WireShark的工作原理
网卡对接受的数据包进行处理之前会先对它们的目的地址进行检查,如果目的地址不是本机话,就会丢弃这些数据,相反就会将这些数据包交给操作系统,操作系统将其分配给应用程序。如果启动wireshark的话,操作系统会将经过网卡的数据包都复制一份给它,这样我们就可以在wireshark当中查看到本机所有的数据包。
我们有时不仅仅看本机的数据包,还会查看其他计算机上的数据包,这时如果网卡按照上面的方式工作,就无法显示不是本机的数据报送,目前网卡不仅提供了普通模式,还提供了一种混杂模式,网卡会将所有通过网卡的数据包都传递给操作系统,无论是否是发送给本机的数据包,操作系统会将它全部发送给wireshark。
一次完整wireshark使用
如何选择合适的网卡?
通常我们会选择有数据流经的网卡,如何判断有数据流经网卡呢?我们此时只需要选择网卡信息有波动的网卡即可(上面的线段不是一条直线)
选择需要捕获的网卡后显示的页面
常用捕获建介绍。
1、工具栏
从右到左:
红色按键:为停止按键,当点击红色按键时wireshark将不再捕获数据包。
绿色按键:为刷新按键,可以重新开始捕获数据包。
只有按下红色按键之后才会出现
蓝色按键:为开始捕获按键。
黑色齿轮按键:可以重新选择你需要捕获的网卡。
剩下的按键鼠标放置上面会用对应的功能显示。
2、数据包列表面板
NO:按顺序的唯一标志数据包的序列号
Time:捕获数据包时的时间戳
Source:捕获数据包的源IP地址
Destionation:捕获数据包
Protocol:捕获数据包的协议类型
Length:捕获数据包的大小
Info:数据包的附件信息
点击选择你需要的查看IP地址后可以查看每一个详细ip数据包信息
看数据包细节版
Frame:数据包整体框架
Ethernet II:以太网层(2层结构)
IPV4:ip数据层(3层结构)
Tcp:传输层(4层结构)
然后点击你需要查看的层结构,他会具体显示你需要查看的数据信息。
过滤无用的数据包
Wireshark将相同的源ip地址和目的地址之间的所有数据包看作是一个对话,我们可以在对话统计功能中查看所有的对话。
统计-》conversations
右击选中的ip地址-》作为过滤器使用-》选中
查看名字解析
视图-》Name resolution-》解析网络地址
将捕获的数据包保存到文件
菜单栏-》文件-》导出特定分组-》
Captured:选中表示将所有的数据包都保存起来
Displayed:只有将符合过滤的数据包保存起来
过滤无用的数据包
伯克利包过滤
伯克利包过滤有三种限定符
type:指定对象,例如IP地址、子网或者端口。常见的有host(用来表示主机名和IP地址)、net(用来表示子网)、port(用来表示端口)如果没有指定,默认为host
dir:数据传输方向,常见的有src(源地址)和dst(目的地址)。如果没有指定的话。默认为“src or dst”
proto:与数据包匹配的协议类型。常见的有ether、ip、tcp、arp这些协议。
常用的BPF基元有
• host id , dst host id , src host id
• net id , dst net id , src net id
• ether host id , ether dst host id , ether src host id
• port id , dst port id , src port id
• gateway id , ip proto id , ether proto id
• tcp, udp, icmp, arp
• vlan id
捕获过滤器
捕获过滤器是在wireshark捕获的过程同时进行,这意味如果你使用了捕获过滤器那么wireshark就不会捕获不符合规则的数据包。
打开方式:1、当打开wireshark时有个捕获,下面有一个使用这个过滤器在此输入伯克利过滤语法即可
2、点击选项-》写伯克利语法
显示过滤器
wireshark会捕获不符合规则的数据包,但是并不会将他们显示在数据包的面板上
ip.dst == 14.215.177.39 选择此ip地址
(ip.src=192.168.1.1) || (ip.det=192.168.1.2) 同时满足这两个IP地址其中的一个或者同时满足
(ip.src=192.168.1.1) &&(ip.det=192.168.1.2) 同时满足这两个IP地址
((ip.src == 192.168.43.20) && (ip.src == 192.168.43.20)) || (ip.dst == 14.215.177.39)
同时满足前两个ip地址或者后面的一个ip地址
((ip.src == 192.168.43.20) && (ip.src == 192.168.43.20)) && !(ip.dst == 14.215.177.39)
同时满足前两ip地址不满足后面的ip地址
捕获文件的打开与保存
捕获文件之前保存文件
环状缓冲区
循环覆盖之前的网络捕获文件
保存显示过滤器
保存配置文件
Wireshark中的配置文件其实就像是用户自定义的环境。在用户分析网络流量的时候,使用配置文件可以帮用户节省大量的时间。配置文件是由一系列不同的元素所组成的,其中包括抓包过滤器、显示过滤器、时间优先顺序、列优先顺序、协议优先顺序、颜色配置文件等,这些元素可以一起给软件用户提供一个适用于某种特定场合的软件环境,让用户可以即刻调用之前的设置。
在Wireshak中,导入和导出配置文件的方法相当简单,如果用户正在分析的网络中一个没有预装的工具,就可以考虑向软件中导入配置文件。用户只需要复制某个目录下面的配置文件,就可以使用配置文件了。要创建配置文件,可以参照下面的流程。