• 首页 |
  • 资讯 |
  • 生活 |
  • 电脑 |
  • 互联网 |
  • 手机 |
  • 财经 |
  • 教育 |
  • 简易号 |
    •   
      
      
      
    您当前的位置:首页 > 电脑百科 > 网络技术 > 网络软件

    Wireshark网络分析入门篇

    时间:2019-10-21 10:31:40  来源:  作者:
    + 加入收藏

    出自公众号:释然IT杂谈

    Wireshark是什么?

    Wireshark是最流行的网络嗅探器之一,能在多种平台上抓取和分析网络包,比如windowslinuxmac等。它的图形界面非常友好,但如果你觉得鼠标操作不够有范,也可以使用它的命令行形式——TShark。

    学习Wireshark有何意义?

    很显然,Wireshark并不能帮我们变成网络新贵,但它对技术上有所追求的攻城狮来说,有着金钱难以衡量的价值。用它来辅助学习,可以更深入地理解网络协议;用它来排查故障,可以更快地发现问题。假如你是团队中唯一掌握Wireshark的网络攻城狮,这个看家本领非常有助于你保持大牛地位。在同事们手足无措时,你可以用最快的速度摆平,然后平静地说一句:“问题解决了,我先去泡杯咖啡。”接下来就可以离开座位,让他们一脸崇拜地研究你满是Tshak命令的屏幕了。

    Wireshark图形窗口介绍

    Wireshark网络分析入门篇

    WireShark 主要分为这几个界面:

    1. Display Filter(显示过滤器), 用于过滤

    2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表

    3. Packet Details Pane(封包详细信息), 显示封包中的字段

    4. Dissector Pane(16进制数据)

    5. Miscellanous(地址栏,杂项)

    显示过滤器

    显示过滤器是在原来或者现在抓包的基础上,过滤掉其他的包,找到自己需要的数据报包。如图所示:

    Wireshark网络分析入门篇
    Wireshark网络分析入门篇
    Wireshark网络分析入门篇
    Wireshark网络分析入门篇

    过滤表达式的规则

    表达式规则

    1. 协议过滤 比如TCP,只显示TCP协议。
    2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102
    3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
    4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。
    5. 逻辑运算符为 AND/ OR 常用的过滤表达式

    过滤表达式 用途http 只查看HTTP协议的记录ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102

    封包列表

    封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。你可以看到不同的协议用了不同的颜色显示。

    你也可以修改这些显示颜色的规则, View ->Coloring Rules.

    Wireshark网络分析入门篇
    Wireshark网络分析入门篇

    封包详细信息

    这个面板是我们最重要的,用来查看协议中的每一个字段。

    各行信息分别为:

    Frame: 物理层的数据帧概况

    Ethernet II: 数据链路层以太网帧头部信息

    Internet Protocol Version 4: 互联网层IP包头部信息

    Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP

    Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

    Wireshark网络分析入门篇

    我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入 http://www.cr173.com 在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream", 这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

    Wireshark网络分析入门篇

    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

    第一次握手数据包

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。如下图

    Wireshark网络分析入门篇

    第二次握手的数据包

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

    Wireshark网络分析入门篇

    第三次握手的数据包

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图:

    Wireshark网络分析入门篇

    就这样通过了TCP三次握手,建立了连接

    Wireshark命令窗口介绍

    Wireshark网络分析软件用命令窗口处理数据包的情况很少,在处理大包时,为节约资源同时也是有效地利用PC机硬件,不得不用wireshark的命令行来处理数据包,以达到预期目的。

    命令行方式与wireshark图形界面等效的命令是:tshark.exe

    不管是用安装版的还是绿色版的wireshark软件,只要找到安装目录,即可进行操作。

    Wireshark网络分析入门篇
    Wireshark网络分析入门篇

    在命令窗口(DOS)输入dir%20*.exe,就会列出所有可执行文件。Tshark.exe就是wireshark的命令行文件,与窗口方式具有同等的功效(有点卖“野药”的感觉)。Tshark.exe有很多参数,可以通过命令后加-h查看帮助。

    有很多的参数

    Wireshark网络分析入门篇

    命令行工具功能很强大,参数多且可组合使用。如果我们在CDN机房或核心设备上做镜像抓包时,因数据量太大,图形界面抓包,几十秒或几秒钟的时间,电脑有可能就会蓝屏,造成电脑死机,达不到我们抓包的效果,所以,这时候我们就会用到命令行进行抓包。命令行捕获最大的优点就是资源占用少,可控性强。缺点是参数繁多,不易记忆和操作。

    Tshark默认情况下选择的是电脑中的第一张网卡,我们可以利用参数-D(注意大小写,参数中大小写的定义会不同)来查看。

    Wireshark网络分析入门篇

    举例:如下图

    Wireshark网络分析入门篇

    其他的一些命令的参数和用法,请参考-h帮助或相关资料研究学习。

    工具文件下载地址:https://www.wireshark.org/download/



    Tags:Wireshark   点击:()  评论:()
    声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
    ▌相关推荐
    wireshark 如何抓包https
    由于https 使用了 TLS/SSL 加密条件,我们无法直接在wireshark的中读取到数据内容,我们先看一下正常的http包的内容。可以直接读取到http的header 和body。 但如果是https 则不...【详细内容】
    2021-12-01  Tags: Wireshark  点击:(31)  评论:(0)  加入收藏
    Wireshark for Mac(网络协议分析软件)v3.5.0rc0-2716中文免费版
    Wireshark 中文版是一款mac网络协议分析软件,任何负责的网络分析人员都对这个软件情有独钟。如今,几乎没有哪种产品像它这样拥有如此持久的魅力,很容易看出其中的原因。网管员...【详细内容】
    2021-08-20  Tags: Wireshark  点击:(72)  评论:(0)  加入收藏
    用wireshark解密HTTPS流量
    我们日常用https访问网站的时候,和网站交互的数据是加密的,所用的协议就是SSL/TLS。所以即使我们截获了这些数据包,我们也不能看到加密的内容。比如我们随便打开百度的网址,用wi...【详细内容】
    2021-07-16  Tags: Wireshark  点击:(127)  评论:(0)  加入收藏
    Wireshark for Mac(网络协议分析软件)v3.5.0rc0-2136中文免费版
    Wireshark 中文版是一款mac网络协议分析软件,任何负责的网络分析人员都对这个软件情有独钟。如今,几乎没有哪种产品像它这样拥有如此持久的魅力,很容易看出其中的原因。网管员...【详细内容】
    2021-06-11  Tags: Wireshark  点击:(102)  评论:(0)  加入收藏
    wireshark之文件还原
    本文涉及相关实验:wireshark之文件还原 https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014122315591000001&pk_campaign=toutiao-wemedia实验目标:黑客A通过ARP欺...【详细内容】
    2021-02-25  Tags: Wireshark  点击:(304)  评论:(0)  加入收藏
    wireshark及抓包分析助力网络工程师甩锅、TCP滑动窗口机制
    某天接到一线工程师反馈,用户在登录和使用某台server的远程桌面过程中延迟非常大,而连接其他的server正常。一线工程师已经做了以下尝试:1 使用client去ping server,没有丢包,返...【详细内容】
    2020-12-30  Tags: Wireshark  点击:(236)  评论:(0)  加入收藏
    Wireshark数据包分析实战:HTTPS加解密过程
    01 引言成哥在Wireshark系列实战案例中,分析过多种网络问题,但唯独没有涉及到应用层HTTPS协议的相关内容。今天通过wireshark捕获HTTPS数据包,来给大家讲解一下HTTPS的加解密过...【详细内容】
    2020-10-20  Tags: Wireshark  点击:(163)  评论:(0)  加入收藏
    基于wireshark报文分析快速过滤(tcp,icmp,http)报文时延
    虚拟网络运维––基于wireshark报文分析快速过滤(tcp,icmp,http)报文时延前言在网络运维中,在报文分析时,时延类问题是比较常见的问题场景,如何快速定位到高时延的报...【详细内容】
    2020-06-21  Tags: Wireshark  点击:(299)  评论:(0)  加入收藏
    Ubuntu 上 Wireshark 的安装与使用
    在本教程中,你将学习如何在 Ubuntu 和其它基于 Ubuntu 的发行版上安装最新的 Wireshark。同时你也将学习如何在没有 sudo 的情况下来运行 Wireshark,以及如何设置它来进行数...【详细内容】
    2020-04-28  Tags: Wireshark  点击:(94)  评论:(0)  加入收藏
    使用tcpdump和wireshark分析tcp流
    使用tcpdump和wireshark分析tcp流Tcpdump抓包tcpdump -w packets.pcap -n -i eth0 tcp port 60 and dst host 10.22.47.66 -i: 指定网络接口 -n: 不做域名解析,使用ip -w:...【详细内容】
    2020-01-03  Tags: Wireshark  点击:(109)  评论:(0)  加入收藏
    ▌简易百科推荐
    远程软件发展迅猛,ToDesk凭何异军突起?
    说到远程控制,首先你会想到的是什么?是TeamViewer 还是向日葵?抑或是QQ远程还是anydesk?对,就在不久前,我们熟知的都是以上的产品,但是只2020年开始,一款新的远控产品ToDesk进入到我...【详细内容】
    2021-12-27  网管世界    Tags:ToDesk   点击:(4)  评论:(0)  加入收藏
    内网穿透工具使用总结
    # 1. nps-npc1.1 简介nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh...【详细内容】
    2021-12-22  大数据推荐杂谈    Tags:内网穿透   点击:(8)  评论:(0)  加入收藏
    10款必备的开源免费安全工具
    “磨刀不误砍柴工”。 优秀的工具有助于提高工作效率,安全工程师也需要优秀的安全软件来提高工作效率。 在具体的工作场景中,有很多种选择,这里有10种开源的免费安全工具,不仅可...【详细内容】
    2021-11-23  山东云管家官方    Tags:安全工具   点击:(33)  评论:(0)  加入收藏
    火绒安全软件怎么样,火绒软件用起来怎么样
    火绒安全软件是一款小巧精悍、独立纯粹的国产安全软件.有很多网友都下载安装了火绒安全软件使用.那么火绒安全软件怎么样呢,火绒安全软件好用吗?下面小编就给大家分析下详解...【详细内容】
    2021-11-03  装机吧    Tags:火绒   点击:(34)  评论:(0)  加入收藏
    简单分析实现运维利器---web远程ssh终端录像回放
    背景上次给大家介绍了实现基础的运维系统功能—webssh,今日书接上回,继续给大家介绍一个web远程ssh终端录像回放功能。 一、思路网上查了一下资料,搜索了一下关于实现webs...【详细内容】
    2021-10-13  小堂运维笔记    Tags:ssh终端   点击:(40)  评论:(0)  加入收藏
    网管常用工具,行走江湖,技多不压身
    QuickPing快速Ping扫描器QuickPing,哪些地址已经使用,哪些可用,图形界面非常直观,而且可以导出列表,该软件体积很小,可以快速的知道网段内哪些主机已经开启,ping成功的即显示出不同...【详细内容】
    2021-10-11  海南弱电李工    Tags:网管   点击:(66)  评论:(0)  加入收藏
    IT人员必备软件-局域网管理工具
    1、每个项目根据现场的网络环境不同,需要定义不同的IP地址,通过此工具可以快速配置。而且有助于做项目实施资料。2、以前连接过的wifi密码自带记忆功能,通过检索对应的WiFi名字...【详细内容】
    2021-10-08  IT游侠    Tags:局域网管理   点击:(49)  评论:(0)  加入收藏
    四大网络抓包神器,总有一款适合你
    01概述无论是开发还是测试,在工作中经常会遇到需要抓包的时候。本篇文章主要介绍如何在各个平台下,高效的抓包。目前的抓包软件总体可以分为两类: 一种是设置代理抓取http包,比...【详细内容】
    2021-09-28  小码哥聊软件测试    Tags:网络抓包   点击:(103)  评论:(0)  加入收藏
    Fiddler 抓包工具 - 全网最全最细教程,没有之一
    Fiddler 简介Fiddler 是位于客户端和服务器端的 HTTP 代理 目前最常用的 http 抓包工具之一 功能非常强大,是 Web 调试的利器关注+转发+私信【软件测试】领取Fiddler安装包和...【详细内容】
    2021-09-28  土豆聊软件测试    Tags:抓包工具   点击:(63)  评论:(0)  加入收藏
    21张图详解交换机MAC地址表的五大要素:MAC地址、VLAN、出接口等
    前言上次有写过一篇《20张图深度详解MAC地址表、ARP表、路由表》的文章,里面有提到了MAC地址表。那么什么是MAC地址表?MAC地址表有什么作用?MAC地址表里面包含了哪些要素?今天...【详细内容】
    2021-09-09  网络工程师笔记    Tags:MAC地址表   点击:(76)  评论:(0)  加入收藏
    推荐资讯
    聊聊如何自定义数据脱敏
    聊聊如何自定义数据脱    		河南人到底有多爱吃面?盘点河南13大名面,看看你都吃过哪几种?
    河南人到底有多爱吃面
    人称“犬中四煞”的4种狗,请认住它们的长相,看见了要绕路走
    人称“犬中四煞”的4    		离婚后,约定每月给孩子7000元抚养费,前夫却以再婚再育等为由想少给钱,法院这样判
    离婚后,约定每月给孩子
    “三皇五帝”分别是哪三皇,哪五帝?
    “三皇五帝”分别是哪    		印度低种姓群体如何翻身?途径确实有,但操作难度大
    印度低种姓群体如何翻
    日本研发“飞行摩托”,售价高达435万人民币,远销我国你会买吗
    日本研发“飞行摩托”    		2021年Steam最畅销游戏榜单公布
    2021年Steam最畅销游
    相关文章
    最新更新
    栏目热门
    栏目头条
    高级搜索
    网站首页 | 关于我们 | 服务条款 | 广告服务 | 联系我们 | 网站地图 | 免责声明 | 手机版
    Copyright @ 简易百科 V 2.0 ©2020-2022 ISOLVES.com | 电脑百科 | 生活百科 | 手机百科 | 简易号
    京ICP备14042104号   京公网安备 11010802035086号  QQ:2595517585
    简易百科手机版