你听说过 Wireshark 抓包么?

共 1713字,需浏览 4分钟

 ·

2020-05-26 23:47


之前小帅b给你介绍了好几个抓包工具以及使用,而今天要给你介绍的这个抓包工具——Wireshark,它相对来说更加牛逼一些,可能有些 b 友听说过它了吧。
917cbcc4038fa00a3a0e0c70db89f92f.webp

先吹一波:它支持上百种协议的解密嗅探分析,在互联网上发生的事情,多微小的细节都能通过它分析出来,而且它不仅可以实时抓包,还可以离线分析,它还提供了 GUI 界面工具,你在其它大部分的抓包工具中抓到的数据文件都能拿来这里分析一波,而且,Wireshark 是跨平台的,市面上大多数系统都能运行。


07fcb857d30256e8f7b6c4f528788272.webp


吹了这么多,还是先来认识下 Wireshark 吧。
首先当然是要安装一波,你可以到以下链接中根据你的系统版本进行相应的安装
https://www.wireshark.org/download.html 
如果你网络有问题的话,没关系,我已经帮你把它们的最新版本都下载下来了,你可以在公众号后台发送 4 获取到相应的版本:

2e294c139b81d9c7e55b799f52284f3e.webp



安装完成之后,打开它,差不多长这个鸟样:


375c470dd569c57e45070752bf26e9bc.webp




我来给你标注一下每个模块是干什么用的,最上面的这几栏分别是:


a8532869eb9cfd8df3d8552a951aa359.webp



这个一看就知道,而当你抓包的时候,界面会变成这样:


63b6447c31263eaeddfd94a049be398b.webp



再来标注一下这几个面板都是干啥的:

a28cc7792263f16b6ce31f2b17328414.webp



先来简单抓一波包,感受一下流程。
首先我们要开启 wireshark 的数据访问监听,你可以使用快捷键 Ctrl + E,或者点击工具栏的第一个图标:


b16e69cc708919f809fa7a5fa717528a.webp



我们先过滤一下 HTTP 的请求:

116e8e3a8c43490eff04c7df1a1003af.webp



然后随便百度一下图片:


719995988fc4a79d2937a07e1ae3a279.webp



这时候 wireshark 就监听到请求的数据包了:



9be0d84775b9505d1316759d61758c6d.webp



在数据包列表中,每个 item 所表示的都一目了然,从左到右分别是请求的时间、请求的 IP 、响应的IP、请求的协议、内容长度、以及相关信息:


6db5266ce3d17eddd6530c10abf435ad.webp



每条数据下方都会有具体信息的显示,你也可以直接双击具体的数据包,这时候会弹出一个窗口,专门用来展示具体数据包的相关传输信息:


bdd0f92d94e0bc6a11368350d866e657.webp




我们来看看应用层抓到的信息:


c41bd815f310fa6da5a8071398b8dec1.webp



可以看到,这里我们是通过 Get 请求,其中 Http 协议参数以及请求头的相关信息都可以在应用层这里获取。
响应的信息:


d43cb18367ae66721ae4f0098c45c153.webp

5fdf27c5adb4b7748d78542a8e31d753.webp



那么除了 Hypertext Transfer Protocol 之外,上面的那几个显示的都是什么内容呢?

42d296b64cc0f310ffab95fbc1fd96dd.webp



我们一个一个来,其中的 Frame 里面主要是展示这个数据包报文的具体信息:


bd9b498c613a598fc28feda09bfff063.webp



比如这里就展示了网卡信息,抓取的时间,数据的大小,协议等信息。
因为网络数据包的传输是分层的,所以这里的以太网 Enternet II 表示的是数据链路层,在这里可以看到的是源 mac 地址和目的 mac 地址:


d4da1043bede7874a0c5863a855b5d16.webp




接下来就是 IP 网络层,这里可以看到 IP 协议头的一些信息:

da0b83f0467972712a5571abdb2ac663.webp



接下来就是 TCP 传输层,在这里可以看到 TCP 数据包的一些信息,比如源端口,目的端口,序列号,Ack确认等:


9f25af2fee3708f83327328b126274fe.webp



最后就是我们刚刚看到的 HTTP 协议应用层:

d722d82afdf8a5436659ff4957fe5427.webp



大概认识了 Wireshark 之后,接下来我再跟你说说它的常用功能
我们刚刚输入 http 进行了显示过滤:


116e8e3a8c43490eff04c7df1a1003af.webp
实际上 Wireshark 的过滤很强大,可以定义不同的参数过滤,你可以点击菜单栏的:
View-internals-Support Protocols
在这里可以看到各种协议的过滤字段:

3aa646a33b5957582bbce4780453d694.webp



比如 http 协议的过滤字段:

7481fb4cf4c389aa39e5ab150d154582.webp



通过 Filter 字段中的值,就可以直接用它来定义过滤了,比如过滤 fxxkpython.com 的请求就可以这样:

http.host == fxxkpython.com

7e183d529cd3cb2fbe8126674279962b.webp



过滤 80 端口的数据:

2b28bcbd9116573b3f033c092541c332.webp



另一种过滤的方式是在抓取的时候过滤,也就是说,我们只要抓取某一范围的数据,而不是网卡所请求的所有数据,那么这个时候你可以使用快捷键 Ctrl + K,打开 input 面板下面的搜索框里定义,比这里只定义分析 fxxkpython.com 的数据:


edecc0adad1070bd0c1932e92ae311ad.webp



另外,你还可以选择不同网卡设备的抓取:


d45635ab78a40ae3924b579492b0dc4c.webp



设置完之后点击 start 就能开始根据你定义的规则进行抓包了。

在抓包的时候你会看到数据包列表各种颜色:

0af88db68d62e80749516909af6d6bb5.webp



这些不同颜色代表不同的协议,你可以在 View-Coloring Rules 中自定义:


fe11d82294d447d92c684b709a296409.webp



你点击具体的数据包的时候,在数据列表的左侧会出现类似这样的图:



f9a342d05921e13e9e19b2843f2c0999.webp




被框住的数据包表示一整个会话,其中的虚线表示与会话无关,而 --> 代表的是请求, <-- 代表的是返回。
而 √ 表示的是报文的确认:

c4af61c6483d180a5642a242c58e1023.webp



如果你想晚点再去分析数据包的话,你也可以把你想要的数据包给导出到本地,点击菜单栏的 File--Export Specified Packets:

aae32ccebc4246dec54c10e4b8ef5f32.webp



等你想要分析了的时候,打开 Wireshark, 导入文件就可以继续分析了:


51e13217ad3e4eb6b26fe4f9b0ae15ca.webp

86ddfc6d3e12ce930facf088b4c51e1c.webp




ok,关于 Wireshark 的基本使用介绍就先到这里,其实不应该只把它看成一个抓包工具,它还有很多好玩的地方,比如在学习网络的时候它就是一个不错的辅助学习工具,感兴趣可以去了解一下。官网在这:
https://www.wireshark.org/ 
那么,我们下回见啦,peace!
相关:
教你在 Chrome 浏览器轻松抓包教你通过 Fiddler 进行手机抓包如何使用 mitmproxy 监控你的手机
天涯何处无芳草,何必单恋 Fiddler?
浏览 48
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报