0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

超详细的Wireshark使用教程

jf_uPRfTJDa 来源:5G通信 作者:5G通信 2022-12-09 10:15 次阅读

一、wireshark是什么?

wireshark是非常流行的网络封包分析软件,简称小鲨鱼,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息

wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。

二、Wireshark常用应用场景

1. 网络管理员会使用wireshark来检查网络问题

2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件

3. 从事socket编程的工程师会用wireshark来调试

4. 运维人员用于日常工作,应急响应等等

总之跟网络相关的东西,都可能会用到wireshark

三、Wireshark抓包原理

Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。

「单机情况」下,Wireshark直接抓取本机网卡的网络流量;

「交换机情况」下,Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。

ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。

四、Wireshark软件安装

软件下载路径:

按照系统版本选择下载,下载完成后,按照软件提示一路Next安装。

五、Wireshark抓包示例

先介绍一个使用wireshark工具抓取ping命令操作的示例,可以上手操作感受一下抓包的具体过程。

1、打开wireshark,主界面如下:

cc9dd998-7708-11ed-8abf-dac502259ad0.png

2、选择菜单栏上 捕获 -> 选项,勾选WLAN网卡。这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡。点击Start,启动抓包。

ccde5810-7708-11ed-8abf-dac502259ad0.png

3、wireshark启动后,wireshark处于抓包状态中。

ccee6336-7708-11ed-8abf-dac502259ad0.png

4、执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com。

cd13deae-7708-11ed-8abf-dac502259ad0.png

5、操作完成后相关数据包就抓取到了,可以点击 停止捕获分组 按钮。

ccee6336-7708-11ed-8abf-dac502259ad0.png

6、为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 183.232.231.172 and icmp 表示只显示ICPM协议且主机IP为183.232.231.172的数据包。说明:协议名称icmp要小写。

cd764800-7708-11ed-8abf-dac502259ad0.png

7、wireshark抓包完成,并把本次抓包或者分析的结果进行保存,就这么简单。关于wireshark显示过滤条件、抓包过滤条件、以及如何查看数据包中的详细内容在后面介绍。

cd9c69fe-7708-11ed-8abf-dac502259ad0.png

六、Wireshakr抓包界面介绍

cdb0d4e8-7708-11ed-8abf-dac502259ad0.png

Wireshark 的主界面包含6个部分:

菜单栏:用于调试、配置

工具栏:常用功能的快捷方式

过滤栏:指定过滤条件,过滤数据包

数据包列表:核心区域,每一行就是一个数据包

数据包详情:数据包的详细数据

数据包字节:数据包对应的字节流,二进制

说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏 视图 --> 着色规则。如下所示

cdd744c0-7708-11ed-8abf-dac502259ad0.png

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)

用于设置过滤条件进行数据包列表过滤。菜单路径:分析 --> Display Filters

cdeeb362-7708-11ed-8abf-dac502259ad0.png

2. Packet List Pane(数据包列表)

显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

cdffa460-7708-11ed-8abf-dac502259ad0.png

3. Packet Details Pane(数据包详细信息)

在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为

(1)Frame:物理层的数据帧概况

(2)EthernetII:数据链路层以太网帧头部信息

(3)Internet Protocol Version 4:互联网层IP包头部信息

(4)Transmission Control Protocol:传输层T的数据段头部信息,此处是TCP

(5)Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议

ce11429c-7708-11ed-8abf-dac502259ad0.png

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

ce531fbe-7708-11ed-8abf-dac502259ad0.png

ce8796ae-7708-11ed-8abf-dac502259ad0.png

4. Dissector Pane(数据包字节区)

报文原始内容。

ceabbc82-7708-11ed-8abf-dac502259ad0.png

七、Wireshark过滤器设置

初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己需要抓取的数据包部分。wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1.抓包过滤器

捕获过滤器的菜单栏路径为 捕获 --> 捕获过滤器。用于在抓取数据包前设置。

cebc69ec-7708-11ed-8abf-dac502259ad0.png

如何使用呢?设置如下。

cedbcf9e-7708-11ed-8abf-dac502259ad0.png

ip host 183.232.231.172表示只捕获主机IP为183.232.231.172的数据包。获取结果如下:

ceff32fe-7708-11ed-8abf-dac502259ad0.png

2. 显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。

通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。

cf391154-7708-11ed-8abf-dac502259ad0.png

同样上述场景,在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包。

cf4d21f8-7708-11ed-8abf-dac502259ad0.png

执行ping www.baidu.com获取的数据包列表如下

cf5cc84c-7708-11ed-8abf-dac502259ad0.png

观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 183.232.231.172,并进行过滤。

cf73d4f6-7708-11ed-8abf-dac502259ad0.png

上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。下面介绍一下两者间的语法以及它们的区别。

八、wireshark过滤器表达式的规则

1. 抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&与、|| 或、!非)

(1)协议过滤

比较简单,直接在抓包过滤框中直接输入协议名即可。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

(2)IP过滤

host 192.168.1.104

src host192.168.1.104

dst host192.168.1.104

(3)端口过滤

port 80

src port 80

dst port 80

(4)逻辑运算符&&与、|| 或、!非

src host 192.168.1.104 &&dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

!broadcast 不抓取广播数据包

2. 显示过滤器语法和实例

(1)比较操作符

比较操作符有

== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于

(2)协议过滤

比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表

cf8d9a6c-7708-11ed-8abf-dac502259ad0.png

(3) ip过滤

ip.src ==112.53.42.42 显示源地址为112.53.42.42的数据包列表

ip.dst==112.53.42.42, 显示目标地址为112.53.42.42的数据包列表

ip.addr == 112.53.42.42 显示源IP地址或目标IP地址为112.53.42.42的数据包列表

cfa01cf0-7708-11ed-8abf-dac502259ad0.png

(4)端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

cfb4df46-7708-11ed-8abf-dac502259ad0.png

(5) http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

cfd64ab4-7708-11ed-8abf-dac502259ad0.png

(6)逻辑运算符为 and/or/not

过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.0.104的ICMP数据包表达式为ip.addr == 192.168.0.104 and icmp

cff352d0-7708-11ed-8abf-dac502259ad0.png

(7)按照数据包内容过滤

假设我要以ICMP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。

d03bff4e-7708-11ed-8abf-dac502259ad0.png

右键单击选中后出现如下界面

d0535ee6-7708-11ed-8abf-dac502259ad0.png

选中后在过滤器中显示如下

d078267c-7708-11ed-8abf-dac502259ad0.png

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。关键词是contains,完整条件表达式为data contains "abcd"

d0910642-7708-11ed-8abf-dac502259ad0.png

看到这, 基本上对wireshak有了初步了解。

3. 常见用显示过滤需求及其对应表达式

数据链路层:

筛选mac地址为043813:26的数据包

eth.src == 043813:26

筛选源mac地址为043813:26的数据包----

eth.src == 043813:26

网络层:

筛选ip地址为192.168.1.1的数据包

ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据

ip contains "192.168.1"

传输层:

筛选端口为80的数据包

tcp.port == 80

筛选12345端口和80端口之间的数据包

tcp.port == 12345 &&tcp.port == 80

筛选从12345端口到80端口的数据包

tcp.srcport == 12345 &&tcp.dstport == 80

应用层:

特别说明: http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1) http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。

筛选url中包含.php的http数据包

http.request.uri contains ".php"

筛选内容包含username的http数据包

http contains "username"

九、Wireshark抓包分析TCP三次握手

1. TCP三次握手连接建立过程

Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;

Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;

Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。

d0ae1ce6-7708-11ed-8abf-dac502259ad0.png

2. Wireshark抓包获取访问指定服务端数据包

Step1:启动wireshark抓包,打开浏览器输入www.baidu.com。

Step2:使用ping www.baidu.com获取IP。

d0d2c0be-7708-11ed-8abf-dac502259ad0.png

Step3:输入过滤条件获取待分析数据包列表 ip.addr == 183.232.231.172

d0ea7024-7708-11ed-8abf-dac502259ad0.png

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTPS的, 这说明HTTPS的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。

d1052c84-7708-11ed-8abf-dac502259ad0.png

数据包的关键属性如下:

SYN :标志位,表示请求建立连接

Seq = 0 :初始建立连接值为0,数据包的相对序列号从0开始,表示当前还没有发送数据

Ack =0:初始建立连接值为0,已经收到包的数量,表示当前没有接收到数据

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK。将确认序号(Acknowledgement Number)字段+1,即0+1=1。

d1196c94-7708-11ed-8abf-dac502259ad0.png

数据包的关键属性如下:

[SYN + ACK]: 标志位,同意建立连接,并回送SYN+ACK

Seq = 0 :初始建立值为0,表示当前还没有发送数据

Ack = 1:表示当前端成功接收的数据位数,虽然客户端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位。(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1。并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,并且在Flag段写ACK的+1:

d15c85a6-7708-11ed-8abf-dac502259ad0.png

数据包的关键属性如下:

ACK :标志位,表示已经收到记录

Seq = 1 :表示当前已经发送1个数据

Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。

就这样通过了TCP三次握手,建立了连接。开始进行数据交互

d16fe858-7708-11ed-8abf-dac502259ad0.png

十、Wireshark分析常用操作

调整数据包列表中时间戳显示格式。调整方法为 视图 -->时间显示格式 --> 日期和时间。调整后格式如下:

d1f404f8-7708-11ed-8abf-dac502259ad0.png

一般Wireshark软件也可以与各主流厂家的模拟器一起使用,更适合于项目准确配置。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络
    +关注

    关注

    14

    文章

    7511

    浏览量

    88605
  • 分析软件
    +关注

    关注

    0

    文章

    29

    浏览量

    7102
  • Wireshark
    +关注

    关注

    0

    文章

    49

    浏览量

    6497

原文标题:超详细的Wireshark使用教程

文章出处:【微信号:5G通信,微信公众号:5G通信】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Proteus详细教程太大了分解了分享

    Proteus详细教程太大了分解了分享Proteus详细教程太大了分解了分享
    发表于 09-19 12:52

    wireshark(1)——ubuntu下解决wireshark权限问题

    wireshark要监控eth0,但是必须要root权限才行。但是,直接用root运行程序是相当危险,也是非常不方便的。解决方法如下: 1.添加wireshark用户组 sudo groupadd
    发表于 01-08 10:18

    Verilog详细教程.pdf

    Verilog详细教程.pdf
    发表于 03-24 08:30

    Verilog详细教程

    Verilog详细教程
    发表于 03-12 08:58

    PID控制详细教程

    PID控制详细教程,需要完整版的朋友可以下载附件保存哦~
    发表于 08-23 09:37

    Wireshark中文简明使用教程

    Wireshark中文简明使用教程
    发表于 12-29 11:33 0次下载

    使用wireshark抓包分析TCP及UDP的资料详细说明

    本文档的主要内容详细介绍的是使用wireshark抓包分析TCP及UDP的资料详细说明。
    发表于 05-09 17:36 27次下载
    使用<b class='flag-5'>wireshark</b>抓包分析TCP及UDP的资料<b class='flag-5'>详细</b>说明

    网络数据包分析软件wireshark的基本使用

    Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
    的头像 发表于 09-29 14:48 2992次阅读

    网络封包分析软件——Wireshark抓包教程

    Wireshark(前称Ethereal)是一个网络封包分析软件。 网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
    的头像 发表于 02-24 09:43 1292次阅读

    WireShark 的 IzoT 插件

    WireShark 的 IzoT 插件
    发表于 03-13 19:29 2次下载
    <b class='flag-5'>WireShark</b> 的 IzoT 插件

    WireShark的常用操作

    WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网
    的头像 发表于 05-26 15:16 654次阅读
    <b class='flag-5'>WireShark</b>的常用操作

    详细WireShark抓包使用教程

    Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。
    的头像 发表于 06-06 09:22 6378次阅读
    <b class='flag-5'>超</b><b class='flag-5'>详细</b>的<b class='flag-5'>WireShark</b>抓包使用教程

    干货丨网络封包分析软件——Wireshark抓包教程

    Wireshark简介Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark
    的头像 发表于 03-06 11:18 1736次阅读
    干货丨网络封包分析软件——<b class='flag-5'>Wireshark</b>抓包教程

    WireShark 的 IzoT 插件

    WireShark 的 IzoT 插件
    发表于 07-04 20:46 0次下载
    <b class='flag-5'>WireShark</b> 的 IzoT 插件

    wireshark是什么软件 wireshark安装教程

    Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像
    发表于 09-13 16:26 0次下载