-01以外的所有数据流

ether broadcast或ether dst ff:ff:ff:ff:ff:ff:抓取广播报文

ether multicast:抓取多播报文

抓取指定以太网类型的报文:ether proto 0800

抓取指定VLAN:vlan (vlan number)

抓取指定几个VLAN:vlan (vlan number)and vlan (vlan number)

例:ether host 6C-C6-7C-B8-68-01


2、抓取基于IP的数据流

如果你的抓包环境下有很多主机正在通讯,可以考虑使用所观察主机的IP地址来进行过滤。以下为IP地址抓包过滤示例:

host 172.16.1.69:抓取发到/来自172.16.1.69的数据流

host 2406:da00:ff00::6b16:f02d:抓取发到/来自IPv6地址2406:da00:ff00::6b16:f02d的数据流

not host 172.16.1.69:抓取除了发到/来自172.16.1.69以外的所有数据流

src host 172.16.1.69:抓取来自172.16.1.69的数据流

dst host 172.16.1.69:抓取发到172.16.1.69的数据流

host 172.16.1.69 or 172.16.1.70:抓取发到/来自172.16.1.69以及与通讯的数据流,抓取发到/来自192.168.11.254以及与通讯的所有数据流

例: src host 172.16.1.69


3、抓取基于端口的数据流

你可能需要查看基于一个或几个应用的数据流。抓包过滤器语法无法识别应用名,因此需要根据端口号来定义应用。通过目标应用的TCP或UDP端口号,将不相关的报文过滤掉。

port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)

not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流

port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)

udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)

tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)

portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流

tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流

(可自行尝试)

当你需要抓取多个不连续端口号的数据流,将它们通过逻辑符号连接起来。

port 20 or port 21:抓取发到/来自端口20或21的UDP/TCP数据流(典型是FTP数据和命令端口)

host 10.3.1.1 and port 80:抓取发到/来自10.3.1.1端口80的数据流

host 10.3.1.1 and not port 80:抓取发到/来自10.3.1.1除了端口80以外的数据流

udp src port 68 and udp dst port 67:抓取从端口68到端口67的所有UDP数据流(典型是从DHCP客户端到DHCP服务器)

udp src port 67 and udp dst port 68:抓取从端口67到端口68的所有UDP数据流(典型是从DHCP服务器到DHCP客户端)

抓取TCP连接的开始(SYN)和结束(FIN)报文,配置tcp[tcpflags] & (tcp-syn|tcp-fin)!=0

抓取所有RST(Reset)标志位为1的TCP报文,配置tcp[tcpflags] & (tcp-rst)!=0

less (length):抓取小于等于某一长度的报文,等同于len <=(length)

greater (length):抓取大于等于某一长度的报文,等同于len >=(length)


4、抓取基于指定协议的数据流

你可能需要查看基于一个或几个协议的数据流。通过目标应用的TCP、UDP或在TCP、UDP后加上端口号,将不相关的报文过滤掉。

icmp:抓取发到/来自icmp的数据流

port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)

not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流

port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)

udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)

tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)

portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流

tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流


【】显示特定数据流
显示过滤器可基于协议,应用,域名,或字符,对大小写敏感。绝大多数简单的显示过滤器由小写字母组成。
与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark显示过滤器和捕捉过滤器有很大的区别。


5、基于IP地址或主机报文过滤

对于IPv4数据流,我们使用字段名ip.src,ip.dst,ip.addr;对于IPv6数据流,使用ipv6.src,ipv6.dst,ipv6.host以及ipv6.addr。

ip.addr==172.16.1.69显示在IP源地址字段或IP目的地址字段包含172.16.1.69的帧。

ip.src==172.16.1.69显示所有来自172.16.1.69的数据流。

ip.dst==172.16.1.69显示所有发往172.16.1.69的数据流

!ip.addr==172.16.1.69显示除了在IP源地址字段或IP目的地址字段包含172.16.1.69以外的帧

例如在filter栏输入ip.dst ==172.16.1.79
显示信息,所有发往172.16.1.79的数据流

ip.src == 172.16.1.79 and ip.dst ==172.16.1.79 过滤源IP为172.16.1.79,目的IP为172.16.1.255的通信数据包
显示信息,源IP172.16.1.79,目的IP172.16.1.255的数据包


6、基于端口号的过滤

tcp.port == 80过滤tcp的80端口

协议过滤器

arp:显示所有包括ARP请求和回复在内的所有ARP数据流。

ip:显示内含IPv4头在内的(如ICMP目的地址不可达报文,在ICMP报文头之后返回到来方向的IPv4头)IP数据流。

ipv6:显示所有IPv6数据流,包括内含IPv6报文头的IPv4报文,如6to4,Teredo,以及ISATAP数据流。

tcp:显示所有基于TCP的数据流。

 

7、字符过滤器:

tcp.analysis.flags:显示所有包含TCP分析标识的所有报文,包括报文丢失,重传,或零窗口标识。

tcp.analysis,zero_window:显示含有表明发送方的接收缓存用完标识的报文

例tcp.flags.syn == 1:过滤三次握手fsyn=1的数据包

 

8、显示运算符

通过扩展过滤条件可查找某一域值,Wireshark针对此功能支持数字比较运算符。我整理出来几种类型,这里就不一一给大家查看结果了,

==或eq

例如:ip.src == 10.2.2.2显示所有源地址为10.2.2.2的IPv4数据流

!=或ne

例如:tcp.srcport != 80显示源端口除了80以外的所有TCP数据流

或gt

例如:frame.time_relative > 1 显示距前一个报文到达时间相差1秒的报文

<或lt

例如:tcp.window_size < 1460 显示当TCP接收窗口小于1460字节时的报文

=或ge

例如:dns.count.answers >= 10 显示包含10个以上answer的DNS响应报文

<=或le

例如:ip.ttl <= 10 显示IP报文中Time to Live字段小于等于10的报文

contains

例如:http contains “GET” 显示所有HTTP客户端发送给HTTP服务器的GET请求

运算符两边不用留空格。ip.src == 10.2.2.2与ip.src==10.2.2.2的效果是相同的。

 

 

 

 

 

Wireshark抓包分析TCP三次握手
(1)TCP三次握手连接建立过程

    Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;

    Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;

   Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。

 

(2)wireshark抓包获取访问指定服务端数据包

    Step1:启动wireshark抓包,打开浏览器输入www.huawei.com。

    Step2:使用ping www.huawei.com获取IP。

    Step3:输入过滤条件获取待分析数据包列表 ip.addr == 211.162.2.183

可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。


第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图。
数据包的关键属性如下:
  SYN :标志位,表示请求建立连接
  Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据
  Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据

第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
 数据包的关键属性如下:
  [SYN + ACK]: 标志位,同意建立连接,并回送SYN+ACK
  Seq = 0 :初始建立值为0,表示当前还没有发送数据
  Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)

第三次握手的数据包
  客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
数据包的关键属性如下:
  ACK :标志位,表示已经收到记录
  Seq = 1 :表示当前已经发送1个数据
  Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。

  就这样通过了TCP三次握手,建立了连接。开始进行数据交互

下面针对数据交互过程的数据包进行一些说明:

数据包的关键属性说明
  Seq: 1
  Ack: 1: 说明现在共收到1字节数据
  Seq: 1
  Ack: 951: 说明现在服务端共收到951字节数据

  在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG。如下
    其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有DATA数据传输,RST表示连接重置。

 

 

常用过滤:

ip.addr == 192.168.1.104 and icmp    //指定ip和指定协议的报文

data contains "abcd"  //过滤出data数据包中包含"abcd"内容的数据流

Wireshark抓包工具解析HTTPS包:

Wireshark抓包工具解析HTTPS包_wireshark https-CSDN博客

 

posted @ 2023-03-23 16:07  少年阿丁  阅读(72)  评论(0编辑  收藏  举报