写点什么

45 张图带你从入门到精通学习 WireShark!

作者:wljslmz
  • 2022 年 9 月 08 日
    江苏
  • 本文字数:2578 字

    阅读完需:约 8 分钟

45张图带你从入门到精通学习WireShark!

你好,这里是网络技术联盟站。


前几天文章中我们介绍了常用的抓包工具,有朋友表示用 WireShark 场景比较多,想让我写一篇有关 WireShark 详细的文章,那么今天瑞哥安排!

一、什么是 WireShark?

Wireshark 是一个开源抓包工具或者叫网络嗅探器,用于分析网络流量和分析数据包。


其实 WireShark 以前的名字不叫 WireShark,以前都叫做 Ethereal,于 1998 年首次开发,直到 2006 年才改为 Wireshark。


Wireshark 在网络排障中使用非常频繁,显示了网络模型中的第 2 层到第 5 层(链路层、网络层、传输层、应用层),不管是网络工程师、网络安全工程师、黑客、软件开发工程师,平时都会用到 Wireshark。

二、WireShark 下载与安装

2.1 WireShark 下载

首先,我们访问 WireShark 的官网地址https://www.wireshark.org/



点击【Download】:



我们看到 WireShark 下载有 windows 系统的、mac 系统的以及 Linux 系统的,我们这里以 Windows 系统为例,点击【Windows Installer (64-bit)】。


这里下载的是最新版本即 3.6.7 版本,如果你想下载旧版本的,可以点击下载界面下的【Old Stable Release】:


2.2 WireShark 安装

WireShark 下载好后就是安装了,直接双击程序:



然后像安装普通软件一样,一直下一步就行,不想安装在系统盘,自行改下位置。

2.3 WireShark 安装成功

WireShark 安装成功后,我们点开看下:



我们看到安装好的版本就是刚刚我们下载的。


下面我们来介绍一下 WireShark 的使用。

三、WireShark 的使用

3.1 选择监听的网络


每个人的场景不一样,如果你连接的是有线网络,那么你就选择本地连接的某个网络,我这里是无线网 WAN:



如果你点进去,能够看到数据包在不停的刷,那么就表明你选择的网络是正确的。

3.2 WireShark 界面简单介绍

WireShark 界面包含:


  • 菜单栏

  • 工具栏

  • 数据包列表面板

  • 数据包详细信息面板

  • 数据包字节信息面板


具体请看下图:


3.3 开始抓包和停止抓包

如果想要开始抓包,就点击:



如果想要停止抓包,就点击:



抓包过程中想要清空抓包列表,就点击:


3.4 抓包信息分析

会开始/停止抓包,那么抓到的包如何分析呢?


我们随便拿个包看下:


我们可以双击打开这个报文:



得到这样的界面:



  • Frame 40055:数据帧,编号为 40055,数据帧就是我们抓到的这个包发送的数据,74 字节,代表发送数据的大小有 74 字节的大小。



  • Ethernet II, Src: IntelCor_12:5a:b6 (5c:80:b6:12:5a:b6), Dst: 02:c8:a1:89:ae:d8 (02:c8:a1:89:ae:d8):以太网、二层,源目 mac 地址分别为5c:80:b6:12:5a:b602:c8:a1:89:ae:d8



  • Internet Protocol Version 4, Src: 192.168.3.29, Dst: 52.205.128.109:ipv4、三层,源目 ip 地址分别为192.168.3.2952.205.128.109



  • Transmission Control Protocol, Src Port: 62641, Dst Port: 443, Seq: 0, Len: 0:TCP 协议,源目端口号分别为 62641 和 443,序列号为 0,数据长度为 0.


3.5 WireShark 会话着色规则

网上也有介绍 WireShark 会话着色规则的,不过都不是很全面。


想要看到最全的默认着色规则,需要这样:



这样我们就能看到所有的默认着色规则,我们需要记住这些默认的规则,这样的话就能很轻易的判断出每条会话属于什么类的信息。

3.6 WireShark 过滤器

Wireshark 中有两种类型的过滤器:第一个是捕获过滤器,另一个是显示过滤器。


捕获过滤器


捕获过滤器在启动捕获操作之前建立,参数只记录和存储用户想要分析的流量,一旦捕获操作开始,就不可能修改这种类型的过滤器。


显示过滤器


显示过滤器包含适用于所有捕获数据包的参数,可以在启动捕获操作之前设置此类过滤器,然后再调整或取消它,还可以在操作进行时建立它,显示过滤器将数据保存在跟踪缓冲区中,隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。


Wireshark 有非常丰富的内置过滤器库,可帮助用户更好地监控他们的网络,想要使用 Wireshark 过滤器,可以在 Wireshark 工具栏下方输入相关规则:



尽管 Wireshark 拥有全面的过滤功能,但记住这些语法通常会很棘手,因为规则太多了,你压根顾不过来,所以,这里瑞哥给大家介绍一些常用的规则,足够大家平时使用了,至于遇到一些特殊场景的规则,谷歌一下就行。


❗❗❗ 注意:确保输入任何过滤器时显示过滤器背景为绿色,否则过滤器无效!


有效的过滤器:



无效的过滤器:


3.6.1 链路层协议

显示 ARP 流量:


arp
复制代码



显示从 MAC 地址为02:c8:a1:89:ae:d8的设备发送的 ARP 协议帧:


arp.src.hw_mac == 02:c8:a1:89:ae:d8
复制代码



显示从 IP 地址为192.168.3.29的设备发送的 ARP 协议帧:


arp.src.proto_ipv4 == 192.168.3.29
复制代码



显示以太网流量:


eth
复制代码


3.6.2 网络层协议

源 IP 地址:


ip.src == 192.168.3.29
复制代码



目标 IP 地址:


ip.dst == 192.168.3.29
复制代码



指定 IP 地址,不论其是源 ip 还是目的 ip:


ip.addr == 192.168.3.29
复制代码



也可以使用:


ip.src == 192.168.3.29 || ip.addr == 192.168.3.29
复制代码



💡 Tip:两者是一个效果,||是或者的意思


显示 IPv6 流量:


ipv6
复制代码


3.6.3 传输层协议

查看 TCP 流量:


tcp
复制代码



tcp 源端口 443 的流量:


tcp.srcport == 443
复制代码



tcp 目的端口 443 的流量:


tcp.dstport == 443
复制代码



tcp 指定端口 443 的流量,不论其是源端口还是目的端口:


tcp.port==443
复制代码



其等价过滤表达式和 ip 地址一样用||连接:


tcp.srcport == 443 || tcp.dstport == 443
复制代码


查看 UDP 流量:


udp
复制代码



udp 源端口 5353 的流量:


udp.srcport == 5353
复制代码



udp 目的端口 5353 的流量:


udp.dstport == 5353
复制代码



udp 指定端口 5353 的流量,不论其是源端口还是目的端口:


udp.port==5353
复制代码



其等价过滤表达式和 ip 地址一样用||连接:


udp.srcport == 5353 || udp.dstport == 5353
复制代码

3.6.4 应用层协议

查看 HTTP 流量:


http
复制代码



查看 HTTP POST 请求 流量:


http.request.method == "POST"
复制代码



查看 HTTP GET 请求 流量:


http.request.method == "GET"
复制代码



查看所有 DNS 请求和响应:


dns
复制代码


3.7 保存 WireShark 文件

我们在抓完一段时间的包后想要保存抓包过程,我们可以在停止抓包后 Ctrl + S 进行保存,或者点击开始抓包,会提示你是否保存:



一旦保存成功,会在指定目录生成一个后缀名为.pcapng的抓包文件:



我们可以想要查看抓包过程或者报文的时候选择双击它:


四、总结

WireShark 是一个非常好用、强大的工具,对于平时抓包分析十分有帮助,而且应用广泛,在 IT 领域几乎是家喻户晓,本文从 WireShark 基本介绍、WireShark 下载与安装、WireShark 的使用三个方面对 WireShark 进行了详细展开,希望本文对您有所帮助,最后感谢您的阅读,如果觉得文章对您有帮助,别忘了点赞👍、收藏⭐哦!有任何问题,欢迎在下方评论区与我讨论!!!

发布于: 刚刚阅读数: 4
用户头像

wljslmz

关注

极致主义者,追求技术的路上,勇往直前! 2021.05.24 加入

公众号:网络技术联盟站 👍InfoQ签约作者 👍阿里云社区签约作者 👍华为云 云享专家 👍BOSS直聘 创作王者 👍腾讯课堂创作领航员 博客+论坛:https://www.wljslmz.cn 工程师导航:https://www.wljslmz.com

评论

发布
暂无评论
45张图带你从入门到精通学习WireShark!_Wireshark_wljslmz_InfoQ写作社区