wireshark是非常流行的網絡封包分析軟件��,功能十分強大����?��?梢越厝「鞣N網絡封包���,顯示網絡封包的詳細信息。使用wireshark的人必須了解網絡協(xié)議�,否則就看不懂wireshark了。
為了安全考慮����,wireshark只能查看封包,而不能修改封包的內容����,或者發(fā)送封包。
wireshark能獲取HTTP�,也能獲取HTTPS,但是不能解密HTTPS�,所以wireshark看不懂HTTPS中的內容,總結���,如果是處理HTTP,HTTPS 還是用Fiddler, 其他協(xié)議比如TCP,UDP 就用wireshark.
wireshark 開始抓包
開始界面
wireshark是捕獲機器上的某一塊網卡的網絡包�,當你的機器上有多塊網卡的時候���,你需要選擇一個網卡���。
點擊Caputre->Interfaces.. 出現(xiàn)下面對話框,選擇正確的網卡��。然后點擊"Start"按鈕, 開始抓包
Wireshark 窗口介紹
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器)����, 用于過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包��, 有源地址和目標地址�����,端口號���。 顏色不同�,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的字段
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄���,雜項)
使用過濾是非常重要的�, 初學者使用wireshark時,將會得到大量的冗余信息���,在幾千甚至幾萬條記錄中�����,以至于很難找到自己需要的部分�。搞得暈頭轉向�����。
過濾器會幫助我們在大量的數據中迅速找到我們需要的信息�。
過濾器有兩種,
一種是顯示過濾器���,就是主界面上那個��,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器�,用來過濾捕獲的封包�,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上���,填好Filter的表達式后����,點擊Save按鈕�, 取個名字。比如"Filter 102",
Filter欄上就多了個"Filter 102" 的按鈕��。
過濾表達式的規(guī)則
表達式規(guī)則
1. 協(xié)議過濾
比如TCP�����,只顯示TCP協(xié)議����。
2. IP 過濾
比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102,
ip.dst==192.168.1.102, 目標地址為192.168.1.102
3. 端口過濾
tcp.port ==80, 端口為80的
tcp.srcport == 80, 只顯示TCP協(xié)議的愿端口為80的��。
4. Http模式過濾
http.request.method=="GET", 只顯示HTTP GET方法的����。
5. 邏輯運算符為 AND/ OR
常用的過濾表達式
| 過濾表達式 | 用途 |
| http | 只查看HTTP協(xié)議的記錄 |
| ip.src ==192.168.1.102 or ip.dst==192.168.1.102 | 源地址或者目標地址是192.168.1.102 |
| snmp && udp.dstport == 162 | 抓取SNMP Trap包 |
| | |
封包列表(Packet List Pane)
封包列表的面板中顯示,編號���,時間戳�,源地址,目標地址����,協(xié)議,長度����,以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示���。
你也可以修改這些顯示顏色的規(guī)則��, View ->Coloring Rules.
封包詳細信息 (Packet Details Pane)
這個面板是我們最重要的�����,用來查看協(xié)議中的每一個字段��。
各行信息分別為
Frame: 物理層的數據幀概況
Ethernet II: 數據鏈路層以太網幀頭部信息
Internet Protocol Version 4: 互聯(lián)網層IP包頭部信息
Transmission Control Protocol: 傳輸層T的數據段頭部信息�����,此處是TCP
Hypertext Transfer Protocol: 應用層的信息��,此處是HTTP協(xié)議
TCP包的具體內容
從下圖可以看到wireshark捕獲到的TCP包中的每個字段����。
看到這, 基本上對wireshak有了初步了解����, 現(xiàn)在我們看一個TCP三次握手的實例
三次握手過程為
這圖我都看過很多遍了, 這次我們用wireshark實際分析下三次握手的過程���。
打開wireshark, 打開瀏覽器輸入 http://www.cr173.com
在wireshark中輸入http過濾, 然后選中GET /tankxiao HTTP/1.1的那條記錄�,右鍵然后點擊"Follow TCP Stream",
這樣做的目的是為了得到與瀏覽器打開網站相關的數據包,將得到如下圖
圖中可以看到wireshark截獲到了三次握手的三個數據包��。第四個包才是HTTP的���, 這說明HTTP的確是使用TCP建立連接的��。
第一次握手數據包
客戶端發(fā)送一個TCP��,標志位為SYN�����,序列號為0����, 代表客戶端請求建立連接。 如下圖
第二次握手的數據包
服務器發(fā)回確認包, 標志位為 SYN,ACK. 將確認序號(Acknowledgement Number)設置為客戶的I S N加1以.即0+1=1, 如下圖
第三次握手的數據包
客戶端再次發(fā)送確認包(ACK) SYN標志位為0,ACK標志位為1.并且把服務器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數據段放寫ISN的+1, 如下圖:
就這樣通過了TCP三次握手�,建立了連接
