欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Wireshark零基礎(chǔ)使用超詳細(xì)教程

 更新時(shí)間:2023年08月18日 11:13:41   作者:元宇宙-Metaverse  
Wireshark是應(yīng)用最普遍的一款開源抓包軟件,常用來(lái)檢測(cè)收集成績(jī)、攻打溯源、或許剖析底層通訊機(jī)制,本文給大家講解Wireshark零基礎(chǔ)使用超詳細(xì)教程,感興趣的朋友一起看看吧

腳本之家下載:Wireshark(網(wǎng)絡(luò)過(guò)濾抓包工具) v4.0.3 完整漢化綠色便攜版

一、Wireshark是什么

Wireshark是使用最廣泛的一款「開源抓包軟件」,常用來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題、攻擊溯源、或者分析底層通信機(jī)制。

它使用WinPCAP作為接口,直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

二、Wireshark抓包原理

Wireshark使用的環(huán)境大致分為兩種,一種是電腦直連互聯(lián)網(wǎng)的單機(jī)環(huán)境,另外一種就是應(yīng)用比較多的互聯(lián)網(wǎng)環(huán)境,也就是連接交換機(jī)的情況。

「單機(jī)情況」下,Wireshark直接抓取本機(jī)網(wǎng)卡的網(wǎng)絡(luò)流量;「交換機(jī)情況」下,Wireshark通過(guò)端口鏡像、ARP欺騙等方式獲取局域網(wǎng)中的網(wǎng)絡(luò)流量。

  • 端口鏡像:利用交換機(jī)的接口,將局域網(wǎng)的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到指定電腦的網(wǎng)卡上。
  • ARP欺騙:交換機(jī)根據(jù)MAC地址轉(zhuǎn)發(fā)數(shù)據(jù),偽裝其他終端的MAC地址,從而獲取局域網(wǎng)的網(wǎng)絡(luò)流量。

三、Wireshark安裝入門。

安裝完成后,我們學(xué)習(xí)一下快速抓包。

1. 選擇網(wǎng)卡

打開 Wireshark 后,會(huì)直接進(jìn)入「網(wǎng)卡選擇界面」,WLAN 是我連接無(wú)線的網(wǎng)卡,我們抓一下這個(gè)網(wǎng)卡的流量,雙擊網(wǎng)卡名,自動(dòng)開始抓包。

2. 停止抓包

點(diǎn)擊左上角的「紅色按鈕」,可以停止抓包

3. 保存數(shù)據(jù)

點(diǎn)擊右上角的「文件」,選擇「保存」,可以保存抓包的數(shù)據(jù)

也可以直接點(diǎn)擊工具欄的保存按鈕

四、界面介紹

Wireshark 的主界面包含6個(gè)部分:

  • 菜單欄:用于調(diào)試、配置
  • 工具欄:常用功能的快捷方式
  • 過(guò)濾欄:指定過(guò)濾條件,過(guò)濾數(shù)據(jù)包
  • 數(shù)據(jù)包列表:核心區(qū)域,每一行就是一個(gè)數(shù)據(jù)包
  • 數(shù)據(jù)包詳情:數(shù)據(jù)包的詳細(xì)數(shù)據(jù)
  • 數(shù)據(jù)包字節(jié):數(shù)據(jù)包對(duì)應(yīng)的字節(jié)流,二進(jìn)制

五、基礎(chǔ)操作

接下來(lái),我們學(xué)習(xí)一下Wireshark常用的操作。

1. 調(diào)整界面大小

工具欄中的三個(gè)「放大鏡」圖標(biāo),可以調(diào)整主界面數(shù)據(jù)的大小。

從左到右依次是:放大、縮小、還原默認(rèn)大小。

2. 設(shè)置顯示列

數(shù)據(jù)包列表是最常用的模塊之一,列表中有一些默認(rèn)顯示的列,我們可以添加、刪除、修改顯示的列。

1)添加顯示列

想要在數(shù)據(jù)列表中顯示某一個(gè)字段,可以將這個(gè)數(shù)據(jù)字段添加至顯示列中。左鍵選中想要添加為列的字段,右鍵選擇「應(yīng)用為列」。

選中字段,按 Ctrl + Shift + I ,也可以實(shí)現(xiàn)同樣的效果。

添加為列的字段會(huì)在數(shù)據(jù)列表中顯示。

2)隱藏顯示列

暫時(shí)不想查看的列,可以暫時(shí)隱藏起來(lái)。在顯示列的任意位置右鍵,取消列名的「勾選」,即可隱藏顯示列。

3)刪除顯示列

不需要查看的字段,可以從顯示列中刪除。右鍵需要?jiǎng)h除的列,點(diǎn)擊最下方的「Remove this Column」 。

注意:隱藏字段時(shí),在列名欄的任意位置右鍵即可;而刪除字段時(shí),需要在指定的列名位置右鍵,以防誤刪。

3. 設(shè)置時(shí)間

數(shù)據(jù)包列表欄的時(shí)間這一列,默認(rèn)顯示格式看起來(lái)很不方便,我們可以調(diào)整時(shí)間的顯示格式。點(diǎn)擊工具欄的「視圖」,選擇「時(shí)間顯示格式」,設(shè)置你喜歡的格式。

4. 標(biāo)記數(shù)據(jù)包

對(duì)于某些比較重要的數(shù)據(jù)包,可以設(shè)置成高亮顯示,以達(dá)到標(biāo)記的目的。選中需要標(biāo)記的數(shù)據(jù)包,右鍵選擇最上面的「標(biāo)記/取消標(biāo)記」。

選中數(shù)據(jù)包,按 Ctrl + M 也可以實(shí)現(xiàn)同樣的效果,按兩次可以取消標(biāo)記。

5. 導(dǎo)出數(shù)據(jù)包

演示快速抓包時(shí),我們講過(guò)保存數(shù)據(jù)包的操作,保存操作默認(rèn)保存所有已經(jīng)抓取的數(shù)據(jù)包。但有時(shí)候,我們只需要保存指定的數(shù)據(jù)包,這時(shí)候可以使用導(dǎo)出的功能。

1)導(dǎo)出單個(gè)數(shù)據(jù)包

選中數(shù)據(jù)包,點(diǎn)擊左上角的「文件」,點(diǎn)擊「導(dǎo)出特定分組」。

在「導(dǎo)出分組界面」,選擇第二個(gè) 「Selected packets only」,只保存選中的數(shù)據(jù)包。

2)導(dǎo)出多個(gè)數(shù)據(jù)包

有時(shí)候我們需要導(dǎo)出多個(gè)數(shù)據(jù)包,Wireshark有一個(gè)導(dǎo)出標(biāo)記的數(shù)據(jù)包的功能,我們將需要導(dǎo)出的數(shù)據(jù)包都標(biāo)記起來(lái),就可以同時(shí)導(dǎo)出多個(gè)數(shù)據(jù)包。

點(diǎn)擊左上角的「文件」,點(diǎn)擊「導(dǎo)出特定分組」。

在「導(dǎo)出分組界面」,勾選第三個(gè) 「Marked packets only」,只導(dǎo)出標(biāo)記的數(shù)據(jù)包。

6. 開啟混雜模式

局域網(wǎng)的所有流量都會(huì)發(fā)送給我們的電腦,默認(rèn)情況下,我們的電腦只會(huì)對(duì)自己mac的流量進(jìn)行解包,而丟棄其他mac的數(shù)據(jù)包。開啟混雜模式后,我們就可以解析其他mac的數(shù)據(jù)包,因此,我們使用Wireshark時(shí),通常都會(huì)開啟混雜模式。

點(diǎn)擊菜單欄的「捕獲」按鈕,點(diǎn)擊「選項(xiàng)」。

勾選 在所有接口上使用混雜模式。

六、過(guò)濾器操作

過(guò)濾器是Wireshark的核心功能,也是我們平時(shí)使用最多的一個(gè)功能。

Wireshark提供了兩個(gè)過(guò)濾器:抓包過(guò)濾器 和 顯示過(guò)濾器。兩個(gè)過(guò)濾器的過(guò)濾思路不同。

  • 抓包過(guò)濾器:重點(diǎn)在動(dòng)作,需要的包我才抓,不需要的我就不抓。
  • 顯示過(guò)濾器:重點(diǎn)在數(shù)據(jù)的展示,包已經(jīng)抓了,只是不顯示出來(lái)。

1. 抓包過(guò)濾器

抓包過(guò)濾器在抓包前使用,它的過(guò)濾有一個(gè)基本的語(yǔ)法格式:BPF語(yǔ)法格式。

1)BPF語(yǔ)法

BPF(全稱 Berkeley Packet Filter),中文叫伯克利封包過(guò)濾器,它有四個(gè)核心元素:類型、方向、協(xié)議 和 邏輯運(yùn)算符。

  • 類型Type:主機(jī)(host)、網(wǎng)段(net)、端口(port)
  • 方向Dir:源地址(src)、目標(biāo)地址(dst)
  • 協(xié)議Proto:各種網(wǎng)絡(luò)協(xié)議,比如:tcp、udp、http
  • 邏輯運(yùn)算符:與( && )、或( || )、非( ?。?/li>

四個(gè)元素可以自由組合,比如:

  • src host 192.168.31.1:抓取源IP為 192.168.31.1 的數(shù)據(jù)包
  • tcp || udp:抓取 TCP 或者 UDP 協(xié)議的數(shù)據(jù)包

2)使用方式

使用抓包過(guò)濾器時(shí),需要先停止抓包,設(shè)置完過(guò)濾規(guī)則后,再開始抓包。

停止抓包的前提下,點(diǎn)擊工具欄的捕獲按鈕,點(diǎn)擊選項(xiàng)。

在彈出的捕獲選項(xiàng)界面,最下方的輸入框中輸入過(guò)濾語(yǔ)句,點(diǎn)擊開始即可抓包。

提示:抓包過(guò)濾器的輸入框,會(huì)自動(dòng)檢測(cè)語(yǔ)法,綠色代表語(yǔ)法正確,紅色代表語(yǔ)法錯(cuò)誤。

2. 顯示過(guò)濾器

顯示過(guò)濾器在抓包后或者抓包的過(guò)程中使用。

1)語(yǔ)法結(jié)構(gòu)

顯示過(guò)濾器的語(yǔ)法包含5個(gè)核心元素:IP、端口、協(xié)議、比較運(yùn)算符和邏輯運(yùn)算符。

  • IP地址:ip.addr、ip.src、ip.dst
  • 端口:tcp.port、tcp.srcport、tcp.dstport
  • 協(xié)議:tcp、udp、http
  • 比較運(yùn)算符:> < == >= <= !=
  • 邏輯運(yùn)算符:and、or、not、xor(有且僅有一個(gè)條件被滿足)

5個(gè)核心元素可以自由組合,比如:

  • ip.addr == 192.168.32.121:顯示IP地址為 192.168.32.121 的數(shù)據(jù)包
  • tcp.port == 80 :顯示端口為 80 的數(shù)據(jù)包

2)使用方式

在過(guò)濾欄輸入過(guò)濾語(yǔ)句,修改后立即生效。

提示:過(guò)濾欄有自動(dòng)糾錯(cuò)功能,綠色表示語(yǔ)法正確,紅色表示語(yǔ)法錯(cuò)誤。

到此這篇關(guān)于Wireshark零基礎(chǔ)使用教程(超詳細(xì))的文章就介紹到這了,更多相關(guān)Wireshark使用內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評(píng)論