0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Wireshark几个常用技巧

strongerHuang 来源:CSDN-假面生 2023-05-23 17:49 次阅读

经典的开源的网络抓包工具 Wireshark 相信大部分人(或者搞过网络)的人都知道它,用过的人基本了解它的强大功能。

1、数据包过滤

a. 过滤需要的IP地址 ip.addr==

765e616e-ec2f-11ed-90ce-dac502259ad0.jpg

b. 在数据包过滤的基础上过滤协议ip.addr==xxx.xxx.xxx.xxx and tcp

7676baa2-ec2f-11ed-90ce-dac502259ad0.jpg

c. 过滤端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80

76839f92-ec2f-11ed-90ce-dac502259ad0.png

d. 指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx

76a53d00-ec2f-11ed-90ce-dac502259ad0.png

e. SEQ字段(序列号)过滤(定位丢包问题)

TCP数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给TCP报文排序,发现哪个数据包丢失。

SEQ分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。

76b90bfa-ec2f-11ed-90ce-dac502259ad0.jpg

2、修改数据包时间显示

有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过View---time display format来进行修改。

修改前:

76c9673e-ec2f-11ed-90ce-dac502259ad0.jpg

修改后:

76e70e74-ec2f-11ed-90ce-dac502259ad0.png

76f232f4-ec2f-11ed-90ce-dac502259ad0.png

3、确认数据报文顺序

有一些特殊情况,客户的业务源目的IP 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略PC是不能直接访问SER的。

76fedfc2-ec2f-11ed-90ce-dac502259ad0.png

那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是WEB。我们从而知道TCP报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。

一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。

Edit-----preference------protocols----tcp---relative sequence numbers

77132892-ec2f-11ed-90ce-dac502259ad0.jpg

修改参数如下:

7722a36c-ec2f-11ed-90ce-dac502259ad0.png

我拿TCP协议举例

774559ac-ec2f-11ed-90ce-dac502259ad0.jpg

把TCP的这个选项去除掉

775652ac-ec2f-11ed-90ce-dac502259ad0.jpg

最后的效果:

776a3f4c-ec2f-11ed-90ce-dac502259ad0.jpg

4、过滤出来的数据包保存

我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。

77836b84-ec2f-11ed-90ce-dac502259ad0.png

779cc3b8-ec2f-11ed-90ce-dac502259ad0.jpg

5、数据包计数统计

网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。

Statistics------conversations

77b14bda-ec2f-11ed-90ce-dac502259ad0.png

77c3f44c-ec2f-11ed-90ce-dac502259ad0.jpg

6、数据包解码

IPS发送攻击日至和防病毒日志信息端口号都是30514,SecCenter上只显示攻击日志,不显示防病毒日志。查看IPS本地有病毒日志,我们可以通过在SecCenter抓包分析确定数据包是否发送过来。

发过来的数据量比较大,而且无法直接看出是IPS日志还是AV日志,我们先把数据包解码。

(由于没有IPS的日志抓包信息,暂用其他代替)

解码前:

77db8c42-ec2f-11ed-90ce-dac502259ad0.jpg

解码操作:

78019fae-ec2f-11ed-90ce-dac502259ad0.png

7817d486-ec2f-11ed-90ce-dac502259ad0.png

解码后:

7828c2f0-ec2f-11ed-90ce-dac502259ad0.jpg

7、数据包报文跟踪

查看TCP的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。

784b1152-ec2f-11ed-90ce-dac502259ad0.png

785b513e-ec2f-11ed-90ce-dac502259ad0.jpg

8、通过其查看设备的厂家

查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过Wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。

例如:mac地址是A4-4E-31-30-0B-E0

7877c88c-ec2f-11ed-90ce-dac502259ad0.jpg

我们通过Wireshark安装目录下的manuf文件来查找

78906144-ec2f-11ed-90ce-dac502259ad0.jpg



审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络
    +关注

    关注

    14

    文章

    7553

    浏览量

    88729
  • ip地址
    +关注

    关注

    0

    文章

    301

    浏览量

    17032
  • 端口
    +关注

    关注

    4

    文章

    963

    浏览量

    32051
  • 数据包
    +关注

    关注

    0

    文章

    260

    浏览量

    24385
  • Wireshark
    +关注

    关注

    0

    文章

    49

    浏览量

    6513

原文标题:Wireshark几个常用技巧

文章出处:【微信号:strongerHuang,微信公众号:strongerHuang】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Wireshark抓包和Tcpdump抓包实例分析

    wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux下的抓包工具是 tcpdump。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
    的头像 发表于 02-01 09:31 3028次阅读

    wireshark(1)——ubuntu下解决wireshark权限问题

    wireshark要监控eth0,但是必须要root权限才行。但是,直接用root运行程序是相当危险,也是非常不方便的。解决方法如下: 1.添加wireshark用户组 sudo groupadd
    发表于 01-08 10:18

    wireshark2——ubuntu系统下wireshark普通用户抓包设置

    dumpcap需要root权限才能使用的,以普通用户打开WiresharkWireshark当然没有权限使用dumpcap进行截取封包。虽然可以使用 sudo wireshark 但是,以
    发表于 01-08 10:19

    如何使用WireShark进行网络抓包

      如何使用WireShark进行网络抓包:准备工作、wireshark 主界面介绍、封包列表介绍
    发表于 04-02 07:05

    Wireshark中文简明使用教程

    Wireshark中文简明使用教程
    发表于 12-29 11:33 0次下载

    几个常用电路

    本文将介绍几个常用电路,详情请看下文。
    的头像 发表于 03-04 15:02 1.6w次阅读
    <b class='flag-5'>几个</b><b class='flag-5'>常用</b>电路

    Ubuntu16.04 LTS下apt安装WireShark

    Ubuntu16.04 LTS下apt安装WireShark安装与配置首先通过apt安装WireShark:$ sudo apt install wireshark会同时安装许多
    发表于 04-02 14:32 402次阅读

    如何使用WireShark进行TCP三次握手

    WireShark是一种非常方便的网络抓包工具,下面演示,使用WireShark来抓取TCP的三次握手过程。
    的头像 发表于 11-01 09:50 2145次阅读

    在Ubuntu下如何使用wireshark抓包?

    Wireshark(前称Ethereal)是一个网络封包分析软件。
    的头像 发表于 02-22 09:26 4575次阅读

    WireShark 的 IzoT 插件

    WireShark 的 IzoT 插件
    发表于 03-13 19:29 2次下载
    <b class='flag-5'>WireShark</b> 的 IzoT 插件

    WireShark常用操作

    WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网
    的头像 发表于 05-26 15:16 678次阅读
    <b class='flag-5'>WireShark</b>的<b class='flag-5'>常用</b>操作

    超详细的WireShark抓包使用教程

    Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。
    的头像 发表于 06-06 09:22 6435次阅读
    超详细的<b class='flag-5'>WireShark</b>抓包使用教程

    WireShark 的 IzoT 插件

    WireShark 的 IzoT 插件
    发表于 07-04 20:46 0次下载
    <b class='flag-5'>WireShark</b> 的 IzoT 插件

    wireshark是什么软件 wireshark安装教程

    Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像
    发表于 09-13 16:26 0次下载

    Wireshark抓包原理及使用教程

    Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。 「单机情况」下,Wireshark直接抓取本机网卡的网络流量; 「交换机情况」下,Wiresha
    的头像 发表于 11-19 15:05 6177次阅读
    <b class='flag-5'>Wireshark</b>抓包原理及使用教程