各位网络安全的小伙伴们还在对着枯燥的课本和晦涩的官方文档头疼吗今天就让我这位在网络安全圈摸爬滚打多年的老司机带你玩转Wireshark保证你看完这篇抓包分析技能直接起飞Wireshark网络世界的“照妖镜” Wireshark这可不是普通的抓包软件它简直就是网络世界的“照妖镜”啥你还不知道它能干啥简单来说它能抓取网络封包并且像福尔摩斯一样把封包里的各种信息扒得干干净净让你看得明明白白。这年头不会用Wireshark都不好意思说自己是搞网络安全的本文将带你一步步掌握Wireshark的精髓主要内容包括界面大揭秘带你熟悉Wireshark的主界面就像逛自家后花园一样轻松。抓包初体验手把手教你抓取第一个数据包并进行简单分析体验当黑客的快感过滤器大法掌握各种过滤技巧让你在茫茫数据包中精准锁定目标效率提升100倍话不多说让我们一起进入Wireshark的奇妙世界吧初识Wireshark颜值与实力并存的“小鲜肉” 首先让我们来认识一下这位“小鲜肉”——Wireshark的主界面它长这样是不是感觉有点眼花缭乱别怕跟着我的节奏你很快就能驾轻就熟抓个“小蝌蚪”你的第一个数据包 接下来我们来抓取你的第一个数据包就像钓鱼一样充满乐趣选网卡打开Wireshark选择菜单栏上的Capture - Option找到你正在使用的网卡不知道选哪个看看你的IP地址对应的网卡就知道了。开始抓包点击StartWireshark就开始像辛勤的蜜蜂一样为你采集数据包啦制造流量随便打开一个网页或者ping一下百度ping www.baidu.com让你的电脑跑起来停止抓包抓取到足够的数据包后点击红色停止按钮结束抓包。过滤“杂鱼”为了方便分析我们可以在过滤栏设置过滤条件比如ip.addr 119.75.217.26 and icmp只显示ICMP协议且源或目的IP为百度的数据包。大功告成看到这些整齐排列的数据包是不是感觉成就感满满Wireshark界面三大区域各司其职 抓到包只是第一步接下来我们要了解Wireshark的界面构成才能更好地分析数据。Wireshark主要分为以下三个区域数据包列表区这里展示了抓取到的所有数据包不同的协议用不同的颜色区分方便你快速定位。想知道这些颜色代表什么点击菜单栏View -- Coloring Rules一览无余数据包详细信息区选中一个数据包这里会显示它的所有详细信息包括物理层、数据链路层、网络层、传输层和应用层的信息。这里可是重点是分析数据包的关键Frame物理层的数据帧概况Ethernet II数据链路层以太网帧头部信息Internet Protocol Version 4互联网层IP包头部信息Transmission Control Protocol传输层TCP的数据段头部信息Hypertext Transfer Protocol应用层的信息此处是HTTP协议看看这个TCP包是不是感觉信息量爆炸3.数据包字节区这里显示了数据包的原始字节数据一般用于深入分析。4.显示过滤器菜单路径Analyze -- Display Filters。用于设置过滤条件进行数据包列表过滤。过滤器数据包海洋里的“指南针” 抓到的数据包太多看得眼花缭乱别担心Wireshark的过滤器就是你的“指南针”帮你快速找到你需要的信息。Wireshark有两种类型的过滤器抓包过滤器在抓取数据包之前设置用于过滤掉不需要的数据包减少抓包量。菜单栏路径为Capture -- Capture Filters。比如我们可以设置只捕获主机IP为60.207.246.216的ICMP数据包ip host 60.207.246.216 and icmp。效果立竿见影显示过滤器在抓取数据包之后设置用于过滤显示的数据包方便分析。比如我们先抓取所有数据包然后使用显示过滤器ip.addr 211.162.2.183 and icmp只显示与华为服务器相关的ICMP数据包。效果同样显著记住在网络流量不大的情况下使用显示过滤器更方便过滤器语法玩转Wireshark的“秘籍” 想要玩转Wireshark必须掌握过滤器的语法就像掌握了一门武功秘籍抓包过滤器语法类型Typehost主机、net网络、port端口方向Dirsrc源、dst目的协议Protoether、ip、tcp、udp、http、icmp、ftp等逻辑运算符与、||或、!非举个栗子tcp只显示TCP协议的数据包host 192.168.1.104只显示与主机192.168.1.104相关的数据包src host 192.168.1.104 dst port 80抓取源主机为192.168.1.104目的端口为80的数据包!broadcast不抓取广播数据包显示过滤器语法比较操作符等于、!不等于、大于、小于、大于等于、小于等于协议过滤与抓包过滤器类似直接输入协议名即可注意小写。IP过滤ip.src 192.168.1.104显示源地址为192.168.1.104的数据包ip.dst 192.168.1.104显示目标地址为192.168.1.104的数据包ip.addr 192.168.1.104显示源或目标IP地址为192.168.1.104的数据包*端口过滤*tcp.port 80显示源或目的端口为80的数据包*tcp.srcport 80只显示TCP协议的源端口为80的数据包*tcp.dstport 80只显示TCP协议的目的端口为80的数据包*HTTP模式过滤*http.request.method GET只显示HTTP GET方法的请求*逻辑运算符and/or/not*ip.addr 192.168.1.104 and icmp获取IP地址为192.168.1.104的ICMP数据包*按照数据包内容过滤选中界面中的码流右键选择SelectWireshark会自动生成过滤条件。比如要过滤出data数据包中包含 “abcd” 内容的数据流可以使用data contains abcd。实战演练Wireshark抓包分析TCP三次握手 光说不练假把式让我们用Wireshark来分析一下TCP三次握手的过程看看它到底是怎么建立连接的。TCP三次握手过程第一次握手客户端发送SYN包给服务器请求建立连接。第二次握手服务器收到SYN包回复SYNACK包表示同意连接。第三次握手客户端收到SYNACK包发送ACK包给服务器确认连接建立。使用Wireshark抓包Step1启动Wireshark抓包打开浏览器输入www.huawei.com。Step2使用ping www.huawei.com获取华为服务器的IP地址。Step3输入过滤条件ip.addr 211.162.2.183获取待分析数据包列表。Step4分析三次握手的数据包。第一次握手客户端发送SYN包SYN 1ACK 0Seq 0。第二次握手服务器发送SYNACK包SYN 1ACK 1Seq 0Ack 1。第三次握手客户端发送ACK包SYN 0ACK 1Seq 1Ack 1。数据交互连接建立后客户端和服务端就可以开始进行数据交互了。注意在TCP层FLAGS字段包含了SYN、FIN、ACK、PSH、RST、URG等标识其中SYN表示建立连接FIN表示关闭连接ACK表示响应PSH表示有DATA数据传输RST表示连接重置。Wireshark常用操作让你的分析更高效 最后分享几个Wireshark的常用操作让你的分析效率更上一层楼调整时间戳显示格式View -- Time Display Format -- Date and Time of Day让时间戳更易读。总结看完这篇文章你是不是感觉Wireshark也没那么难了只要掌握了基本概念和操作你就可以像一位经验丰富的网络安全工程师一样轻松驾驭Wireshark分析网络流量排查安全问题。记住Wireshark不仅是一款工具更是一种思维方式。通过分析数据包你可以更深入地了解网络协议、网络通信原理从而提升你的网络安全技能。还在等什么赶紧打开Wireshark开始你的抓包之旅吧P.S.Wireshark还可以与各种主流厂家的模拟器一起使用更适合于项目准确配置哦互动话题如果你想学习更多**网络安全方面**的知识和工具可以看看以下面网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】